สมาร์ทโฟน&ไอที » รู้จักransomware มัลแวร์ค่าไถ่ และไวรัสพันธุ์ใหม่ WannaCry

รู้จักransomware มัลแวร์ค่าไถ่ และไวรัสพันธุ์ใหม่ WannaCry

16 พฤษภาคม 2017
2130   0

ข่าวสุดร้อนแรงที่ผู้ใช้คอมพิวเตอร์ และบริษัทองค์กรต่างๆ กำลังได้รับความเดือดร้อนจากการระบาดของมัลแวร์ ที่เป็น Ransomware หรือมัลแวร์เรียกค่าไถ่ ชื่อว่า Wannacry น่ากลัวแบบต้องเตือนให้ผู้ที่ใช้คอมรีบทำการตั้งค่าปิดช่อง SMBv1 หรือรีบอัปเดต Windows ผ่านทาง Windows Update เพื่อหยุดยั้งเจ้า Wannacry เลยทีเดียว ก่อนอื่นเรามาย้อนทำความรู้จักกับ ransomware มัลแวร์เรียกค่าไถ่ ก่อนที่จะมารู้จัก Wannacry อีกครั้งซึ่งร้ายแรงมาก

“Ransomware” หรือ “โปรแกรมเรียกค่าไถ่”


รูปแบบของโปรแกรมเรียกค่าไถ่ Ransomware มี 2 รูปแบบหลัก ๆ ด้วยกัน

  • Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ โปรแกรม Ransomware จะทำการใช้งานฟังก์ชัน Lock Screen ของระบบปฏิบัติการของอุปกรณ์ที่ติด Ransomware (ทั้งที่เป็น Computer และ Mobile) ทำให้เราไม่สามารถเข้าสู่ Interface ปกติของอุปกรณ์ เพื่อเรียกใช้ Application หรือเข้าถึงข้อมูลใด ๆ ได้ แต่ข้อมูลและ Application ไม่ได้ถูกแตะต้องแต่อย่างใด
  • Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานอุปกรณ์ได้ และใช้งาน application ได้ตามปกติ แต่ Ramsomware จะใช้วิธีการเข้ารหัสไฟล์ไว้ (ภาษาชาวบ้านคือ ล็อกไฟล์ไว้) ไม่ให้ผู้ใช้งานสามารถเข้าถึงไฟล์ของตัวเองได้
    การเรียกค่าไถ่แบบที่ 1. นั้นสามารถถูกแก้ไข เพื่อ bypass การ lock screen ได้โดยผู้เชี่ยวชาญด้านคอมพิวเตอร์ โดยที่ไม่จำเป็นต้องจ่ายค่าไถ่แต่อย่างใด

    แต่สำหรับแบบที่ 2. นั้น ใน Ramsomware เวอร์ชั่นใหม่ ๆ (ที่โด่งดังก็มี CryptoWall, CryptoLocker, CryptoDefense และ TeslaCrypt)  ถูกพัฒนาให้ยากแก่การแก้ไข ทางที่ง่ายที่สุดที่จะได้วิธีถอดรหัสไฟล์ของเราคือการจ่ายเงินให้อาชญากร (การเรียกค่าไถ่เป็นอาชญากรรม) ที่ทำการเรียกค่าไถ่เรานั่นเอง ซึ่งหนึ่งในนั้นรวมไปถึง WannaCry ด้วย

ระบบปฏิบัติการที่เป็นเป้าหมาย

ส่วนใหญ่เป็นระบบปฏิบัติการ Windows เป็นหลัก และ และมีบ้างบน Android สำหรับระบบปฏิบัติการ อื่น ๆ ก็ใช่ว่าจะปลอดภัย 100% ในอนาคต

เมื่อคอมของคุณติด Ransomware

มัลแวร์ได้จับไฟล์ข้อมูลในคอมที่สำคัญ และจับคอมพิวเตอร์ของเราเป็นตัวประกัน แล้วส่งจดหมายทางอีเมลเรียกค่าไถ่ ขึ้นข้อความเตือนว่าคุณต้องจ่ายเงินถ้าไม่จ่ายก็จะเปิดไฟล์ไม่ออก ไม่สามารถใช้ไฟล์นั้นได้ เท่านั้นยังไม่พอ หากคุณต่อเน็ต หรือเสียบ Extranal Harddisk หรือ USB Flash Drive เข้ากับคอมที่ติด Ransomware ละก็ ไฟล์ในหน่วยความจำพกพาของคุณก็จะถูกล็อคเข้ารหัสด้วย ซึ่งต้องจ่ายเงินด้วยสกุล BITCOIN โดยส่วนใหญ่จะเรียกเงินไม่ต่ำกว่า 15000 บาท

