สิ่งที่คุณควรรู้เกี่ยวกับมัลแวร์เรียกค่าไถ่ WannaCry

เกิดอะไรขึ้น เมื่อวันที่ 12 พฤษภาคม 2560 เวอร์ชั่นใหม่ของมัลแวร์เรียกค่าไถ่ Ransom.CryptXXX (ตรวจพบในชื่อ Ransom.Wannacry) เริ่มแพร่ระบาดอย่างรวดเร็ว ส่งผลกระทบต่อองค์กรจำนวนมาก โดยเฉพาะอย่างยิ่งในยุโรป

มัลแวร์เรียกค่าไถ่ WannaCry คืออะไร

มัลแวร์จะเข้ารหัสไฟล์ข้อมูล และขอให้ผู้ใช้จ่ายค่าไถ่ 300 ดอลลาร์สหรัฐฯ ในรูปแบบของบิตคอยน์ (bitcoin) โดยจดหมายเรียกค่าไถ่ระบุว่ายอดเงินเรียกค่าไถ่จะเพิ่มขึ้นสองเท่าหลังจากที่เวลาผ่านไป 3 วัน และถ้าหากไม่ได้จ่ายค่าไถ่ภายใน 7 วัน ไฟล์ที่เข้ารหัสไว้ก็จะถูกลบทิ้ง

WannaCry
รูปที่ 1 หน้าจอเรียกค่าไถ่ที่แสดงโดยโทรจัน WannaCry

นอกจากนี้ มัลแวร์ดังกล่าวยังปล่อยไฟล์ที่มีชื่อว่า !Please Read Me!.txt ซึ่งประกอบด้วยจดหมายเรียกค่าไถ่

WannaCry
รูปที่ 2 จดหมายเรียกค่าไถ่จากโทรจัน WannaCry

โดย มัลแวร์จะเข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้ โดยใส่ .WCRY ต่อท้ายที่ชื่อไฟล์: .123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .PAQ, .accdb, .aes, .ai, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3,

mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip

ซึ่งมัลแวร์นี้จะสามารถแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ โดยใช้ช่องโหว่ของการเรียกใช้โค้ดระยะไกล SMB ในคอมพิวเตอร์ Microsoft Windows (MS17-010)

คุณได้รับการปกป้องให้รอดพ้นจากภัยคุกคามนี้หรือไม่

เครือข่าย Global Intelligence Network (GIN) ของไซแมนเทค (Symantec) ให้บริการตรวจจับอัตโนมัติสำหรับผลิตภัณฑ์ทั้งหมดที่รองรับเพื่อตรวจสอบว่ามีการพยายามทำให้เครื่องติดเชื้อผ่านเว็บหรือไม่ ซึ่งลูกค้าของไซแมนเทคและนอร์ตันได้รับการปกป้องให้รอดพ้นจากมัลแวร์นี้ โดยใช้เทคโนโลยีต่างๆ

โปรแกรมป้องกันไวรัส
  1. Ransom.Wannacry
  2. Ransom.CryptXXX
  3. Trojan.Gen.8!Cloud
  4. Trojan.Gen.2

ลูกค้าควรรัน LiveUpdate และตรวจสอบว่ามีฐานข้อมูลไวรัสเวอร์ชั่นต่อไปนี้หรือสูงกว่าติดตั้งไว้บนเครื่อง เพื่อให้แน่ใจว่ามีการปกป้องที่ทันสมัยที่สุด : 20170512.009

การป้องกัน SONAR

เทคโนโลยีการตรวจจับพฤติกรรม SONAR จะตรวจจับ มัลแวร์ เวอร์ชั่นต่างๆ

การป้องกันบนเครือข่าย

นอกจากนี้ ไซแมนเทคยังมีการป้องกัน IPS ต่อไปนี้ ซึ่งพิสูจน์แล้วว่ามีประสิทธิภาพอย่างมากสำหรับการสกัดกั้นความพยายามที่จะโจมตีช่องโหว่ MS17-010:

  • การโจมตี OS: เปิดเผยข้อมูลการโจมตี Microsoft SMB MS17-010
  • การโจมตี: กิจกรรมการดาวน์โหลด Shellcode

