December 8, 2024

ThaiCERT ออกประกาศเตือนภัยมัลแวร์เรียกค่าไถ่ WannaCry กระจายผ่านช่องโหว่ของ วินโดวส์ รีบอัปเดตทันที

home-banner-047.jpg

จากสถานการณ์การแพพร่ระบาดและสร้างความเสียหายในวงกว้างล่าสุด กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม โดย ThaiCERT ได้ออกประกาศถึงรายละเอียดการแร่ระบาดในครั้งนี้ โดยมีรายละเอียดดังนี้

สถานการณ์การโจมตี

เมื่อวันที่ 12 พฤษภาคม 2560 บริษัท Avast ได้เผยแพร่รายงานการพบมัลแวร์เรียกค่าไถ่ชื่อ WannaCry [1] จากรายงานกล่าวว่ามัลแวร์ดังกล่าว มีจุดประสงค์หลักเพื่อเข้ารหัสลับข้อมูลในคอมพิวเตอร์เพื่อเรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้ สิ่งที่น่ากังวลเป็นพิเศษสําหรับมัลแวร์นี้คือความสามารถในการกระจายตัวเองจากเครื่องคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายได้โดยอัตโนมัติ ผ่านช่องโหว่ของ วินโดวส์ ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการ วินโดวส์ มีความเสี่ยงที่จะติดมัลแวร์นี้ โดยจากรายงานกล่าวถึงช่องโหว่ที่พบในการเผยแพร่มัลแวร์ว่าเป็นช่องโหว่ที่ถูกเปิดเผยตั้งแต่ช่วงเดือนเมษายน และถึงแม้ทางผู้พัฒนาจะเผยแพร่ซอฟต์แวร์แก้ไขช่องโหว่ดังกล่าวตั้งแต่วันที่ 14 มีนาคม 2560 แล้ว แต่ก็ยังพบว่าปัจจุบันมีเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้มากกว่า 50,000 เครื่อง ใน 99 ประเทศ โดยเกิดผลกระทบสูงต่อหน่วยงานสาธารณสุขของประเทศอังกฤษ ในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้าง แต่ยังไม่พบการแพร่กระจายในวงกว้าง

พฤติกรรมของมัลแวร์ WannaCry

ปัจจุบันพบข้อมูลรายงานการตรวจสอบมัลแวร์จากเว็บไซต์ Hybrid Analysis ซึ่งให้บริการวิเคราะห์มัลแวร์ มีผลลัพธ์ของการวิเคราะห์ไฟล์ต้องสงสัย ซึ่งผู้ใช้งานตั้งชื่อว่า wannacry.exe [2] โดยผลลัพธ์แสดงให้เห็นว่าเป็นมัลแวร์ประเภท Ransomware และมีสายพันธุ์สอดคล้องกับมัลแวร์ WannaCry ที่อยู่ในปัจจุบัน ซึ่งมีฟังก์ชันที่พบเรื่องการเข้ารหัสลับข้อมูลไฟล์เอกสารบนเครื่องคอมพิวเตอร์ การแสดงผลข้อความเรียกค่าไถ่ เป็นต้น โดยในรายงานกล่าวถึงการเชื่อมโยงข้อมูลกับไอพีแอดเดรสจากต่างประเทศตามตารางด้านล่าง ซึ่งคาดว่าเป็นไอพีแอดเดรสของผู้ไม่ประสงค์ดีที่ใช้ในการควบคุมและสั่งการ

ไอพีแอดเดรสปลายทาง พอร์ตปลายทาง ประเทศ
213.61.66.116 9003/TCP Germany
171.25.193.9 80/TCP Sweden
163.172.35.247 443/TCP United Kingdom
128.31.0.39 9101/TCP United States
185.97.32.18 9001/TCP Sweden
178.62.173.203 9001/TCP European Union
136.243.176.148 443/TCP Germany
217.172.190.251 443/TCP Germany
94.23.173.93 443/TCP France
50.7.151.47 443/TCP United States
83.162.202.182 9001/TCP Netherlands
163.172.185.132 443/TCP United Kingdom
163.172.153.12 9001/TCP United Kingdom
62.138.7.231 9001/TCP Germany

นอกจากนี้ยังพบว่ามีผู้รวบรวมข้อมูลเกี่ยวกับพฤติกรรมของมัลแวร์ WannaCry ไว้บนเว็บไซต์ Github รวมถึงไฟล์มัลแวร์ตัวอย่าง ซึ่งทางไทยเซิร์ตกำลังอยู่ในระหว่างการนำไฟล์ดังกล่าวมาเข้ากระบวนการตรวจวิเคราะห์ต่อไป

ข้อแนะนำในการป้องกันและแก้ไข

  1. สำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
  2. ติดตั้ง/อัปเดตระบบปฎิบัติการให้เป็นรุ่นล่าสุด รวมถึงโปรแกรมป้องกันไวรัส และโปรแกรมอื่น ๆ โดยเฉพาะโปรแกรมที่มักมีปัญหาเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ Adobe Reader
  3. ปิดการใช้งาน SMBv1
  4. ทำการบล็อก และเฝ้าระวังการเชื่อมต่อจากเครือข่ายผู้ใช้งานภายนอกกับบริการ SMB (Port 137/TCP 138/TCP 139/TCP 445/TCP)
  5. หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
  6. ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
  7. หากพบว่าตนเองได้ติดมัลแวร์ WannaCry แล้ว ให้ผู้เสียหายลองดำเนินการตามขั้นตอนในคลิปวีดีโอ https://www.youtube.com/watch?v=wg44hFvsqyE เพื่อดำเนินการถอนการติดตั้งมัลแวร์ และทดสอบการกู้คืนไฟล์ผ่านฟังก์ชันการทำงาน Shadow Volumn Copies โดยสามารถศึกษาได้จากบทความ https://www.thaicert.or.th/papers/general/2015/pa2015ge002.html หัวข้อ “การกู้คืนข้อมูลด้วย Shadow Volume Copies”
  8. หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212

ที่มา : https://www.thaicert.or.th/alerts/user/2017/al2017us001.html

อ้างอิง

  1. https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today/
  2. https://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
  3. https://support.managed.com/kb/a2071/how-to-install-windows-updates-on-a-windows-2012-2008-r2-and-2003-server.aspx

Leave a Reply

Your email address will not be published. Required fields are marked *