สุพิชฌาย์ ถาวรลิมปะพงศ์

suphitcha Kblogger

สุพิชฌาย์ ถาวรลิมปะพงศ์

WANNACRY คืออะไร เป็นมายังไง เครื่องที่ใช้อยู่จะโดนด้วยมั้ย?

WANNACRY คืออะไร เป็นมายังไง เครื่องที่ใช้อยู่จะโดนด้วยมั้ย?

 

WANNACRY คืออะไร เป็นมายังไง เครื่องที่ใช้อยู่จะโดนด้วยมั้ย?

Wcry, WannaCry, WannaCrypt, WannaCryptor ชื่อทั้งหมดที่กล่าวมาล้วนเป็นตัวเดียวกันทั้งหมดทั้งหมดครับ แต่มักจะถูกเรียกในข่าวกันว่า WannaCry หรือ WannaCrypt ซะมาก ผมขอเรียกเป็น WannaCry ละกันครับ เจ้า WannaCry มันก็คือ ransomware อีกตัวหนึ่งนี่แหละครับ เพียงแต่มันอาศัยช่องโหว่ของฟีเจอร์หนึ่งบน Windows ที่มีชื่อว่า Service Message Block version 1 (SMBv1) ที่ออกแบบมาสำหรับการเชื่อมต่อส่งข้อมูลระหว่างเครื่องภายในเน็ตเวิร์กเดียวกัน ซึ่งทางไมโครซอฟท์ได้อัพเดตแพทช์อุดช่องโหว่นี้ไปแล้วเมื่อเดือนมีนาคม 2017 ที่ผ่านมา ใครอัพเดตไปแล้วก็โล่งอกได้ รุ่นได้อัพเดตก็มี

ส่วนเวอร์ชันอื่นอย่าง Windows XP, Windows 8 และ Windows Server 2003 นั้นจะไม่ได้อัพเดตเนื่องจากหมดอายุการซัพพอร์ทแล้ว สำหรับคนที่ใช้ Windows เวอร์ชันเหล่านี้แนะนำให้อ่านเพิ่มเติมที่หัวข้อการป้องกันด้านล่างครับสำคัญมาก

การทำงานของ WannyCry คือจะไปเข้ารหัสข้อมูลในเครื่อง ไล่ทุก Drive เท่าที่มันจะหาเจอ เมื่อเข้ารหัสแล้วสภาพของไฟล์จะเหมือนเวลาเราทำ Disk Encryption แบบนั้นเลยครับ เพียงแต่ว่าเราไม่มีคีย์สำหรับแกะมัน มีเพียงแฮกเกอร์เจ้าของ WannaCry เท่านั้นที่มี และนั่นก็ทำให้แฮกเกอร์ยื่นขอเสนอว่าให้จ่ายเงินมูลค่า $300 (ประมาณ 1 หมื่นบาท) ในสกุล Bitcoin ไปยังเลขที่บัญชีของ Bitcoin ที่ระบุไว้ แล้วถึงจะส่งโปรแกรมสำหรับถอดรหัสกลับมาใหม่

ส่งผลกระทบอย่างไรบ้าง รุนแรงแค่ไหน

ภาพจาก: The Hackers News

และการแพร่กระจายก็ยังไม่จบไม่สิ้นครับ คาดว่าเราจะเห็นความเสียหายจากมันกันไปอีกสักพักใหญ่เลยทีเดียว

ป้องกันยังไงได้บ้าง

ภาพจาก: wtechblog

 

มาถึงหัวข้อสำคัญกันแล้วครับว่าเราจะป้องกันเครื่องของเราให้พ้นจาก WannaCry ได้อย่างไร มาไล่กันเป็นข้อๆ ละกัน จะได้อ่านง่ายๆ หน่อย

