นโยบายการจัดการความรู้ มหาวิทยาลัยสงขลานครินทร์ 1.ให้ใช้เครื่องมือการจัดการความรู้ผลักดัน คุณภาพคน และกระบวนทำงาน 2.ส่งเสริมการแลกเปลี่ยนประสบการณ์การทำงาน จากหน้างาน 3.ส่งเสริมให้มีเวทีเรียนรู้ร่วมกัน
อ่าน: 242
ความเห็น: 0

รู้จัก Ransomware มัลแวร์เรียกค่าไถ่ และมัลแวร์พันธุ์ใหม่ WannaCry [C]

มัลแวร์ WannaCry จะสแกนหาเครื่องคอมพิวเตอร์เหยื่อ เหมือนกับโจรมีกุญแจไขประตูบ้าน ไล่เปิดประตูห้องทีละห้อง แล้วก็ไขไปเรื่อย ๆ ใครไม่เปลี่ยน ไม่ล็อคหลายชั้นก็เสร็จโจรไป

เมื่อ 2-3 วันก่อนมีข่าวสารทางด้านไอทีที่โด่งดังเกรียวกราวไปทั่วทั้งจากสื่อสังคมออนไลน์และจากช่องโทรทัศน์หลายช่องเกี่ยวกับการระบาดของมัลแวร์ ที่เป็น Ransomware หรือมัลแวร์เรียกค่าไถ่ ชื่อว่า WannaCry (หรือบางแหล่งเรียกว่า WCry, WannaCrypt0r, WannaCrypt, Wana Decrypt0r) มีเครื่องคอมพิวเตอร์ทั่วโลกเกือบ 100 ประเทศได้ติดมัลแวร์ไปกว่า 45,000 เครื่อง ในเวลาชั่วพริบตา [อ้างอิง] ก่อนที่จะมาทำความรู้จัก WannaCry เรามาย้อนทำความรู้จักกับ Ransomware มัลแวร์เรียกค่าไถ่กันก่อนครับ

“Ransomware” หรือ “โปรแกรมเรียกค่าไถ่”

ภาพประกอบจากเว็บไซต์ https://blog.kaspersky.com/expert-ransomware-tips/11974

รูปแบบของโปรแกรมเรียกค่าไถ่ Ransomware มี 2 รูปแบบหลัก ๆ ด้วยกัน

  • Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ โปรแกรม Ransomware จะใช้งานฟังก์ชัน Lock Screen ของระบบปฏิบัติการ (ทั้งที่เป็น Computer และ Mobile) ทำให้เราไม่สามารถเข้าสู่ Interface ปกติของอุปกรณ์ เพื่อเรียกใช้ Application หรือเข้าถึงข้อมูลใด ๆ ได้ แต่ข้อมูลและ Application ไม่ได้ถูกแตะต้องแต่อย่างใด
  • Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานอุปกรณ์ได้ และใช้งาน Application ได้ตามปกติ แต่ Ramsomware จะใช้วิธีการเข้ารหัสไฟล์ไว้ (ภาษาชาวบ้านคือ ล็อกไฟล์ไว้) ไม่ให้ผู้ใช้งานสามารถเข้าถึงไฟล์ของตัวเองได้การเรียกค่าไถ่แบบที่ 1. นั้นสามารถถูกแก้ไขได้โดยผู้เชี่ยวชาญด้านคอมพิวเตอร์ โดยที่ไม่จำเป็นต้องจ่ายค่าไถ่แต่อย่างใด

แต่สำหรับแบบที่ 2. นั้น ใน Ransomware เวอร์ชั่นใหม่ ๆ (ที่โด่งดังก็มี CryptoWall, CryptoLocker, CryptoDefense และ TeslaCrypt) ถูกพัฒนาให้ยากแก่การแก้ไข ทางที่ง่ายที่สุดที่จะได้วิธีถอดรหัสไฟล์ของเราคือการจ่ายเงินให้อาชญากร (การเรียกค่าไถ่เป็นอาชญากรรม) ที่เรียกค่าไถ่เรานั่นเอง ซึ่งรวมไปถึง WannaCry ด้วย

