สิ่งที่คุณควรรู้เกี่ยวกับมัลแวร์เรียกค่าไถ่ WannaCry

By
PR News
-

มัลแวร์ WannaCry แพร่ระบาดอย่างรวดเร็วทั่วเครือข่าย เข้ายึดไฟล์เพื่อเรียกค่าไถ่

โดย: ทีมงานศูนย์ตอบสนองด้านความปลอดภัยของไซแมนเทค

เกิดอะไรขึ้น เมื่อวันที่ 12 พฤษภาคม 2560 เวอร์ชั่นใหม่ของมัลแวร์เรียกค่าไถ่ Ransom.CryptXXX (ตรวจพบในชื่อ Ransom.Wannacry) เริ่มแพร่ระบาดอย่างรวดเร็ว ส่งผลกระทบต่อองค์กรจำนวนมาก โดยเฉพาะอย่างยิ่งในยุโรป

มัลแวร์เรียกค่าไถ่ WannaCry คืออะไร

WannaCry เข้ารหัสไฟล์ข้อมูล และขอให้ผู้ใช้จ่ายค่าไถ่ 300 ดอลลาร์สหรัฐฯ ในรูปแบบของบิตคอยน์ (bitcoin) โดยจดหมายเรียกค่าไถ่ระบุว่ายอดเงินเรียกค่าไถ่จะเพิ่มขึ้นสองเท่าหลังจากที่เวลาผ่านไป 3 วัน และถ้าหากไม่ได้จ่ายค่าไถ่ภายใน 7 วัน ไฟล์ที่เข้ารหัสไว้ก็จะถูกลบทิ้ง

นอกจากนี้ มัลแวร์ดังกล่าวยังปล่อยไฟล์ที่มีชื่อว่า !Please Read Me!.txt ซึ่งประกอบด้วยจดหมายเรียกค่าไถ่

WannaCry เข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้ โดยใส่ .WCRY ต่อท้ายที่ชื่อไฟล์:

  • .123
  • .3dm
  • .3ds
  • .3g2
  • .3gp
  • .602
  • .7z
  • .ARC
  • .PAQ
  • .accdb
  • .aes
  • .ai
  • .asc
  • .asf
  • .asm
  • .asp
  • .avi
  • .backup
  • .bak
  • .bat
  • .bmp
  • .brd
  • .bz2
  • .cgm
  • .class
  • .cmd
  • .cpp
  • .crt
  • .cs
  • .csr
  • .csv
  • .db
  • .dbf
  • .dch
  • .der
  • .dif
  • .dip
  • .djvu
  • .doc
  • .docb
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .dwg
  • .edb
  • .eml
  • .fla
  • .flv
  • .frm
  • .gif
  • .gpg
  • .gz
  • .hwp
  • .ibd
  • .iso
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .js
  • .jsp
  • .key
  • .lay
  • .lay6
  • .ldf
  • .m3u
  • .m4u
  • .max
  • .mdb
  • .mdf
  • .mid
  • .mkv
  • .mml
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .msg
  • .myd
  • .myi
  • .nef
  • .odb
  • .odg
  • .odp
  • .ods
  • .odt
  • .onetoc2
  • .ost
  • .otg
  • .otp
  • .ots
  • .ott
  • .p12
  • .pas
  • .pdf
  • .pem
  • .pfx
  • .php
  • .pl
  • .png
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .ps1
  • .psd
  • .pst
  • .rar
  • .raw
  • .rb
  • .rtf
  • .sch
  • .sh
  • .sldm
  • .sldx
  • .slk
  • .sln
  • .snt
  • .sql
  • .sqlite3
  • .sqlitedb
  • .stc
  • .std
  • .sti
  • .stw
  • .suo
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxi
  • .sxm
  • .sxw
  • .tar
  • .tbk
  • .tgz
  • .tif
  • .tiff
  • .txt
  • .uop
  • .uot
  • .vb
  • .vbs
  • .vcd
  • .vdi
  • .vmdk
  • .vmx
  • .vob
  • .vsd
  • .vsdx
  • .wav
  • .wb2
  • .wk1
  • .wks
  • .wma
  • .wmv
  • .xlc
  • .xlm
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .zip