  1. ถ้าใช้งาน Windows เวอร์ชันใหม่ อย่าง Windows 10, 8.1, 7 SP1 ยังได้รับซัพพอร์ท มีอัพเดตตลอด ให้รีบอัพเดต
  2. ถ้าใช้ Windows เวอร์ชันเก่าที่ไมโครซอฟท์เลิกซัพพอร์ทแล้วอย่าง Windows XP, Windows 8, Windows Server 2003 ให้ไปโหลดแพทช์พิเศษมาติดตั้งโดยด่วน, สำหรับเวอร์ชันอื่นให้ลองดูที่ Microsoft Update Catalog แล้วดาวน์โหลดไปติดตั้งตามเวอร์ชันของเครื่อง
  3. ถ้าที่ใช้อยู่เป็น Windows 7 ที่ยังไม่ได้อัพเดต Service Pack ให้อัพเดตด่วนๆ เลยครับ เพราะว่าถ้าไม่ใช่ Service Pack 1 จะไมไ่ด้รับการซัพพอร์ทเรื่องของแพทช์แล้ว ถ้าขึ้นเป็น Service Pack 1 แล้วก็อัพเดตให้ปัจจุบันด้วยครับ
  4. ถ้าใช้ Windows เวอร์ชันอื่นๆ ที่พ้นซัพพอร์ทแล้ว ไม่ได้แพทช์พิเศษด้วย หรือใช้ Windows เถื่อน กลุ่มนี้จะอดอัพเดตแพทช์ครับ หาเวอร์ชันใหม่ของแท้มาใช้เถอะครับ ถูกกว่าค่าไถ่เยอะ …
  5. ขั้นสุดท้าย ถ้าไม่ได้มีการใช้งานอุปกรณ์ในเครือข่ายที่ผ่านโปรโตคอล SMBv1 ก็แนะนำให้ปิดฟีเจอร์นี้ทิ้งไปเลยครับ ทำตามขั้นตอนนี้ได้เลย

ถ้าพูดถึงการป้องกันแล้ว คำถามยอดฮิตที่จะตามมาก็คือ Antivirus ช่วยมั้ย? บอกเลยครับว่าในกรณีของ Ransomware นั้น Antivirus แทบไม่มีประโยชน์เลยครับ สาเหตุมีหลายอย่าง ไม่ว่าจะเพราะ Ransomware แต่ละตัวมันแตกต่างกันออกไป ชื่อไฟล์ก็ต่างไป ตรวจสอบแพทเทิร์นยาก และตัว Antivirus เองก็ต้องได้รับการอัพเดตจากผู้ผลิตก่อนถึงจะทราบว่าไฟล์ไหนเป้นอันตราย กว่าจะได้อัพเดต Ransomware ก็เข้ารหัสข้อมูลเครื่องหมดแล้วครับ อย่างกรณี WannyCry ระบาดก็เป็นตัวอย่างที่ดีครับว่ามันกระจายไปทั่วไปแล้ว ผู้พัฒนา Antivirus ถึงสามารถอัพเดตมาช่วยป้องกันได้ แถมตัว Antivirus เองก็จะโดนเข้ารหัสใช้งานไม่ได้ตามไปด้วย

 

คำถามยอดฮิต

 

ถาม: ใช้ Windows 10 ที่อัพเดตมาจาก Windows 7, Windows 8.1 เมื่อตอนที่ไมโครซอฟท์ปล่อยให้อัพเดต เวอร์ชันนี้เป็นของแท้หรือเปล่า? ได้แพทช์มั้ย ?

ตอบ: ถ้าอัพเดตมาตามกระบวนการนี้ ถือว่าได้เป็นของแท้แล้วครับ และถ้าอัพเดต Windows เรื่อยๆ จนถึงปัจจุบัน ก็ควรจะได้แพทช์ปิดช่องโหว่เรียบร้อยแล้ว วางใจได้ครับ

 

ถาม: โดนเล่นงานแล้ว ทำอะไรได้บ้าง

ตอบ: ถ้าในเครื่องไม่ได้มีไฟล์งานอะไรสำคัญ แนะนำให้ลง Windows ได้เลยครับ แต่ถ้ามีข้อมูลที่จำเป็นต้องเอากลับมาให้ได้ ตอนนี้มีทางเลือกเดียวคือต้องจ่ายตังให้คนร้ายเพื่อที่จะเอาโปรแกรมมาถอดรหัสข้อมูล

 

ถาม: จ่ายแล้วจะได้ข้อมูลคืนจริงหรือไม่ ?