เมื่อเครื่องคอมพิวเตอร์ของคุณติด Ransomware

เครื่องคอมพิวเตอร์จะขึ้นข้อความเตือนว่าคุณต้องจ่ายเงิน ถ้าไม่จ่ายก็จะเปิดไฟล์ไม่ออก ไม่สามารถใช้ไฟล์นั้นได้ เท่านั้นยังไม่พอ หากคุณต่อเน็ต หรือเสียบ Extranal Harddisk หรือ USB Flash Drive เข้ากับคอมพิวเตอร์ที่ติด Ransomware แล้วไฟล์ในหน่วยความจำพกพาของคุณก็จะถูกล็อคเข้ารหัสด้วย ซึ่งต้องจ่ายเงินด้วยสกุล Bitcoin (Bitcoin คือ สกุลเงินดิจิตอล ซึ่งอยู่ภายใต้การดูแลของระบบเน็ตเวิร์คคอมพิวเตอร์) โดยส่วนใหญ่จะเรียกเงินไม่ต่ำกว่า 15,000 บาท

สาเหตุที่ติดมัลแวร์ Ransomware

ส่วนใหญ่จะมาทางอีเมลหลอกลวงที่แนบไฟล์ Ransomware อยู่ มัลแวร์นี้มุ่งโจมตีคอมพิวเตอร์ระบบปฏิบัติการ Windows และอาจอยู่บนแพลตฟอร์มยอดฮิตๆ เช่น MAC, Android, iOS  โดยจะทิ้งไฟล์ไฟล์นึงไว้ในโฟลเดอร์ที่ติดมัลแวร์ Ransomware ที่มีการเข้ารหัสไว้ เมลล์ของ Ransomware นี้ มาในรูปแบบที่หลากหลาย เช่น

  • มาแบบแจ้งเตือนว่ามีของมาส่งถึงคุณ เช่น FedEx , DHL ปลอมหน้าจดหมายเหมือนของจริง จนแยกไม่ออก เมื่อคลิกไฟล์แนบของอีเมลนั้น หรือคลิกที่ลิงค์ มันจะดาวน์โหลดไฟล์ exe ที่มีมัลแวร์ติดตั้งทันที
  • ใช้ข้อความแจ้งเตือนว่า บัญชีของคุณโดนล็อค, Accounts Suspended! ทำนองนี้เพื่อดึงดูดความสนใจให้เข้าไปเปิดดู

สำหรับกรณีของ WannaCry ที่ระบาดทั่วโลก เป็นเช่นไร

กรณีนี้ไม่เหมือน Ransomware ตัวอื่น ๆ เพราะ WannaCry อาศัยช่องโหว่จาก SMBv1 (พอร์ต TCP/UDP 135-139 และ TCP 445 สำหรับการแชร์ไฟล์ต่าง ๆ) ของระบบปฏิบัติ Windows ในการโหลดตัวเองเข้าเครื่องเป้าหมาย ไม่ใช่การส่งอีเมลเข้ามาแล้วให้ผู้ใช้กดรันบนเครื่องนั้น ๆ แบบ Ransomware ทั่ว ๆ ไป เรียกง่าย ๆ คือ มัลแวร์นี้จะไม่ต้องเคาะประตูห้อง มีกุญแจไขประตูห้อง แล้วก็เข้ามาขนของออกไปเรียกค่าไถ่ได้เลย

หน้าตาของมัลแวร์เรียกค่าไถ่ WannaCry หลังจากที่เครื่องคอมพิวเตอร์ติดมัลแวร์ดังกล่าว ดังภาพด้านล่าง

มัลแวร์ WannaCry จะสแกนหาเครื่องคอมพิวเตอร์เหยื่อ เหมือนกับโจรมีกุญแจไขประตูบ้าน ไล่เปิดประตูห้องทีละห้อง แล้วก็ไขไปเรื่อย ๆ ใครไม่เปลี่ยน ไม่ล็อคหลายชั้นก็เสร็จโจรไป ลองชมตัวอย่างการระบาดของ WannaCry ดังวิดีโอด้านล่าง