มัลแวร์นี้แพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ โดยใช้ช่องโหว่ของการเรียกใช้โค้ดระยะไกล SMB ในคอมพิวเตอร์ Microsoft Windows (MS17-010)

คุณได้รับการปกป้องให้รอดพ้นจากภัยคุกคามนี้หรือไม่

เครือข่าย Global Intelligence Network (GIN) ของไซแมนเทค (Symantec) ให้บริการตรวจจับอัตโนมัติสำหรับผลิตภัณฑ์ทั้งหมดที่รองรับเพื่อตรวจสอบว่ามีการพยายามทำให้เครื่องติดเชื้อผ่านเว็บหรือไม่

ลูกค้าของไซแมนเทคและนอร์ตันได้รับการปกป้องให้รอดพ้นจาก WannaCry โดยใช้เทคโนโลยีต่างๆ

โปรแกรมป้องกันไวรัส

ลูกค้าควรรัน LiveUpdate และตรวจสอบว่ามีฐานข้อมูลไวรัสเวอร์ชั่นต่อไปนี้หรือสูงกว่าติดตั้งไว้บนเครื่อง เพื่อให้แน่ใจว่ามีการปกป้องที่ทันสมัยที่สุด:

  • 20170512.009

การป้องกัน SONAR

การป้องกันบนเครือข่าย

นอกจากนี้ ไซแมนเทคยังมีการป้องกัน IPS ต่อไปนี้ ซึ่งพิสูจน์แล้วว่ามีประสิทธิภาพอย่างมากสำหรับการสกัดกั้นความพยายามที่จะโจมตีช่องโหว่ MS17-010:

IPS signature ต่อไปนี้ยังช่วยสกัดกั้นกิจกรรมที่เกี่ยวข้องกับ Ransom.Wannacry:

องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่ามีการติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows โดยเฉพาะอย่างยิ่ง MS17-010 เพื่อป้องกันการแพร่กระจาย

ใครได้รับผลกระทบ

องค์กรจำนวนหนึ่งในหลายๆ ประเทศทั่วโลกติดเชื้อมัลแวร์ดังกล่าว โดยส่วนใหญ่เป็นองค์กรที่อยู่ในยุโรป

เป็นการโจมตีแบบเจาะจงเป้าหมายหรือไม่

ตอนนี้เชื่อว่าไม่ใช่การโจมตีแบบเจาะจงเป้าหมาย โดยปกติแล้วการโจมตีของมัลแวร์เรียกค่าไถ่มักจะไม่มีการกำหนดกลุ่มเป้าหมายที่เฉพาะเจาะจง

เหตุใดจึงก่อให้เกิดปัญหามากมายสำหรับองค์กร

WannaCry สามารถแพร่กระจายตัวเองภายในเครือข่ายองค์กร โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ ทั้งนี้โดยอาศัยช่องโหว่ในระบบปฏิบัติการ Microsoft Windows คอมพิวเตอร์ที่ไม่ได้ติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows มีความเสี่ยงต่อการติดเชื้อ

จะสามารถกู้คืนไฟล์ที่เข้ารหัสได้หรือไม่

ตอนนี้ยังไม่สามารถถอดรหัสได้ แต่ไซแมนเทคกำลังดำเนินการตรวจสอบ ไซแมนเทคไม่แนะนำให้จ่ายเงินค่าไถ่ ทางที่ดีควรจะกู้คืนไฟล์จากข้อมูลแบ็คอัพที่มีอยู่

แนวทางสำหรับการป้องกันมัลแวร์เรียกค่าไถ่มีอะไรบ้าง

  • มีการเผยแพร่มัลแวร์เรียกค่าไถ่เวอร์ชั่นใหม่ออกมาอยู่เรื่อยๆ ดังนั้นคุณจึงควรอัพเดตซอฟต์แวร์ด้านการรักษาความปลอดภัยให้ทันสมัยอยู่เสมอ เพื่อปกป้องตัวคุณเอง
  • ดูแลระบบปฏิบัติการและซอฟต์แวร์อื่นๆ ให้อัพเดตอยู่เสมอ โดยมากแล้วซอฟต์แวร์อัพเดตมักจะมีแพตช์สำหรับแก้ไขช่องโหว่ที่เพิ่งค้นพบ ซึ่งคนร้ายอาจใช้ช่องโหว่ดังกล่าวในการโจมตีด้วยมัลแวร์เรียกค่าไถ่
  • อีเมลเป็นหนึ่งในช่องทางหลักที่ทำให้เกิดการติดเชื้อ ควรระวังอีเมลที่น่าสงสัย โดยเฉพาะอย่างยิ่งอีเมลที่มีลิงก์และ/หรือไฟล์แนบ
  • ระวังเป็นพิเศษต่อไฟล์ Microsoft Office ที่แนบมากับอีเมล ซึ่งแจ้งให้คุณเปิดใช้งานมาโครเพื่อดูเนื้อหาในไฟล์ ถ้าคุณไม่แน่ใจว่าเป็นอีเมลฉบับจริงจากผู้ส่งที่ไว้ใจได้หรือไม่ ก็ไม่ควรเปิดใช้งานมาโคร และควรจะลบอีเมลดังกล่าวทันที
  • การแบ็คอัพข้อมูลสำคัญเป็นวิธีเดียวที่มีประสิทธิภาพมากที่สุดในการรับมือกับมัลแวร์เรียกค่าไถ่ คนร้ายใช้วิธีเข้ารหัสไฟล์ที่มีค่าและทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์เหล่านั้นได้ แต่ถ้าเหยื่อมีสำเนาแบ็คอัพ ก็จะสามารถกู้คืนไฟล์ได้หลังจากที่ลบมัลแวร์ออกจากเครื่อง อย่างไรก็ตาม องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่าข้อมูลแบ็คอัพได้รับการปกป้องอย่างเหมาะสมหรือจัดเก็บในแบบออฟไลน์ เพื่อที่ว่าคนร้ายจะไม่สามารถลบข้อมูลแบ็คอัพได้
  • การใช้บริการคลาวด์อาจช่วยหลีกเลี่ยงการติดเชื้อมัลแวร์เรียกค่าไถ่ เพราะส่วนใหญ่มีการเก็บรักษาไฟล์เวอร์ชั่นก่อนหน้า ช่วยให้คุณสามารถ “ย้อนกลับ” ไปสู่รูปแบบที่ไม่ได้เข้ารหัส

ตัวบ่งชี้เพิ่มเติมและข้อมูลด้านเทคนิคเกี่ยวกับ Ransom.Wannacry

เมื่อโทรจันถูกเรียกใช้ ก็จะปล่อยไฟล์ต่อไปนี้:

  • [PATH_TO_TROJAN]\!WannaDecryptor!.exe
  • [PATH_TO_TROJAN]\c.wry
  • [PATH_TO_TROJAN]\f.wry
  • [PATH_TO_TROJAN]\m.wry
  • [PATH_TO_TROJAN]\r.wry
  • [PATH_TO_TROJAN]\t.wry
  • [PATH_TO_TROJAN]\u.wry
  • [PATH_TO_TROJAN]\TaskHost
  • [PATH_TO_TROJAN]\00000000.eky
  • [PATH_TO_TROJAN]\00000000.pky
  • [PATH_TO_TROJAN]\00000000.res
  • %Temp%\0.WCRYT
  • %Temp%\1.WCRYT
  • %Temp%\2.WCRYT
  • %Temp%\3.WCRYT
  • %Temp%\4.WCRYT
  • %Temp%\5.WCRYT
  • %Temp%\hibsys.WCRYT

หมายเหตุ: [PATH_TO_TROJAN] เป็นพาธที่โทรจันถูกเรียกใช้ในตอนแรก

จากนั้น โทรจันดังกล่าวจะสร้างรายการรีจิสทรีต่อไปนี้:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Microsoft Update Task Scheduler” = “”[PATH_TO_TROJAN]\[TROJAN_EXE_NAME]” /r”
  • HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\”wd” = “[PATH_TO_TROJAN]”

