รู้จักไวรัสเรียกค่าไถ่ WannaCry และการป้องกัน

มัลแวร์นี้จะแฝงมากับไฟล์ที่แนบในอีเมล เช่น Word หรือ PDF เมื่อเหยื่อคลิกเปิด มันจะไปเข้ารหัสไฟล์สำคัญๆจนถอดรหัสไม่ได้ เหยื่อจึงจำเป็นต้องจ่ายค่าไถ่เพื่อกู้ไฟล์กลับมา ...

 

หลายวันนี้ มี “มัลแวร์” หรือ “แรนซัมแวร์” ที่แพร่กระจายไปยังหลายระบบเครือข่าย โดยมีชื่อว่า “WannaCry” ซี่งย่อมาจาก’Wana Decryptor,’ ‘WannaCryptor’ หรือ ‘WCRY’ โดยคำว่า “Cryptor” หมายถึงการเข้ารหัส

มัลแวร์ตัวนี้ ทำการเรียกค่าไถ่ด้วยการเข้ารหัสไฟล์ในเครื่องที่โดนเล่นงาน และเรียกค่าไถ่ไปยังเหยื่อให้จ่ายค่าไถ่เพื่อให้ปลดล็อคไฟล์นั้น

สำหรับ WannaCry ตัวนี้ จะไปทำให้เครื่องที่ติดนั้นระบบเสียหายใช้งานไม่ได้อีกต่อไป  นอกจากจะยอมจ่ายค่าไถ่ 300 เหรียญสหรัฐ หรือประมาณ 10,000 บาท

มัลแวร์ WannaCry กระจายรวดเร็วทั่วโลก โดยมี 45,000 เครื่องในกว่า 74 ประเทศ อาทิ สหรัฐอเมริกา รัสเซีย เยอรมัน อิตาลี ตุรกี เวียดนาม ฟิลิปปินส์ ที่ติดมัลแวร์ตัวนี้

สำหรับในไทยตอนนี้ เริ่มมีหลายหน่วยงานทั้งภาครัฐและเอกชนแจ้งตกเป็นเหยื่อของมัลแวร์นี้ และปัจจุบันทั่วโลกติดมัลแวร์นี้ไปแล้วกว่า 120,000 เครื่อง รวมถึงในประเทศไทยด้วย

 

กลไก

WannaCry อาศัยช่องโหว่ของระบบปฏิบัติการ Microsoft ที่ชื่อว่า MS17-010 พุ่งเป้า รุ่น XP ไปจนถึง vista window2008 2008 R2 โดยอาศัยรอยรั่วในเซิร์ฟเวอร์ Microsoft Windows SMB ที่ไม่ได้อุดช่องโหว่ไว้

โดยSMB นี้เป็นโปรโตคอลที่ไว้สำหรับแชร์ไฟล์ ดังนั้นหากเครื่องใดเครื่องหนึ่งที่ติดมัลแวร์ตัวนี้เปิดแชร์ไฟล์ผ่านโปรโตคอลนี้ เจ้ามัลแวร์จะระบาดไปยังเครื่องอื่นได้อย่างรวดเร็ว

 

ติดมาทางไหน ?

มัลแวร์นี้จะแฝงมากับไฟล์ที่แนบในอีเมลมาอย่าง Word หรือ PDF เมื่อเหยื่อคลิกเปิดไฟล์ที่แฝงมัลแวร์นี้ มัลแวร์จะทำการค้นหาไฟล์ในเครื่องของผู้ใช้และทำการเข้ารหัสเชิงลึกที่ถอดรหัสไม่ได้ เหยื่อจึงจำเป็นต้องจ่ายค่าไถ่เพื่อกู้ไฟล์กลับมา โดยมีการปล่อยมัลแวร์อีเมลนี้ถึง 5 ล้านเมลใน 1 ชั่วโมง จึงทำให้แพร่กระจายอย่างรวดเร็วและเป็นวงกว้าง

และเมื่อเครื่องใดก็ตามถูกมัลแวร์นี้เล่นงาน จะมีข้อความแสดงบนหน้าจอจากแฮกเกอร์ ว่าคุณโดนแฮกแล้ว พร้อมจำนวนค่าไถ่และวิธีการจ่ายเงิน โดยจ่ายด้วย Bitcoin ที่สำคัญ WannaCry มี variant ที่สามารถหลบหลีกระบบการตรวจสอบจาก Anti-virus ได้

 

การป้องกัน

อย่างไรก็ตามทาง Microsoft ได้ออกอัพเดท Patch เพื่ออุดช่องโหว่นี้ ครอบคลุมถึง window รุ่นเก่า อย่าง vista ที่ยกเลิกการขายหรือพัฒนาไปแล้ว สำหรับระบบปฎิบัติการอื่นนอกจาก Microsoft ยังไม่มีข้อมูลแน่ชัดว่าจะถูกโจมตีด้วยหรือไม่ ตอนนี้ยังคงแพร่ระบาดเฉพาะระบบปฏิบัติการวินโดว์เท่านั้น

การป้องกันที่สำคัญสำหรับองค์กรและบุคคลทั่วไป แน่นอน คือ การอัพเดท Patch เพื่ออุดช่องโหว่ สำหรับองค์กรใหญ่ที่มี Vulnerability Management ให้สแกนหาช่องโหว่ที่ชื่อว่า MS17-010 และหากเจอช่องโหว่นี้ให้ทำการ Isolate หรือแยกออกจากระบบเครือข่ายอื่นขององค์กร ในส่วนขององค์กรทั่วไปใช้ Firewall ปิดพอร์ตที่เกี่ยวข้องกับโปรโตคอล SMB ได้แก่ 445/138/139 ชั่วคราว จนกว่าสถานการณ์จะคลี่คลาย

อีกวิธีป้องกันที่สำคัญสำหรับทุกภาคส่วน คือ การสำรองข้อมูล โดยควรมีการสำรองข้อมูลไว้อย่างน้อยสัปดาห์ละ 1 ครั้ง เพื่อที่หากเกิดเหตุการณ์ดังกล่าว สามารถเรียกใช้ข้อมูลที่มีการสำรองไว้ได้ หรือสูญเสียข้อมูลให้เหล่าแฮกเกอร์น้อยที่สุด

 

ขอบคุณข้อมูลจากคุณ นักรบ เนียมนามธรรม

กรรมการผู้จัดการ บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด