1. Skip to Menu
  2. Skip to Content
  3. Skip to Footer

Logo

เนื้อหา

ระวังภัย มัลแวร์เรียกค่าไถ่

ระวังภัย มัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ของวินโดวส์ รีบอัปเดตทันที

สถานการณ์การโจมตี

เมื่อวันที่ 12 พฤษภาคม 2560 บริษัท Avast ได้รายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ชื่อ WannaCry โดยมัลแวร์ดังกล่าวมีจุดประสงค์หลักเพื่อเข้ารหัสลับข้อมูลในคอมพิวเตอร์เพื่อเรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้

สิ่งที่น่ากังวลเป็นพิเศษสําหรับมัลแวร์นี้คือความสามารถในการกระจายตัวเองจากเครื่องคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายได้โดยอัตโนมัติ ผ่านช่องโหว่ระบบ SMB (Server Message Block) ของวินโดวส์ ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการวินโดวส์มีความเสี่ยงที่จะติดมัลแวร์นี้

ช่องโหว่ที่ถูกใช้ในการแพร่กระจายมัลแวร์เป็นช่องโหว่ที่ถูกเปิดเผยสู่สาธารณะตั้งแต่ช่วงเดือนเมษายน 2560 และถึงแม้ทาง Microsoft จะเผยแพร่อัปเดตแก้ไขช่องโหว่ดังกล่าวไปตั้งแต่วันที่ 14 มีนาคม 2560 แล้วแต่ก็ยังพบว่าปัจจุบันมีเครื่องคอมพิวเตอร์ที่ยังไม่ได้อัปเดตแพตช์ดังกล่าวและถูกโจมตีจากมัลแวร์นี้มากกว่า 500,000 เครื่อง ใน 99 ประเทศ โดยเกิดผลกระทบสูงต่อหน่วยงานสาธารณสุขของประเทศอังกฤษ ในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้าง แต่ยังไม่พบการแพร่กระจายในวงกว้าง

จากข้อมูลของ Microsoft ระบบปฏิบัติการที่มีช่องโหว่ในระบบ SMB เวอร์ชัน 1 ที่ถูกใช้ในการโจมตีโดยมัลแวร์นี้ มีตั้งแต่ Windows XP, Windows Server 2003 ไปจนถึง Windows 10 และ Windows Server 2016 แต่เมื่อเดือนมีนาคม 2560 ทาง Microsoft ไม่ได้ออกอัปเดตแก้ไขช่องโหว่นี้ให้กับ Windows XP และ Windows Server 2003 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนไปแล้ว อย่างไรก็ตาม เนื่องจากปัจจุบันยังมีเครื่องคอมพิวเตอร์ที่ใช้งานสองระบบปฏิบัติการดังกล่าวและยังเชื่อมต่อกับอินเทอร์เน็ตอยู่ จึงทำให้ถูกโจมตีได้ Microsoft จึงออกอัปเดตฉุกเฉินมาเพื่อแก้ไขปัญหานี้ โดยผู้ใช้สามารถดาวน์โหลดอัปเดตดังกล่าวได้จากเว็บไซต์ของ Microsoft

พฤติกรรมของมัลแวร์ WannaCry

ปัจจุบันพบข้อมูลรายงานการตรวจสอบมัลแวร์จากเว็บไซต์"HybridAnalysis"ซึ่งให้บริการวิเคราะห์มัลแวร์มีผลลัพธ์ของการวิเคราะห์ไฟล์ต้องสงสัยซึ่งผู้ใช้งานตั้งชื่อว่า wannacry.exe โดยผลลัพธ์แสดงให้เห็นว่าเป็นมัลแวร์ประเภท Ransomware และมีสายพันธุ์สอดคล้องกับมัลแวร์ WannaCry ที่แพร่ระบาดอยู่ในปัจจุบัน ซึ่งมีฟังก์ชันที่พบเรื่องการเข้ารหัสลับข้อมูลไฟล์เอกสารบนเครื่องคอมพิวเตอร์การแสดงผลข้อความเรียกค่าไถ่ เป็นต้น โดยในรายงานกล่าวถึงการเชื่อมโยงข้อมูลกับไอพีแอดเดรสจากต่างประเทศตามตารางด้านล่าง ซึ่งคาดว่าเป็นไอพีแอดเดรสของผู้ไม่ประสงค์ดีที่ใช้ในการควบคุมและสั่งการ