สาเหตุที่ติดมัลแวร์ Ransomware

ส่วนใหญ่จะมาทางอีเมล์หลอกลวงที่แนบไฟล์ Ransomware อยู่ มัลแวร์นี้มุ่งโจมตีคอมพิวเตอร์ระบบปฏิบัติการ Windows และอาจอยู่บนแพลตฟอร์มยอดฮิตๆ เช่น MAC , Android , iOS  โดยจะทิ้งไฟล์ไฟล์นึงไว้ในโฟลเดอร์ที่ติดมัลแวร์ ransomwear ที่มีการเข้ารหัสไว้
เมลล์ของ Ransomware นี้ มาในรูปแบบที่หลากหลาย เช่น

  • มาแบบแจ้งเตือนว่า มีของมาส่งถึงคุณ…. เช่น FedEx , DHL ปลอมหน้าจดหมายเหมือนของจริง จนแยกไม่ออก เมื่อคลิกไฟล์แนบของอีเมลนั้น หรือคลิกที่ลิงค์ มันจะดาวน์โหลดไฟล์ exe ที่มีมัลแวร์ติดตั้งทันที
  • บัญชีคุณโดนล็อค , Accounts Suspended !

แล้วกรณี WannaCry ที่ระบาดทั่วโลกละ

คราวนี้ไม่เหมือน ransomwear ตัวอื่น ๆ  เพราะ WannaCry อาศัยช่องโหว่จาก SMBv1 ในการโหลดตัวเองเข้าเครื่องเป้าหมาย ไม่ใช่การส่งอีเมลเข้ามาแล้วให้ user กดรันบนเครื่องนั้นๆ แบบ ransomware ทั่วๆ ไป เรียกง่ายๆคือ มัลแวร์นี้จะไม่ต้องเคาะประตูห้อง มีกุญแจไขประตูห้องลุยเลย แล้วก็เข้ามาในห้องขนของทั้งห้องออกไปเรียกค่าไถ่เลย

น่ากลัวมากเพราะมัลแวร์ WannaCry จะ scan หาเครื่องเหยื่อ เหมือนกับโจรมี master key กุญแจไขประตูบ้าน ไล่เปิดประตูห้องทีละห้อง แล้วก็ไขไปเรื่อยๆ ทุกคอนโด ใครไม่เปลี่ยน ไม่ล็อคหลายชั้นก็เสร็จโจรไป ลองชมตัวอย่างการระบาดของ WannaCry ด้านล่าง

วีดีโอตัวอย่างการระบาดของ WannaCry

วิธีป้องกันไม่ให้คอมเป็นเหยื่อของมัลแวร์ WannaCry

1.ให้อัปเดตตัว Windows ให้เป็นเวอร์ชั่นล่าสุด หากระบบปฎิบัติการ Windows ของคุณเป็นเวอร์ชั่นเก่า ควรอัปเดตเป็น Windows 10 ไปเลย หรือไม่ก็ให้ดาวน์โหลดแพช อุดช่องโหว่ไป

ซึ่งตอนนี้ทาง Microsoft ได้ปล่อยแพซแล้วสำหรับคอมพิวเตอร์ระบบปฏิบัติการเก่า Windows XP , Windows Vista , Windows Server 2003 , 2008  ด้วยแม้จะเลิกสนับสนุนก็ตาม เพื่อเป็นการหยุดมัลแวร์ WannaCry สามารถดาวน์โหลด Patch ที่นี่

สำหรับผู้ใช้ Windows 8.1 รวมถึง Windows 10 สามารถอัปเดตผ่านทาง Windows Update

2 ให้เปิด Firewall เพื่อสามารถตรวจสอบและหยุดยั้ง WannaCry ได้

3.ปิดตัว SMBv1 บนเครื่อง และ block port ของ SMB ที่ต่อกับ public internet เพื่อปิดจุดโหว่ที่ทำให้ WannaCry ไม่สามารถโหลดตัวเองเข้าเครื่องเป้าหมายได้

หากคอมคุณติด WannaCry

ให้หยุดการใช้คอม  ปิดการเชื่อมต่ออินเทอร์เน็ต แล้วรีบติดต่อฝ่ายไอทีบริษัท หรือติดต่อกับ ThaiCERT เพื่อช่วยแก้ปัญหา

ข้อมูลจาก HackerNews

http://www.posttoday.com/media/content/2017/05/14/3CE6FB05020745D49E8E0212C6C0128C