Connect with us

Hi, what are you looking for?

How to

[Special] เจาะลึกการทำงานมัลแวร์ WannaCrypt พร้อมวิธีป้องกันล่าสุดที่ทุกคนต้องรู้ และทำตามได้ง่ายๆ !!!

หลังจากที่มัลแวร์ WanaCrypt0r ได้แพร่ระบาดไปทั่วโลกยังกับพายุโรคระบาด ไม่ว่าจะเป็นทางมหาวิทยาลัยจีน กระทรวงมหาดไทยของรัสเซียและองค์กรอื่นๆ อีกมากมายทั่วโลกในบทความนี้เราจะมาทำความรู้จักกับ Ransomware

หลังจากที่มัลแวร์ WanaCrypt0r ได้แพร่ระบาดไปทั่วโลกยังกับพายุโรคระบาด ไม่ว่าจะเป็นทางมหาวิทยาลัยจีน กระทรวงมหาดไทยของรัสเซียและองค์กรอื่นๆ อีกมากมายทั่วโลกในบทความนี้เราจะมาทำความรู้จักกับ Ransomware เพื่อที่จะได้ทราบการทำงานเบื้องต้น และเตรียมวิธีรับมือได้ถูกต้อง

a

Ransomware หรือเรียกอีกหลายชื่อได้ว่า WannaCryptor, WanaCrypt0r หรือ Wana Decrypt0r โดยในตอนนี้ทั่วโลกจะใช้ชื่ออย่างเป็นทางการว่า “WanaCrypt0r” ถึงแม้ว่าหากเครื่องคุณติดไวรัสจะมีหน้าจอล็อคสำหรับถอดรหัสที่เรียกว่า Wana Decrypt0r 2.0 ขึ้นมาก็ตาม

วิธีการแพร่กระจายของ WanaCrypt0r

เริ่มต้น MalwareHunterTeam พบ WanaCrypt0r ครั้งแรกเมื่อไม่กี่สัปดาห์ก่อน แต่ยังไม่มีการแพร่กระจายมากนัก จนถึงเมื่อวานนี้ WanaCrypt0r ได้เริ่มแพร่ระบาดไปทั่วโลกเหมือนกับไฟป่าผ่านการโจมตีที่ใช้ชื่อว่า “EternalBlue” ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่เคยรั่วไหลมาก่อนหน้านี้ ซึ่งกลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers เอามาเผยแพร่ออนไลน์เมื่อกลางเดือนเมษายนที่ผ่านมานั่นเอง

โดยตัว Exploit นี้จะเจาะเข้าระบบคอมพิวเตอร์จากระยะไกลผ่านทางโปรโตคอล SMBv1 ถึงแม้ว่า Microsoft จะออกแพทช์ MS17-010 เพื่ออุดช่องโหว่นี้ไปแล้ว แต่หลายคนทั่วโลกยังคงไม่ได้อัปเดตแพท ถ้าใครยังไม่ได้อัพเดตแพทช์ MS17-010 โปรดอัพเดตแพทช์เดี๋ยวนี้ 

เนื่องจาก WanaCrypt0r กำลังแพร่ระบาดอย่างบ้าคลั่ง และยังไม่มีเครื่องมือ Decryptor สำหรับปลดล็อกแต่อย่างใด ดังนั้นวิธีการที่ดีที่สุดคือการอุดช่องโหว่เพื่อลดความเสี่ยงไม่ให้ WanaCrypt0r เจาะเข้าระบบคอมพิวเตอร์ได้ ยิ่งถ้าพร้อมสำรองข้อมูลด้วยก็จะเป็นอะไรที่ช่วยให้อุ่นใจได้มาก

