เมื่อวันที่ 12 พฤษภาคม 2560 บริษัท Avast ได้รายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ชื่อ WannaCry [1] โดยมัลแวร์ดังกล่าวมีจุดประสงค์หลักเพื่อเข้ารหัสลับข้อมูลในคอมพิวเตอร์เพื่อเรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้
สิ่งที่น่ากังวลเป็นพิเศษสําหรับมัลแวร์นี้คือความสามารถในการกระจายตัวเองจากเครื่องคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายได้โดยอัตโนมัติ ผ่านช่องโหว่ระบบ SMB (Server Message Block) ของวินโดวส์ ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการวินโดวส์มีความเสี่ยงที่จะติดมัลแวร์นี้
ช่องโหว่ที่ถูกใช้ในการแพร่กระจายมัลแวร์เป็นช่องโหว่ที่ถูกเปิดเผยสู่สาธารณะตั้งแต่ช่วงเดือนเมษายน 2560 [2] และถึงแม้ทาง Microsoft จะเผยแพร่อัปเดตแก้ไขช่องโหว่ดังกล่าวไปตั้งแต่วันที่ 14 มีนาคม 2560 แล้ว [3] แต่ก็ยังพบว่าปัจจุบันมีเครื่องคอมพิวเตอร์ที่ยังไม่ได้อัปเดตแพตช์ดังกล่าวและถูกโจมตีจากมัลแวร์นี้มากกว่า 500,000 เครื่อง ใน 99 ประเทศ โดยเกิดผลกระทบสูงต่อหน่วยงานสาธารณสุขของประเทศอังกฤษ ในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้าง แต่ยังไม่พบการแพร่กระจายในวงกว้าง
จากข้อมูลของ Microsoft ระบบปฏิบัติการที่มีช่องโหว่ในระบบ SMB เวอร์ชัน 1 ที่ถูกใช้ในการโจมตีโดยมัลแวร์นี้ มีตั้งแต่ Windows XP, Windows Server 2003 ไปจนถึง Windows 10 และ Windows Server 2016 แต่เมื่อเดือนมีนาคม 2560 ทาง Microsoft ไม่ได้ออกอัปเดตแก้ไขช่องโหว่นี้ให้กับ Windows XP และ Windows Server 2003 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนไปแล้ว อย่างไรก็ตาม เนื่องจากปัจจุบันยังมีเครื่องคอมพิวเตอร์ที่ใช้งานสองระบบปฏิบัติการดังกล่าวและยังเชื่อมต่อกับอินเทอร์เน็ตอยู่ จึงทำให้ถูกโจมตีได้ Microsoft จึงออกอัปเดตฉุกเฉินมาเพื่อแก้ไขปัญหานี้ โดยผู้ใช้สามารถดาวน์โหลดอัปเดตดังกล่าวได้จากเว็บไซต์ของ Microsoft [4]
ปัจจุบันพบข้อมูลรายงานการตรวจสอบมัลแวร์จากเว็บไซต์ Hybrid Analysis ซึ่งให้บริการวิเคราะห์มัลแวร์ มีผลลัพธ์ของการวิเคราะห์ไฟล์ต้องสงสัย ซึ่งผู้ใช้งานตั้งชื่อว่า wannacry.exe [5] โดยผลลัพธ์แสดงให้เห็นว่าเป็นมัลแวร์ประเภท Ransomware และมีสายพันธุ์สอดคล้องกับมัลแวร์ WannaCry ที่แพร่ระบาดอยู่ในปัจจุบัน ซึ่งมีฟังก์ชันที่พบเรื่องการเข้ารหัสลับข้อมูลไฟล์เอกสารบนเครื่องคอมพิวเตอร์ การแสดงผลข้อความเรียกค่าไถ่ เป็นต้น โดยในรายงานกล่าวถึงการเชื่อมโยงข้อมูลกับไอพีแอดเดรสจากต่างประเทศตามตารางด้านล่าง ซึ่งคาดว่าเป็นไอพีแอดเดรสของผู้ไม่ประสงค์ดีที่ใช้ในการควบคุมและสั่งการ
ไอพีแอดเดรสปลายทาง |
พอร์ตปลายทาง |
ประเทศ |
213.61.66.116 |
9003/TCP |
Germany |
171.25.193.9 |
80/TCP |
Sweden |
163.172.35.247 |
443/TCP |
United Kingdom |
128.31.0.39 |
9101/TCP |
United States |
185.97.32.18 |
9001/TCP |
Sweden |
178.62.173.203 |
9001/TCP |
European Union |
136.243.176.148 |
443/TCP |
Germany |
217.172.190.251 |
443/TCP |