IPS signature ต่อไปนี้ยังช่วยสกัดกั้นกิจกรรมที่เกี่ยวข้องกับ Ransom.Wannacry:

  • ระบบที่ติดเชื้อ: กิจกรรม Ransom.Ransom32

องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่ามีการติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows โดยเฉพาะอย่างยิ่ง MS17-010 เพื่อป้องกันการแพร่กระจาย

ใครบ้างที่จะได้รับผลกระทบ

องค์กรจำนวนหนึ่งในหลายๆ ประเทศทั่วโลกติดเชื้อมัลแวร์ดังกล่าว โดยส่วนใหญ่เป็นองค์กรที่อยู่ในยุโรป

เป็นการโจมตีแบบเจาะจงเป้าหมายหรือไม่

ตอนนี้เชื่อว่าไม่ใช่การโจมตีแบบเจาะจงเป้าหมาย โดยปกติแล้วการโจมตีของมัลแวร์เรียกค่าไถ่มักจะไม่มีการกำหนดกลุ่มเป้าหมายที่เฉพาะเจาะจง

เหตุใดจึงก่อให้เกิดปัญหามากมายสำหรับองค์กร

มัลแวร์สามารถแพร่กระจายตัวเองภายในเครือข่ายองค์กร โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ ทั้งนี้โดยอาศัยช่องโหว่ในระบบปฏิบัติการ Microsoft Windows คอมพิวเตอร์ที่ไม่ได้ติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows มีความเสี่ยงต่อการติดเชื้อ

จะสามารถกู้คืนไฟล์ที่เข้ารหัสได้หรือไม่

ตอนนี้ยังไม่สามารถถอดรหัสได้ แต่ไซแมนเทคกำลังดำเนินการตรวจสอบ ไซแมนเทคไม่แนะนำให้จ่ายเงินค่าไถ่ ทางที่ดีควรจะกู้คืนไฟล์จากข้อมูลแบ็คอัพที่มีอยู่

แนวทางสำหรับการป้องกันมัลแวร์เรียกค่าไถ่มีอะไรบ้าง
  1. มีการเผยแพร่มัลแวร์เรียกค่าไถ่เวอร์ชั่นใหม่ออกมาอยู่เรื่อยๆ ดังนั้นคุณจึงควรอัพเดตซอฟต์แวร์ด้านการรักษาความปลอดภัยให้ทันสมัยอยู่เสมอ เพื่อปกป้องตัวคุณเอง
  2. ดูแลระบบปฏิบัติการและซอฟต์แวร์อื่นๆ ให้อัพเดตอยู่เสมอ โดยมากแล้วซอฟต์แวร์อัพเดตมักจะมีแพตช์สำหรับแก้ไขช่องโหว่ที่เพิ่งค้นพบ ซึ่งคนร้ายอาจใช้ช่องโหว่ดังกล่าวในการโจมตีด้วยมัลแวร์เรียกค่าไถ่
  3. อีเมลเป็นหนึ่งในช่องทางหลักที่ทำให้เกิดการติดเชื้อ ควรระวังอีเมลที่น่าสงสัย โดยเฉพาะอย่างยิ่งอีเมลที่มีลิงก์และ/หรือไฟล์แนบ
    ระวังเป็นพิเศษต่อไฟล์ Microsoft Office ที่แนบมากับอีเมล ซึ่งแจ้งให้คุณเปิดใช้งานมาโครเพื่อดูเนื้อหาในไฟล์ ถ้าคุณไม่แน่ใจว่าเป็นอีเมลฉบับจริงจากผู้ส่งที่ไว้ใจได้หรือไม่ ก็ไม่ควรเปิดใช้งานมาโคร และควรจะลบอีเมลดังกล่าวทันที
  4. การแบ็คอัพข้อมูลสำคัญเป็นวิธีเดียวที่มีประสิทธิภาพมากที่สุดในการรับมือกับมัลแวร์เรียกค่าไถ่ คนร้ายใช้วิธีเข้ารหัสไฟล์ที่มีค่าและทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์เหล่านั้นได้ แต่ถ้าเหยื่อมีสำเนาแบ็คอัพ ก็จะสามารถกู้คืนไฟล์ได้หลังจากที่ลบมัลแวร์ออกจากเครื่อง อย่างไรก็ตาม องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่าข้อมูลแบ็คอัพได้รับการปกป้องอย่างเหมาะสมหรือจัดเก็บในแบบออฟไลน์ เพื่อที่ว่าคนร้ายจะไม่สามารถลบข้อมูลแบ็คอัพได้
  5. การใช้บริการคลาวด์อาจช่วยหลีกเลี่ยงการติดเชื้อมัลแวร์เรียกค่าไถ่ เพราะส่วนใหญ่มีการเก็บรักษาไฟล์เวอร์ชั่นก่อนหน้า ช่วยให้คุณสามารถ “ย้อนกลับ” ไปสู่รูปแบบที่ไม่ได้เข้ารหัส
ตัวบ่งชี้เพิ่มเติมและข้อมูลด้านเทคนิคเกี่ยวกับ Ransom.Wannacry