WanaCrypt0r เข้ารหัสไฟล์ข้อมูลได้อย่างไร

หลังจากที่ WanaCrypt0r เจาะเข้าระบบคอมพิวเตอร์ได้แล้ว ตัว Installer จะทำการแตกไฟล์ตัวเองไว้ที่เดียวกับที่มันหลุดเข้ามา ไฟล์ที่แตกมานี้จะอยู่ในรูปของโฟลเดอร์ ZIP ที่ถูกล็อกด้วยรหัสผ่าน ซึ่งประกอบด้วยไฟล์หลายรายการที่จะถูกใช้และรันโดย WanaCrypt0r ดังแสดงในรูปด้านล่าง

0

 

ไฟล์ที่แตกมานี้ ในโฟลเดอร์ msg จะประกอบด้วยข้อความเรียกค่าไถ่ซึ่งรองรับหลากหลายภาษา ได้แก่ Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish และ Vietnamese (ไม่มีภาษาไทย)

จากนั้น WanaCrypt0r จะทำการดาวน์โหลด TOR Client จาก https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip มาแตกไฟล์และเก็บไว้ที่โฟลเดอร์ TaskData ซึ่งโปรแกรม TOR Client นี้จะถูกใช้เพื่อติดต่อสื่อสารกับ C&C Server ของแฮ็คเกอร์ที่ gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion และ cwwnhwhlz52maqm7.onion

เพื่อที่จะเตรียมคอมพิวเตอร์ให้ Ransomware สามารถเข้ารหัสไฟล์ข้อมูลให้ได้มากที่สุด WanaCrypt0r จะรันคำสั่ง icacls . /grant Everyone:F /T /C /Q เพื่อเปลี่ยนให้ทุกคนมีสิทธิ์เต็มที่ (Full Permissions) ในทุกๆ ไฟล์ที่อยู่ภายใต้โฟลเดอร์และโฟลเดอร์ย่อยที่ Ransomware เข้าถึง นอกจากนี้ WanaCrypt0r ยังจัดการฆ่าโปรเซสที่เกี่ยวข้องกับ Database Server และ Mail Server เพื่อที่จะได้เข้ารหัสข้อมูลที่เก็บอยู่ใน Database และ Mail ด้วยเช่นกัน

คำสั่งที่ใช้รันเพื่อฆ่าโปรเซสของ Database และ Mail ได้แก่

1

จนถึงตอนนี้ Wana Crypt0r ก็พร้อมที่จะเข้ารหัสไฟล์ข้อมูลบนคอมพิวเตอร์แล้ว ซึ่งไฟล์ที่จะถูกเข้ารหัสประกอบด้วย

2

ขณะที่เข้ารหัสไฟล์ WanaCrypt0r จะสร้างข้อความเรียกค่าไถ่ชื่อว่า @Please_Read_Me@.txt และคัดลอกตัวปลดรหัส @WanaDecryptor@.exe เก็บไว้ในทุกๆ โฟลเดอร์ที่มีไฟล์ถูกเข้ารหัสไปพร้อมๆ กัน

ถัดมา WanaCrypt0r จะทำการเคลียร์ Shadow Volume Copies หยุดการทำงานของ Windows Startup Recovery และเคลียร์ Windows Server Backup History โดยรันคำสั่ง C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

เนื่องจากคำสั่งนี้จำเป็นต้องรันโดยใช้สิทธิ์ของผู้ดูแลระบบ ดังนั้นเหยื่อจะเห็นหน้าต่างแจ้งเตือนของ UAC คล้ายกับที่แสดงด้านล่าง

wanacrypt0r uac prompt

สุดท้าย WanaCrypt0r จะแสดงหน้าล็อกสกรีนซึ่งระบุข้อความเรียกค่าไถ่พร้อมข้อมูลวิธีการชำระเงิน โดยเรียกค่าไถ่เป็นจำนวนเงินสูงถึง $300 (ประมาณ 10,500 บาท) เหยื่อสามารถเลือกเปลี่ยนภาษาได้ตามความต้องการ