Germany |
94.23.173.93 |
443/TCP |
France |
50.7.151.47 |
443/TCP |
United States |
83.162.202.182 |
9001/TCP |
Netherlands |
163.172.185.132 |
443/TCP |
United Kingdom |
163.172.153.12 |
9001/TCP |
United Kingdom |
62.138.7.231 |
9001/TCP |
Germany |
ตารางที่ 1 แสดงการเชื่อมต่อจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ WannaCry
นอกจากนี้ยังพบว่ามีผู้รวบรวมข้อมูลเกี่ยวกับพฤติกรรมของมัลแวร์ WannaCry ไว้บนเว็บไซต์ Github รวมถึงไฟล์มัลแวร์ตัวอย่าง ซึ่งทางไทยเซิร์ตกำลังอยู่ในระหว่างการนำไฟล์ดังกล่าวมาเข้ากระบวนการตรวจวิเคราะห์ต่อไป
ขอบคุณที่มา https://www.thaicert.or.th/alerts/user/2017/al2017us001.html
ทางเว็บไซต์ blognone ได้แนะนำวิธีป้องกัน WannaCry ไว้ด้วยกันทั้งหมด 2 วิธี คือ
1.การอัพเดตวินโดวส์เพื่ออุดช่องโหว่ ซึ่งการอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าใหม่สุด จะช่วยลดความเสี่ยงในการถูกโจมตี
2.การปิดโปรโตคอล Server Message Block (SMB) ซึ่งเป็นโปรโตคอลในการรับส่งไฟล์ระหว่างคอมพิวเตอร์ที่อยู่ในเครือข่ายเดียวกัน โดย SMB นั้นจะมีด้วยกัน 3 เวอร์ชั่น คือ SMBv1, SMBv2 และ SMBv3 โดย SMBv1 จะเป็นรุ่นเก่ากว่า 30 ปีมาแล้ว ซึ่ง WannaCry จะใช้ช่องโหว่ของ SMBv1 ในการเข้าโจมตีคอมพิวเตอร์เครื่องอื่นๆ ในเครือข่าย จึงทำให้ SMBv1 นั้นไม่เหมาะสมที่จะใช้งานในยุคนี้แล้วครับ
ในการรับส่งข้อมูลหากัน จะมีด้วยกัน 2 ฝั่ง คือ ฝั่งที่เป็น Server และฝั่งที่เป็น Client ซึ่งผู้ใช้ทั่วไปนั้น จะถือว่าตัวเองเป็น Client และการปิดแบบ Client นั้นก็เพียงพอสำหรับการป้องกันไม่ให้รับมัลแวร์เข้ามาแล้วสำหรับผู้ใช้งานทั่วไป
โดยวิธีการปิด SMBv1 ฝั่ง Client สำหรับ Windows 8.1, Windows 10, Windows Server 2012 R2 และ Windows Server 2016 ทำได้ง่ายๆ ตามนี้
คลิก Start จากนั้นในช่อง Search ให้พิมพ์ว่า turn windows features แล้วคลิกที่ Turn Windows features on or off
จะมีหน้าต่าง Windows Features เปิดขึ้นมาครับ ให้เลื่อนลงไปด้านล่าง หาข้อความ SMB 1.0/CIFS File Sharing Support ซึ่งฟีเจอร์นี้จะถูกเปิดไว้เป็นค่าเริ่มต้น
ให้นำติ๊กถูกออกจากช่องสี่เหลี่ยม และกด OK
หลังจากนั้นทำการรีสตาร์ทเครื่อง 1 รอบ ก็เป็นอันเสร็จ เพียงเท่านี้มัลแวร์ WannaCry ก็ไม่สามารถแพร่มาในเครื่องเราได้แล้ว
สำหรับการปิด SMBv1 ฝั่ง Client ในระบบปฏิบัติการรุ่นเก่าอย่าง Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 และ Windows Server 2012 จะต้องรันคำสั่งผ่าน Command Prompt โดยมีวิธีดังนี้
ทำการเปิด elevated command prompt โดยการคลิกขวาที่ Command Prompt แล้วคลิก Run as administrator
จากนั้นให้พิมพ์คำสั่งตามนี้ ทีละบรรทัดนะครับ และทำการรีสตาร์ทเครื่อง
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
นับเป็นวิธีการป้องกันตัวเองเบื้องต้นสำหรับผู้ใช้งานทั่วไปนะครับ ลองไปทำกันดู น่ากลัวจริงๆ เจ้า WannaCry มัลแวร์ตัวนี้
ขอบคุณเนื้อหาจาก www.blognone.com และ https://tech.mthai.com