ไอพีแอดเดรสปลายทาง

พอร์ตปลายทาง

ประเทศ

213.61.66.116

9003/TCP

Germany

171.25.193.9

80/TCP

Sweden

163.172.35.247

443/TCP

United Kingdom

128.31.0.39

9101/TCP

United States

185.97.32.18

9001/TCP

Sweden

178.62.173.203

9001/TCP

European Union

136.243.176.148

443/TCP

Germany

217.172.190.251

443/TCP

Germany

94.23.173.93

443/TCP

France

50.7.151.47

443/TCP

United States

83.162.202.182

9001/TCP

Netherlands

163.172.185.132

443/TCP

United Kingdom

163.172.153.12

9001/TCP

United Kingdom

62.138.7.231

9001/TCP

Germany

ตารางที่ 1 แสดงการเชื่อมต่อจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ WannaCry

นอกจากนี้ยังพบว่ามีผู้รวบรวมข้อมูลเกี่ยวกับพฤติกรรมของมัลแวร์ WannaCry ไว้บนเว็บไซต์ Github รวมถึงไฟล์มัลแวร์ตัวอย่าง ซึ่งทางไทยเซิร์ตกำลังอยู่ในระหว่างการนำไฟล์ดังกล่าวมาเข้ากระบวนการตรวจวิเคราะห์ต่อไป

ข้อแนะนำในการป้องกัน

  1. ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft โดย Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดอัปเดตได้จาก https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ส่วน Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จาก https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  2. หากไม่สามารถติดตั้งอัปเดตได้ เนื่องจากมัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ SMBv1 ซึ่งถูกใช้ใน Windows เวอร์ชันเก่า เช่น Windows XP, Windows Server 2003 หรือระบบเซิร์ฟเวอร์บางรุ่น หากใช้งาน Windows เวอร์ชันใหม่และไม่มีความจำเป็นต้องใช้ SMBv1 ผู้ดูแลระบบอาจพิจารณาปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
  3. หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การบล็อกพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา
  4. ตั้งค่า Firewall เพื่อบล็อกการเชื่อมต่อกับไอพีแอดเดรสปลายทางตามตารางที่ 1 เนื่องจากเป็นไอพีที่ถูกใช้ในการแพร่กระจายและควบคุมมัลแวร์
  5. อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นได้ได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ
  6. ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสส่วนใหญ่ (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ WannaCry สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว

ข้อแนะนำอื่นๆ

  • ปัจจุบันยังไม่พบช่องทางที่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ WannaCry ได้โดยไม่จ่ายเงิน แต่การจ่ายเงินก็มีความเสี่ยงเนื่องจากไม่สามารถมั่นใจได้ว่าจะได้ข้อมูลกลับคืนมา
  • จากที่มีการเผยแพร่ข่าวสารว่าสามารถยับยั้งการทำงานของมัลแวร์ WannaCry ได้นั้น ตรวจสอบแล้วเป็นเพียงการยับยั้งแบบชั่วคราว โดยมีผลเฉพาะกับมัลแวร์บางเวอร์ชันเท่านั้น ไม่สามารถป้องกันปัญหาได้แบบถาวรตราบใดที่ยังไม่มีการอัปเดตแก้ไขช่องโหว่ เนื่องจากผู้พัฒนามัลแวร์สามารถเผยแพร่เวอร์ชันใหม่ที่หลบเลี่ยงการป้องกันได้
  • มัลแวร์เรียกค่าไถ่ WannaCry เวอร์ชันที่มีการแพร่ระบาดอยู่ในปัจจุบัน ยังไม่พบว่ามีการแพร่กระจายผ่านอีเมล อย่างไรก็ตาม อาจมีการแพร่กระจายผ่านอีเมลในอนาคต ผู้ใช้ควรตระหนักถึงความเสี่ยงของการเปิดไฟล์แนบในอีเมลที่น่าสงสัย
  • ควรสำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอและหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
  • หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่ายให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วนและกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น

ที่มา:  กองสงครามไซเบอร์ สำนักปฏิบัติการ กรมสื่อสารและเทคโนโลยีสารสนเทศทหารเรือ

https://cybersecurity.navy.mi.th/index.php/60

 

 

เริ่มนับตั้งแต่วันที่ 1 ต.ค. 2555 ,คุณเป็นผู้เยี่ยมชมคนที่ :