wanacrypt0r lock screen

เมื่อเหยื่อคลิกที่ปุ่ม Check Payment ตัว Ransomware จะเชื่อมต่อกลับไปยัง TOR C&C Server เพื่อตรวจสอบว่ามีการจ่ายค่าไถ่แล้วหรือยัง ถ้ามีการชำระค่าไถ่แล้ว Ransomware จะปลดล็อกไฟล์ข้อมูลให้โดยอัตโนมัติ แต่ถ้ายัง WanaCrypt0r จะแสดงหน้าต่างดังที่เห็นด้านล่าง

wanacrypt0r check for payment

จากการตรวจสอบ พบว่าแฮ็คเกอร์ใช้ Bitcoin Address 3 รายการเป็นช่องทางในการเก็บค่าไถ่ ได้แก่ 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw และ 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn จนถึงตอนนี้ ทาง Bleeping Computer ก็ตั้งประเด็นสงสัยว่า ถ้าเหยื่อจ่ายค่าไถ่ผ่านทาง Bitcoin Address เดียวกันเป็นจำนวนมาก แฮ็คเกอร์จะทราบได้อย่างไรว่าเหยื่อคนไหนจ่ายค่าไถ่ไปแล้ว คนไหนยังไม่ได้จ่ายค่าไถ่

หน้าล็อกสกรีนของ WanaCrypt0r ยังมีลิงค์ Contact Us สำหรับเปิดกล่องข้อความให้เหยื่อติดต่อกับแฮ็คเกอร์ที่พัฒนา WanaCrypt0r อีกด้วย

wanacrypt0r contact form

นอกจากนี้ Ransomware ยังเปลี่ยนหน้า Wallpaper ของคอมพิวเตอร์ให้แสดงข้อความเรียกค่าไถ่ ดังแสดงในรูปด้านล่าง

wanacrypt0r wallpaper

สำหรับไฟล์ @Please_Read_Me@.txt ที่ถูกสร้างขึ้นไว้ในทุกๆ โฟลเดอร์ที่ไฟล์ถูกเข้ารหัส ก็จะถูกสร้างขึ้นบนหน้า Desktop ด้วยเช่นกัน ซึ่งไฟล์ดังกล่าวจะให้ข้อมูลเชิงถามตอบ (FAQ) เกี่ยวกับสถานการณ์ที่เกิดขึ้น

wanacrypt0r ransom note

อย่างที่บอกไปตั้งแต่แรก จนถึงตอนนี้ยังไม่มี Decryptor สำหรับปลดล็อกไฟล์ที่ถูก Wana Decrypt0r 2.0 โจมตี เหยื่อจำเป็นต้องกู้ข้อมูลกลับคืนมาจากไฟล์ Backup หรือทดลองใช้โปรแกรมอย่าง Shadow Explorer โดยหวังว่า Ransomware จะไม่ได้ลบ Shadow Volume Copies ทิ้งไป ซึ่งถ้าเหยื่อไม่ได้กด Yes ตรงหน้าแจ้งเตือน UAC ก็มีโอกาสสูงที่จะกู้ข้อมูลกลับคืนมาได้

ดูวิธีกู้ข้อมูลจาก Shadow Volume Copies ได้ ที่นี่ 

สรุป

หากคุณคอมที่เป็นระบบปฏิบัติการ Windows อยู่ไม่ว่าจะเป็นรุ่นใดตั้งแต่ Windows XP จนถึง Windows 10 แนะนำว่าให้อัพเดตแพทซ์ตัวใหม่ล่าสุดจากทางไมโครซอฟท์ให้เร็วที่สุด เพื่อความมั่นคงปลอดภัยล่าสุดบนคอมพิวเตอร์ โปรดอัพเดตแพทซ์ MS17-010 นี้โดยเร็วที่สุด เพื่อที่จะช่วยอุดช่องโหว่ของ Exploit จาก NSA ที่ใช้แพร่กระจาย Ransomware เข้ามาได้