ตอบ: ส่วนใหญ่แล้วคนร้ายเบื้องหลัง ransomware มักจะมีสัจจะครับ ได้ตังแล้วแก้ให้ ไม่งั้นคงทำธุรกิจมืดแบบนี้ต่อไปไม่ได้ ในกรณีของ WannaCry นั้นผมเข้าใจว่ามีคนที่จ่ายเงินแล้วได้ข้อมูลคืนแล้วจริง แต่ก็มีข่าวคราวออกมาว่าเซิฟเวอร์ของคนร้าย (น่าจะเป็นเซิฟเวอร์สำหรับประมวลผลการจ่ายเงิน / ส่งโปรแกรมแก้ไข) ล่มไปแล้ว แต่ยังหาแหล่งข่าวชัดๆ ไม่ได้ เลยไม่ทราบว่าตอนนี้เป็นอย่างไรบ้าง

 

ถาม: ถ้าจะกู้ไฟล์ ต้องจ่ายเงินอย่างเดียวเลยหรอ ?

ตอบ: อาจจะครับ เพราะถ้าเป็นกรณีก่อนหน้านี้ จะมี ransomware บางตัวที่ทีมวิจัยจากบริษัทความปลอดภัยสามารถถอดกระบวนการเข้ารหัสได้ และสร้างโปรแกรมถอดรหัสแจกจ่ายให้เอาไปใช้กันได้ฟรี แต่สำหรับ WannaCry นั้นยังไม่มี และยังไม่รู้ว่าจะมีออกมาหรือไม่ หรือออกมาเมื่อไร ถ้ารอได้ก็อาจจะต้องรอกันยาวๆ ไปครับ

 

ารโจมตีทางไซเบอร์นั้นไม่ได้มีแค่รูปแบบที่ไปทำลายเป้าหมายเหมือนตามหนังอย่างเดียว แต่มันมีหลากหลายรูปแบบมากครับ ขอแค่เพียงมีช่องโหว่สักที่ เหล่าแฮกเกอร์ก็สามารถใช้มันเป็นประโยชน์สำหรับกระทำการต่างๆ แล้ว ในอนาคตเราอาจจะเจอรูปแบบที่แปลกประหลาไปมากกว่านี้ก็เป็นได้ และการที่ซอฟท์แวร์นั้นมีช่องโหว่นั้นก็แทบจะเรียกได้ว่าเป็นเรื่องปกติ เพียงแต่ว่าช่องโหว่ที่มีนั้นอาจจะยังไม่ถูกพบเจอ หรือยังไม่ถูกนำไปใช้งานจนเกิดผลเสียหาย ดังนั้นเราจึงควรตระหนักอยู่เสมอว่าบนโลกไซเบอร์ โลกอินเทอร์เน็ตที่อะไรๆ ก็เชื่อมต่อกันได้นั้นไม่ได้ปลอดภัยเสมอ และผู้ใช้งานระบบนี้ก็ต้องศึกษาและให้ความสำคัญในเรื่องความปลอดภัยอย่างสม่ำเสมอ เพื่อที่จะได้ไหวตัวทันเมื่อเกิดเหตุการเฉกเช่น WannaCry ในครั้งนี้

 

ขอบคุณข้อมูลที่เอามาอ้างอิงประกอบบทความจาก

  • Blognone,
    อาศัยข้อมูลเยอะมาก ต้องขอบคุณ Blognone ที่ติดตามสถานการณ์ WannyCry อย่างใกล้ชิด และไกด์สำหรับการอัพเดต Windows รุ่นเก่าๆ ครับ
  • ข้อมูลพฤติกรรมการทำงานของ WannaCry จาก Troyhunt และ Talo Intelligence
    เว็บไซต์ 2 เว็บนี้เขียนอธิบายได้ดีมาก ใครสนใจเบื้องลึกสามารถอ่านเพิ่มเติมได้ครับ

แหล่งข้อมูล: https://droidsans.com/wannacry-ransomware-summary/

 

 

 

หมวดหมู่: หมวดทั่วไป: ทั่วไป

มิติด้าน: ทั่วไป

Tags: ไวรัสเรียกค่าไถ่,WannaCrypt,ransomware

 


Published: 2017-05-19 01:07:09
19 May 2017 01:07:09
29 | Last visitor: 2017-05-24 13:26:43
© 2017 Kblogger HR-Blog | Kaewpanya
สถาบันถ่ายทอดเทคโนโลยีสู่ชุ่มชน