WannaCry มัลแวร์เรียกค่าไถ่ โดนแล้วแทบร้องไห้

0
1516

ณ วันนี้วันที่ 16 พฤษภาคม 2560 คงไม่มีใครในวงการ IT ไม่รู้จักมัลแวร์เรียกค่าไถ่หรือ Ransomware ที่มีชื่อว่า WannaCry ซึ่งการทำงานของเจ้าตัวนี้ไม่เหมือน Ransomware รุ่นพี่ คือเจ้าตัว wannacry สามารถแพร่กระจายเองได้จากเครื่องที่ติดไปยังเครื่องคอมพิวเตอร์ภายใน Network เดียวกัน โดยผ่านทาง SMBv1 ซึ่งเครื่องคอมพิวเตอร์ระบบปฎิบัติการ Windows ที่ไม่ได้รับการ update จะเป็นเป้าหมายที่เจ้า WannaCry จ้องเล่นงานมากที่สุด ซึ่งทาง Microsoft ได้ออก Security Patch ออกมาแก้จุดโหว่นี้ได้ทันท่วงทีเป็นที่เรียบร้อยแล้วซึ่งสามารถดาวน์โหลดได้ที่  MS17-010

หลักการทำงานของ Ransomware ตัวนี้ ก็คือจะแฝงตัวมากับไฟล์แนบใน email อ้างว่าเป็น ใบเสร็จรับเงินบ้าง อ้างว่าเป็นใบแจ้งหนี้บ้าง พอผู้ใช้เปิดไฟล์ที่เป็นนามสกุล .exe หรืออะไรที่สามารถรัน Ransomware จากนั้นเจ้าตัวร้ายก็จะทำการเข้ารหัสไฟล์ในเครื่องคอมพิวเตอร์ทั้งหมดยกเว้นระบบปฎิบัติการ จากนั้นก็จะขึ้นแสดงข้อมูลเตือนให้กับผู้ใช้ว่า เครื่องของท่านตอนนี้ได้ถูกเข้ารหัสแล้ว ถ้าอยากให้ปลดรหัสแล้วหล่ะก็ ให้โอนเงินมาให้เราซะดี ๆ ซึ่งมีมูลค่าถึง 300USD แต่ต้องโอนผ่าน bitcoin นะ จะได้ตามตัวฉันไม่ถูก

ภาพตัวอย่างหน้าจอเรียกค่าไถ่

จากนั้นการทำงานต่อไปของเจ้าตัวนี้ก็คือ แพร่กระจายตัวเองเพื่อไปติดเครื่องคอมพิวเตอร์เครื่องอื่น ๆ ผ่าน SMBv1 ที่ยังไม่ได้ update security patch

ซึ่งขณะที่ผมเขียนบทความอยู่นี้ ได้มีผลกระทบไปแล้ว 200,000 computers ใน 150 ประเทศซึ่งในเมืองไทยก็เป็นหนึ่งในประเทศที่โดนผลกระทบนั้นด้วย ข้อมูลอ้างอิง

ข้อมูลจาก twitter ของ @ALiCE6TY9

แถลงการจาก การีน่า http://www.modify.in.th/17768

ซึ่งทาง ThaiCert ได้ออก infographic ง่าย ๆ ให้เราเข้าใจในการทำงานและวิธีป้องกัน

ทั้งนี้หากมี email ที่ไม่รู้จักและมีไฟล์แนบแปลก ๆ ก็แนะนำให้ลบทิ้งไปก่อน และ update security patch ให้เรียบร้อย จะเป็นแนวทางป้องกันเบื้องต้นครับ

อ้างอิงข้อมูล
https://www.thaicert.or.th/alerts/user/2017/al2017us001.html
https://pantip.com/topic/36454988
https://www.cnet.com/news/watch-wannacry-attack-geography-in-real-time/