วิธีป้องกันไม่ให้คอมพิวเตอร์เป็นเหยื่อของมัลแวร์ WannaCry

1.ให้อัปเดตตัว Windows ให้เป็นเวอร์ชั่นล่าสุด หากระบบปฎิบัติการ Windows ของคุณเป็นเวอร์ชั่นเก่า ควรอัปเดตเป็น Windows 10 ไปเลย หรือไม่ก็ให้ดาวน์โหลด Patch อุดช่องโหว่ดังกล่าว ซึ่งตอนนี้ทาง Microsoft ได้ปล่อย Patch แล้วสำหรับคอมพิวเตอร์ระบบปฏิบัติการเก่า Windows XP, Windows Vista, Windows Server 2003, 2008 ด้วย แม้จะเลิกสนับสนุนก็ตาม เพื่อเป็นการหยุดมัลแวร์ WannaCry สามารถดาวน์โหลด Patch ที่นี่

สำหรับผู้ใช้ Windows 8.1 รวมถึง Windows 10 สามารถอัปเดตผ่านทาง Windows Update

2 ให้เปิด Firewall เพื่อสามารถตรวจสอบและหยุดยั้ง WannaCry ได้

3.ปิดตัว SMBv1 บนเครื่อง และ Block Port ของ SMB ที่ต่อกับ Public Internet เพื่อปิดช่องโหว่ที่จะทำให้ WannaCry สามารถโหลดตัวเองเข้าเครื่องเป้าหมายได้ รายละเอียดการปิด SMBv1 คลิกที่นี่

4.ควร Backup ไฟล์งานหรือเอกสารที่สำคัญเอาไว้สม่ำเสมอ หากเกิดเหตุการณ์ที่ไม่คาดคิดจะสามารถนำไฟล์งานต่าง ๆ กลับมาใช้งานได้

5.ควรตรวจสอบไฟล์ที่แนบมากับอีเมลหรือบนอินเตอร์เนตทุกครั้งก่อนที่จะเปิดหรือคลิกเพื่อดาวน์โหลด เพราะอาจจะทำให้ท่านติดไวรัสและทำความเสียหายต่อเครื่องคอมพิวเตอร์ของท่านได้

มัลแวร์ WannaCry ในประเทศไทย

หลังจากพบการระบาดของมัลแวร์ WannaCry เมื่อวันที่ 12 พฤษภาคมที่ผ่านมาทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ออกประกาศเตือนภัยการพบมัลแวร์เรียกค่าไถ่, วิธีการป้องกันและข้อแนะนำเมื่อเครื่องคอมพิวเตอร์ติดมัลแวร์ WannaCry ไปแล้วออกมา ซึ่งถือว่าเป็นหน่วยงานราชการของไทยที่ดูแลกำกับเรื่องของงานทางด้านไอที ดังต่อไปนี้

เนื้อหาส่วนใหญ่มาจากเว็บไซต์ www.it24hrs.com และนำมาปรับปรุง เพิ่มเติมบางส่วน ต้องขอบคุณมา ณ ที่นี้ด้วย หวังว่าจะเป็นประโยชน์สำหรับผู้อ่านทุกท่าน สวัสดีครับ

อ้างอิง

https://www.theguardian.com/technology/2017/may/12/global-cyber-attack-ransomware-nsa-uk-nhs

https://www.it24hrs.com/2017/wannacry-ransomware-effect

http://thehackernews.com/2017/05/wannacry-ransomware-windows.html?m=1

http://mict.go.th/view/1/home

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks

https://www.blognone.com/node/92410

https://www.youtube.com/watch?v=K8DJCqSPmdI

Sections: Miscellaneous
License: ซีซี: แสดงที่มา-ไม่ใช้เพื่อการค้า-อนุญาตแบบเดียวกัน Cc-by-nc-sa
created: 15 May 2017 11:40 Modified: 16 May 2017 11:14 [ Report Abuse ]
ดอกไม้
People who like this: Ico24 โอ๋-อโณ.
People Who Like This
 
Facebook
Twitter
Google

Other Posts By This Blogger

ความเห็น

ไม่มีความเห็น
คุณต้องทำการเข้าระบบก่อนแสดงความเห็น