หรืออีกทางเลือกสำหรับคนที่ไม่ต้องการอัพเดตแพทซ์ สามารถดาวน์โหลดโปรแกรมป้องกันมัลแวร์ WanaCrypt0r ที่คนไทยทำขึ้นมาเองได้ ที่พัฒนาโดยห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ ของ มหาวิทยาลัยเทคโนโลยีสุรนารี ได้ ที่นี่ เลยครับ

ที่มา : techtalkthai bleepingcomputer SUT

Click to comment
 
Advertisement

บทความน่าสนใจ

Tips & Tricks

ปฏิเสธไม่ได้ว่าทุกวันนี้อินเทอร์เน็ตมีผลต่อเราทุกคนเป็นอย่างมาก ซึ่งการที่แทบทุกคนเข้าถึงเครือข่ายอินเทอร์เน็ตได้นั้น ก็เป็นความสะดวกสำหรับการติดต่อสื่อสารถึงกัน แต่อีกทางหนึ่งก็อาจเป็นปัญหาเรื่องการคุกคาม รวมไปถึงการโจรกรรมข้อมูลของเราเพื่อนำไปใช้ประโยชน์ในทางไม่ดีได้เช่นกัน ซึ่งภัยคุกคามทั้งหลายทางไซเบอร์ก็มักไม่มีการเตือนล่วงหน้า รู้ตัวอีกทีเราก็ตกเป็นเหยื่อของมันเสียแล้ว ทีมงาน Notebookspec จึงได้นำ 7 เรื่องที่ควรทำเพื่อหลีกเลี่ยงภัยเงียบจากโลกไซเบอร์มาฝากกันตามลำดับดังนี้เลย 1. ควรติดตั้งซอฟท์แวร์หรือแอปพลิเคชันที่ถูกลิขสิทธิ์ หรือจากเว็บไซต์ที่แจกโปรแกรมฟรีที่น่าเชื่อถือ และไม่ควรใช้ซอฟท์แวร์ปลอมหรือแอปพลิเคชันที่ไม่น่าเชื่อถือ เพื่อการป้องกันและหลีกเลี่ยงไวรัสหรือมัลแวร์ที่อาจแฝงเข้ามากับโปรแกรม   2. ตั้งรหัสผ่านการใช้อินเทอร์เน็ตบ่อย ๆ ทั้ง Wi-Fi หรือ...

Notebook News

    มีคนดีก็ต้องมีคนไม่ดี ยิ่งเมื่อเกิดสถานการณ์ที่สร้างความตระหนกให้กับผู้คนจำนวนมากแล้ว ก็มักจะมีมือดีฉกฉวยโอกาสจากสถานการณ์เหล่านี้สร้างความปั่นป่วนให้สังคมเพิ่มขึ้นมาอีก โดยล่าสุด Coronavirus Malware กำลังระบาดไปสู่ผู้ใช้ โดยบริษัทรักษาความปลอดภัยด้านไซเบอร์ที่ตรวจสอบหาภัยคุกคามทางไซเบอร์นั้น ได้พบ Email ที่มีลักษณะเป็นการแชร์เกี่ยวกับ วิธีการป้องกันตัวเองจากไวรัสโคโรน่า   เจ้า Malware ตัวนี้ถูกพบโดย IBM X-Force Threat Intelligence มันจะลวงผู้ใช้ด้วย Email...

Microsoft News

เราได้เห็นการแฮ็กมามากมายครับไม่ว่าจะเป็นการนำเอา Windows XP ไปลงบน Nintendo Switch หรือแม้กระทั่งนำเอา Windows 10 ไปรันบน OnePlus 6T แน่นอนว่าเรื่องดังกล่าว

Microsoft News

หลังจากที่ก่อนหน้านี้ในช่วงเดือนมกราคมที่ผ่านมานั้นมีการเผยข้อมูลการแฮกระบบอีเมลออกมาว่ามีอีเมลกว่า 773 ล้านฉบับพูกเข้าถึงข้อมูลในระดับหนึ่งได้