Wanna CRY

เป็นกระแสแรงมากในช่วงสัปดาห์ที่ผ่านมา ก็อดไม่ได้ที่จะเอามากล่าวถึงบ้าง

Wanna Cry มีหลายชื่อ
เช่น WCry, WannaCry, WanaCrypt0r, WannaCrypt และ Wana Decrypt0r เป็นชื่อของไวรัสในกลุ่ม Ransomware ซึ่งไม่ได้ถูกพัฒนามาเพื่อโขมยข้อมูลแบบ Malware ทั่วๆไป แต่จะทำงานโดยเข้ารหัส และทำการล๊อค file ข้อมูลของเราซะ ทำให้เราเปิด file นั่นไม่ได้ ถ้าอยากจะเปิด file ให้สามารถใช้งานได้ตามปกติ ก็ให้โอนค่าไถ่มา แล้วถึงจะได้ key มาถอดรหัส ค่าไถ่ที่พบโดยทั่วๆไปก็จะอยู่ที่ประมาณ 150-500US$ ส่วนการจ่ายเงิน จะต้องจ่ายผ่านระบบที่ตรวจสอบหรือติดตามไม่ได้ เช่น Bitcoin เป็นต้น 

Wanna Cry เกิดขึ้นมาได้อย่างไร?
เมื่อสิงหาคม 2016 แฮ๊กเกอร์กลุ่ม The Shadow Broker เกิดเจาะเข้าระบบของสำนักงานความมั่นคงสหรัฐได้ (NSA) และเรียกค่าไถ่ 1 ล้านเหรียญ แต่ไม่มีหน่วยงานไหนสนใจจะจ่ายค่าไถ่ให้ จนกระทั่ง เมษายน 2017  The Shadow Broker แก้เผ็ดด้วยการปล่อยเครื่องมือ Hack ของ NSA ออกมา ชื่อว่า EternalBlue เครื่องมือตัวนี้มีไว้เจาะ SMBv1 (Microsoft Server Message Block) ใน Windows จากช่องโหว่นี้ทำให้เหล่า Hacker นำไปใช้พัฒนา malware อีกมากมาย และตัวเด่นเลยก็คือ Wanna Cry นั่นเอง ซึ่ง Microsoft ทราบเรื่องนี้ และออก patch มาปิดช่องโหว่นี้ได้ทัน แต่ก็ยังมีบางส่วนที่โดนผลกระทบ อาจจะเนื่องมาจากใช้ license เถื่อนบ้าง หรือบางเครื่องยังไม่ได้ทำ patch update บ้าง, ส่วนบางครืองก็ยังเป็นระบบปฏิบัติการรุ่นเก่า เช่น Windows XP, Windows 8, Windows Server 2003 ซึ่งเลิกซัพพอร์ตไปแล้ว เลยไม่มี patch ให้ update 

Wanna Cry ไม่เลือกเหยื่อนะ โจมตีทุกเครื่องที่ไม่ update patch
ตั้งแต่ 1 มกราคม 2016 จากการวิเคราะห์และการติดตามของฟอร์ติเน็ต พบว่าเกิดเหตุการณ์ภัย Ransomware โจมตีทุกวัน เฉลี่ยมากกว่า 4,000 ครั้งต่อวัน และเมื่อวันที่ 12 พฤษภาคม 2017 แค่ช่วง 2 วัน เท่านั่น ใน100 ประเทศ มีคนติดไวรัส Wanna Cry ไปถึง  155,000 เครื่อง จุดเด่นอีกจุดคือสามารถเรียกค่าไถ่ได้ถึง 24 ภาษา ถ้าเครื่องของคุณมีช่องโหว่ หรือบังเอิญมีเครื่องใครในหน่วยงานซักคนติดเชื้อมา มันก็กระจายผ่านระบบออนไลน์ได้ทันที เหมือนดูหนังติดเชื้อยังไงยังงั้นเลย 

ข้อปฏิบัติ เพื่อไม่ให้ตกเป็นเหยื่อ 
1. ทำการ back up ข้อมูลเป็นประจำ โดยให้ back up เก็บไว้นอกเครื่อง หรือไว้ใน external disk เพื่อตัดขาดการ online เมื่อติดเชื้อจะได้กู้ file จาก hard drive ของเราขึ้นมาใช้แทนได้
2. update patch เป็นประจำ อย่าเบื่อที่จะต้องคอยลง patch ใหม่ๆ และควรระวังเรื่อง Web Browser ด้วย ควรติดตามและ update ให้เป็น Version ปัจจุบัน
3. ก่อนเปิด file หรือเปิด trumpdrive ควรจะ scan  file ก่อน เพื่อความมั่นใจ
4. ระวังการเปิด Attachment แปลกปลอมใน Email หรือการ click link แปลกปลอมบน Web Browser รวมไปถึง link โฆษณา ซึ่งทำหลอกมาให้เราเปิดดู
5. ระวังเรื่องการติดตั้ง Software แปลกปลอมด้วยตัวเอง ควรปรึกษาฝ่าย IT ก่อน
6. ในระดับองค์กร ซึ่งโดยทั่วไปจะทำกันอยู่แล้ว คือการติดตั้ง Software Anti Spam, Anti Virus, Web Filtering ถ้าจะให้ดีควรติดตั้ง IPS/IDS ด้วย

by Orapin/ViewSecure

แหล่งข้อมูล:

Zyxel.com, Fortinet.com, https://www.it.chula.ac.th/th/node/3351, https://www.beartai.com/news/itnews/166925, https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/