สถานการณ์ระบาดของ ransomware สายพันธุ์ Wanna Decrypt0r มีลักษณะเป็น worm เมื่อมีเครื่องในเครือข่ายติดแล้วจะระบาดต่อไปยังเครื่องอื่นๆ ในเครือข่ายโดยอัตโนมัติ อาศัยช่องโหว่ Exploit ที่ชื่อว่า “ETERNALBLUE” ซึ่ง Exploit ดังกล่าวจะทำการเจาะช่องโหว่โปรโตคอล SMBv1 บนระบบปฏิบัติการ Windows ตั้งแต่ XP ขึ้นไป ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการวินโดวส์มีความเสี่ยงที่จะติด มัลแวร์นี้
การปล่อย Ransomware คือการโจมตี และการเป็นอาชญากรไซเบอร์มันง่ายมากเพียงแค่รันมัลแวร์ที่เกี่ยวข้องมันจะเริ่มทำเองโดยอัตโนมัติ พร้อมกับเข้ารหัสข้อมูล และแสดงข้อความเรียกค่าไถ่ขึ้นมาบนหน้าจอของผู้ใช้งาน Pandalab ศูนย์ทดลองเพื่อป้องกัน Malware ของทีม Panda Security ได้ตรวจพบการโจมตีที่ทำตามคำสั่งของแฮคเกอร์ ซึ่งมีหน้าตาอินเตอร์เฟซของตัวเอง โดยผู้โจมตีสามารถใช้อินเตอรเฟซนี้ในการปรับตั้งค่าการโจมตีได้ โดยเริ่มต้นจากอีเมล์ซึ่งจะเป็นการส่งโน้ตเรียกค่าไถ่ไป
เป็นการโจมตีแบบรายบุคคล ซึ่งมีความเป็นได้ว่าพวกเขาสามารถเลือกอุปกรณ์ที่ต่อผ่าน Network และเข้ารหัสข้อมูลได้แบบเจาะจงไฟล์ ลบไฟล์ข้อมูลที่เข้ารหัสไปทั้งหมดหรือเข้าโหมดลักลอบขโมยข้อมูล
WannaCry ทำงานและร้ายแรงอย่างไร
เมื่อคอมพิวเตอร์ติด WannaCry โปรแกรมมัลแวร์นี้ จะเอาข้อมูลในเครื่องของเหยื่อไปเข้ารหัสลับไว้ ทำให้ผู้ตกเป็นเหยื่อก็จะเข้าไปอ่านหรือใช้ข้อมูลในเครื่องตนเองไม่ได้
Hacker ที่สร้างมัลแวร์ WannaCry ต้องการอะไร
ต้องการเรียกค่าไถ่ โดยให้จ่ายค่าไถ่เป็น Bit Coin
ผลกระทบที่เกิดขึ้นแล้ว
เครื่องคอมพิวเตอร์มากกว่า 100,000 เครื่อง ติด WannaCry ทั่วโลก ในอังกฤษ โรงพยาบาลมากกว่า 10 แห่งต้องระงับการให้บริการบางประเภท ในประเทศไทยพบการติดมัลแวร์บ้างแล้ว
ดังนั้น จึงควรสำเนาข้อมูลสำคัญใน External Harddisk อย่างสม่ำเสมอ
คำแนะนำในการป้องกัน
1 ให้ทำการ update patch MS17-010 ที่ MS ได้ปล่อยออกมาทันทีและทุกเครื่องเพื่อป้องกันการระบาดของ ransomware อื่นๆ ที่อาศัยช่องโหว่นี้ในระยะยาว
2 โปรดใช้ความระมัดระวังในการเปิดไฟล์แนบหรือคลิก link ในอีเมล์ผู้ที่ไม่เคยติดต่อมาก่อน
3 ทำการ backup ไฟล์ที่สำคัญเป็นระยะไว้ในสื่อจัดเก็บนอกคอมพิวเตอร์ไม่เชื่อมต่อ ตลอดเวลา
4 หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารถประสานกับทีมผู้เชี่ยวชาญจาก insync เพื่อเปิดใช้งาน Adaptive defense 360 เพื่อความปลอดภัยสูงสุด
กรณีที่ไม่สามารถ update patch ได้ทัน ให้ปิดการใช้งาน SMB โดยมีขั้นตอน ดังนี้
วิธีที่ 1
1 คลิก Start > Control Panel > Program and Features > Turn Windows features on or off [ ] SMB 1.0/CIFS File Sharing Support (ยกเลิก /)
2 คลิกปุ่ม OK
วิธีที่ 2
1 ปิดพอร์ต TCP/UDP SMB หมายเลข 135-139 และ 445 (ที่ firewall)