และโทรจันจะตั้งค่ารายการรีจิสทรีต่อไปนี้:

  • HKEY_CURRENT_USER\Control Panel\Desktop\”Wallpaper” = “%UserProfile%\Desktop\!WannaCryptor!.bmp”

โทรจันสร้าง Mutex ต่อไปนี้:

  • Global\WINDOWS_TASKOSHT_MUTEX0
  • Global\WINDOWS_TASKCST_MUTEX

จากนั้นจะหยุดกระบวนการต่อไปนี้โดยใช้ taskkil /f /iml:

  • sqlwriter.exe
  • sqlserver.exe
  • Microsoft.Exchange.*
  • MSExchange*

แล้วค้นหาและเข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้:

  • .123
  • .3dm
  • .3ds
  • .3g2
  • .3gp
  • .602
  • .7z
  • .ARC
  • .PAQ
  • .accdb
  • .aes
  • .ai
  • .asc
  • .asf
  • .asm
  • .asp
  • .avi
  • .backup
  • .bak
  • .bat
  • .bmp
  • .brd
  • .bz2
  • .cgm
  • .class
  • .cmd
  • .cpp
  • .crt
  • .cs
  • .csr
  • .csv
  • .db
  • .dbf
  • .dch
  • .der
  • .dif
  • .dip
  • .djvu
  • .doc
  • .docb
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .dwg
  • .edb
  • .eml
  • .fla
  • .flv
  • .frm
  • .gif
  • .gpg
  • .gz
  • .hwp
  • .ibd
  • .iso
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .js
  • .jsp
  • .key
  • .lay
  • .lay6
  • .ldf
  • .m3u
  • .m4u
  • .max
  • .mdb
  • .mdf
  • .mid
  • .mkv
  • .mml
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .msg
  • .myd
  • .myi
  • .nef
  • .odb
  • .odg
  • .odp
  • .ods
  • .odt
  • .onetoc2
  • .ost
  • .otg
  • .otp
  • .ots
  • .ott
  • .p12
  • .pas
  • .pdf
  • .pem
  • .pfx
  • .php
  • .pl
  • .png
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .ppt
  • .pptm
  • .pptx
  • .ps1
  • .psd
  • .pst
  • .rar
  • .raw
  • .rb
  • .rtf
  • .sch
  • .sh
  • .sldm
  • .sldx
  • .slk
  • .sln
  • .snt
  • .sql
  • .sqlite3
  • .sqlitedb
  • .stc
  • .std
  • .sti
  • .stw
  • .suo
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxi
  • .sxm
  • .sxw
  • .tar
  • .tbk
  • .tgz
  • .tif
  • .tiff
  • .txt
  • .uop
  • .uot
  • .vb
  • .vbs
  • .vcd
  • .vdi
  • .vmdk
  • .vmx
  • .vob
  • .vsd
  • .vsdx
  • .wav
  • .wb2
  • .wk1
  • .wks
  • .wma
  • .wmv
  • .xlc
  • .xlm
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .zip

ไฟล์ที่ถูกเข้ารหัสจะมี .WCRY ต่อท้ายที่ชื่อไฟล์

จากนั้นโทรจันจะลบสำเนาของไฟล์ที่เข้ารหัส

โทรจันปล่อยไฟล์ต่อไปนี้ไว้ในทุกโฟลเดอร์ที่มีไฟล์เข้ารหัส:

  • !WannaDecryptor!.exe.lnk
  • !Please Read Me!.txt

เนื้อหาของไฟล์ !Please Read Me!.txt คือจดหมายเรียกค่าไถ่ที่ระบุรายละเอียดเกี่ยวกับวิธีการจ่ายค่าไถ่

โทรจันจะดาวน์โหลด Tor และใช้งานเพื่อเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้เครือข่าย Tor

จากนั้นจะแสดงจดหมายเรียกค่าไถ่ที่อธิบายให้ผู้ใช้ทราบว่ามีอะไรเกิดขึ้น รวมถึงวิธีการจ่ายเงินค่าไถ่