เตรียมรับมือกับญาติๆ ของ WannaCry Ransomware พบแฮ็คเกอร์ไทยอาจเป็นหนึ่งในผู้พัฒนา

หลังจากที่แฮ็คเกอร์ประสบความสำเร็จอย่างล้นหลามในการแพร่กระจาย WannaCry Ransowmare (หรือ WCry, WannaCrypt, WanaCryt0r, Wana Decrypt0r) วันนี้ Bleeping Computer ออกมาเปิดเผยข้อมูลเพิ่มว่า พบสายพันธุ์แยกของ Ransomware ไม่ต่ำกว่า 4 สายพันธุ์ หน้าตาคล้ายกัน ที่น่าสนใจคือเริ่มมีเครื่องมือสำหรับสร้าง WannaCry Ransomware ขึ้นมาเพื่อให้แฮ็คเกอร์สามารถปรับแต่งหน้าจอให้เป็นของตนเองได้ และบางสายพันธุ์ใช้ภาษาไทยเป็นภาษาตั้งต้นในการเรียกค่าไถ่

ญาติๆ ของ WannaCry เหล่านี้ บางสายพันธุ์อยู่ระหว่างการพัฒนา บางสายพันธุ์ก็พร้อมแพร่ระบาดแล้ว ได้แก่

DarkoderCrypt0r

จากทั้ง 4 สายพันธุ์แยก DarkoderCrypt0r มีการพัฒนาต่อยอดออกไปมากที่สุด จากรูปด้านล่างจะเห็นว่าหน้าล็อกสกรีนของ Ransomware นี้ ทางแฮ็คเกอร์ผู้พัฒนามีการปรับแต่งหัวข้อให้เป็นของตนเอง และเปลี่ยน Bitcoin Address ใหม่ รวมไปถึงมีการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์จริง และต่อท้ายนามสกุลไฟล์ด้วย .DARKCRY ส่วนไฟล์ EXE ก็มีชื่อว่า @DaKryEncryptor@.exe

Sample: 2ffd9ba7b5dbccf734da02498fa2a6af8caaf8b9f98d4b32bc226516eee5c832

Aron WanaCrypt0r 2.0 Generator v1.0

Aron WanaCrypt0r 2.0 Generator v1.0 เป็นตัวอย่างที่น่าสนใจสำหรับเครื่องมือที่ใช้สร้าง WannaCry Ransomware เลียนแบบ โปรแกรมนี้ช่วยให้แฮ็คเกอร์สามารถสร้างหน้าต่างล็อกสกรีนของ WannaCry ได้ตามต้องการ ไม่ว่าจะเป็นข้อความ รูปภาพ หรือสีพื้นหลัง คาดว่าในอนาคตเครื่องมือนี้จะนำการปรับแต่งเหล่านี้ไปสร้างไฟล์ Executable เพื่อให้เหล่า “ผู้ที่ต้องการจะเป็นนักพัฒนา Ransomware” เอาไปใช้แพร่กระจายไปยังเหยื่อเพื่อเรียกค่าไถ่ต่อไป อย่างไรก็ตาม จนถึงตอนนี้เครื่องมือนี้ยังทำได้แค่สร้างหน้าต่างล็อกสกรีนขึ้นมาเองเท่านั้น ยังไม่สามารถสร้างไฟล์ Executable ได้แต่อย่างใด

Sample: b46c6addef8894d5079f592152481d259338175806eb9a983ddb8edb9ec5aa44

Wanna Crypt v2.5

Wanna Crypt v2.5 เป็น Ransomware ที่กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา ซึ่งเมื่อทำงานแล้วจะปรากฏหน้าจอล็อกสกรีนขึ้นมาเท่านั้น แต่ยังไม่มีการเข้ารหัสไฟล์ข้อมูล

Sample: 925b3acaa3252bf4d660eab22856fff155f3106c2fee7567711cb34374b499f3

WannaCrypt 4.0

เช่นเดียวกับด้านบน WannaCrypt 4.0 ก็กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา และยังไม่มีการเข้ารหัสข้อมูลแต่อย่างใด แต่ที่น่าสนใจคือภาษาตั้งต้นที่ใช้เรียกค่าไถ่คือภาษาไทย (อ่านรู้เรื่อง ไม่ใช้ Google Translate ด้วย) ซึ่ง WannaCry ต้นตำรับไม่รองรับภาษาดังกล่าว จึงเป็นไปได้ที่นักพัฒนา Ransomware คนนี้จะเป็นชาวไทย หรือมีเป้าหมายหลักที่ประเทศไทย

Sample: cd7542f2d7f2285ab524a57bc04ae1ad9306a15b9efbf56ea7b002d99d4b974f

จะเห็นได้ว่า หลังจากนี้จะไม่ได้มีแต่ WannaCry Ransomware เพียงตัวเดียวที่จะแพร่ระบาดหนักไปทั่วโลก แฮ็คเกอร์มีแนวโน้มที่จะเลียนแบบ Ransomware หรือพัฒนา Ransomware ตัวใหม่ที่อาจจะใช้ช่องโหว่อื่นในการแพร่กระจายตัวเองแทน EternalBlue จึงแนะนำให้ทุกคนเตรียมพร้อมรับมืออยู่เสมอ ไม่ว่าจะเป็นการอัปเดตแพทช์ล่าสุดบนอุปกรณ์คอมพิวเตอร์ การติดตั้งโปรแกรม Antivirus หรือการสำรองข้อมูลเป็นประจำ เหล่านี้ช่วยลดความเสี่ยงในการถูก Ransomware โจมตีได้

ดู 5 บทเรียนสำคัญจากการแพร่ระบาดของ WannaCry ที่ทุกคนควรทราบ

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CovertBand Attack: แกะตำแหน่งของผู้ใช้จากลำโพงและไมโครโฟน

นักวิจัยจาก University of Washington ประสบความสำเร็จในการแกะตำแหน่งการเคลื่อนที่ของผู้ใช้โดยใช้ลำโพงและไมโครโฟนที่มากับอุปกรณ์คอมพิวเตอร์ สมาร์โฟน แท็บเล็ต รวมไปถึงอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ผ่านทางการส่งคลื่นเสียงความถี่สูงคล้ายคลื่นโซนาร์จากเสียงเพลงและวิดีโอ โดยเรียกการโจมตีนี้ว่า CovertBand

Joomla! 3.7.5 ออกแล้ว แก้บั๊กระหว่างติดตั้งเพิ่มเติม

Joomla! ประกาศออกรุ่น 3.7.5 ออกมาแล้วอย่างเป็นทางการ โดยแก้บั๊กให้กับการอัปเดตด้านความมั่นคงปลอดภัยที่เพิ่มเติมเข้ามาให้กับ 3.7.4 เป็นหลัก