เมื่อโทรจันถูกเรียกใช้ ก็จะปล่อยไฟล์ต่อไปนี้:

[PATH_TO_TROJAN]\!WannaDecryptor!.exe
[PATH_TO_TROJAN]\c.wry
[PATH_TO_TROJAN]\f.wry
[PATH_TO_TROJAN]\m.wry
[PATH_TO_TROJAN]\r.wry
[PATH_TO_TROJAN]\t.wry
[PATH_TO_TROJAN]\u.wry
[PATH_TO_TROJAN]\TaskHost
[PATH_TO_TROJAN]\00000000.eky
[PATH_TO_TROJAN]\00000000.pky
[PATH_TO_TROJAN]\00000000.res
%Temp%\0.WCRYT
%Temp%\1.WCRYT
%Temp%\2.WCRYT
%Temp%\3.WCRYT
%Temp%\4.WCRYT
%Temp%\5.WCRYT
%Temp%\hibsys.WCRYT
หมายเหตุ: [PATH_TO_TROJAN] เป็นพาธที่โทรจันถูกเรียกใช้ในตอนแรก

จากนั้น โทรจันดังกล่าวจะสร้างรายการรีจิสทรีต่อไปนี้:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Microsoft Update Task Scheduler” = “”[PATH_TO_TROJAN]\[TROJAN_EXE_NAME]” /r”
HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\”wd” = “[PATH_TO_TROJAN]”

และโทรจันจะตั้งค่ารายการรีจิสทรีต่อไปนี้:

HKEY_CURRENT_USER\Control Panel\Desktop\”Wallpaper” = “%UserProfile%\Desktop\!WannaCryptor!.bmp”

โทรจันสร้าง Mutex ต่อไปนี้:

Global\WINDOWS_TASKOSHT_MUTEX0
Global\WINDOWS_TASKCST_MUTEX

จากนั้นจะหยุดกระบวนการต่อไปนี้โดยใช้ taskkil /f /iml:

sqlwriter.exe
sqlserver.exe
Microsoft.Exchange.*
MSExchange*

แล้วค้นหาและเข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้:

.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .PAQ, .accdb, .aes, .ai, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3,

mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip

โดยไฟล์ที่ถูกเข้ารหัสจะมี .WCRY ต่อท้ายที่ชื่อไฟล์ จากนั้นโทรจันจะลบสำเนาของไฟล์ที่เข้ารหัส และโทรจันปล่อยไฟล์ต่อไปนี้ไว้ในทุกโฟลเดอร์ที่มีไฟล์เข้ารหัส:

  • !WannaDecryptor!.exe.lnk
  • !Please Read Me!.txt
  • เนื้อหาของไฟล์ !Please Read Me!.txt คือจดหมายเรียกค่าไถ่ที่ระบุรายละเอียดเกี่ยวกับวิธีการจ่ายค่าไถ่

โทรจันจะดาวน์โหลด Tor และใช้งานเพื่อเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้เครือข่าย Tor จากนั้นจะแสดงจดหมายเรียกค่าไถ่ที่อธิบายให้ผู้ใช้ทราบว่ามีอะไรเกิดขึ้น รวมถึงวิธีการจ่ายเงินค่าไถ่