[x] ปิดหน้าต่างนี้
Powered by ATOMYMAXSITE 2.5
โรงเรียนอรุโณทัยวิทยาคม, อรุโณทัยวิทยาคม, อรุโณทัยเชียงดาว, Arunothai Wittayakom, เวบไซด์โรงเรียนอรุโณทัยวิทยาคม, อำเภอเชียงดาว, อรุโณทัย
ยินดีต้อนรับคุณ บุคคลทั่วไป  
English Chinese (Simplified) Chinese (Traditional) French German Italian Japanese Korean Portuguese Russian Spanish Vietnamese Thai     
ค้นหา   
เมนูหลัก
link banner
e-Learning
มหาวิทยาลัยราชภัฏเชียงใหม่

พยากรณ์อากาศ
 
ราคาน้ำมัน
เพลงมาร์ชโรงเรียน

  

  หมวดหมู่ : บทความทางวิชาการ
เรื่อง : ระวังภัย มัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ของวินโดวส์ รีบอัปเดตทันที
โดย : admin
เข้าชม : 69
พฤหัสบดี ที่ 25 เดือน พฤษภาคม พ.ศ.2560 ปักหมุดและแบ่งปัน
     


สถานการณ์การโจมตี

เมื่อวันที่ 12 พฤษภาคม 2560 บริษัท Avast ได้รายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ชื่อ WannaCry [1] โดยมัลแวร์ดังกล่าวมีจุดประสงค์หลักเพื่อเข้ารหัสลับข้อมูลในคอมพิวเตอร์เพื่อเรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้

สิ่งที่น่ากังวลเป็นพิเศษสําหรับมัลแวร์นี้คือความสามารถในการกระจายตัวเองจากเครื่องคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายได้โดยอัตโนมัติ ผ่านช่องโหว่ระบบ SMB (Server Message Block) ของวินโดวส์ ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการวินโดวส์มีความเสี่ยงที่จะติดมัลแวร์นี้

ช่องโหว่ที่ถูกใช้ในการแพร่กระจายมัลแวร์เป็นช่องโหว่ที่ถูกเปิดเผยสู่สาธารณะตั้งแต่ช่วงเดือนเมษายน 2560 [2] และถึงแม้ทาง Microsoft จะเผยแพร่อัปเดตแก้ไขช่องโหว่ดังกล่าวไปตั้งแต่วันที่ 14 มีนาคม 2560 แล้ว [3] แต่ก็ยังพบว่าปัจจุบันมีเครื่องคอมพิวเตอร์ที่ยังไม่ได้อัปเดตแพตช์ดังกล่าวและถูกโจมตีจากมัลแวร์นี้มากกว่า 200,000 เครื่อง จาก 112 ประเทศ โดยเกิดผลกระทบสูงต่อหน่วยงานสาธารณสุขของประเทศอังกฤษ ในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้าง แต่ยังไม่พบการแพร่กระจายในวงกว้าง

จากข้อมูลของ Microsoft ระบบปฏิบัติการที่มีช่องโหว่ในระบบ SMB เวอร์ชัน 1 ที่ถูกใช้ในการโจมตีโดยมัลแวร์นี้ มีตั้งแต่ Windows XP, Windows Server 2003 ไปจนถึง Windows 10 และ Windows Server 2016 แต่เมื่อเดือนมีนาคม 2560 ทาง Microsoft ไม่ได้ออกอัปเดตแก้ไขช่องโหว่นี้ให้กับ Windows XP และ Windows Server 2003 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนไปแล้ว อย่างไรก็ตาม เนื่องจากปัจจุบันยังมีเครื่องคอมพิวเตอร์ที่ใช้งานสองระบบปฏิบัติการดังกล่าวและยังเชื่อมต่อกับอินเทอร์เน็ตอยู่ จึงทำให้ถูกโจมตีได้ Microsoft จึงออกอัปเดตฉุกเฉินมาเพื่อแก้ไขปัญหานี้ โดยผู้ใช้สามารถดาวน์โหลดอัปเดตดังกล่าวได้จากเว็บไซต์ของ Microsoft [4]

พฤติกรรมของมัลแวร์ WannaCry

ปัจจุบันพบข้อมูลรายงานการตรวจสอบมัลแวร์จากเว็บไซต์ Hybrid Analysis ซึ่งให้บริการวิเคราะห์มัลแวร์ มีผลลัพธ์ของการวิเคราะห์ไฟล์ต้องสงสัย ซึ่งผู้ใช้งานตั้งชื่อว่า wannacry.exe [5] โดยผลลัพธ์แสดงให้เห็นว่าเป็นมัลแวร์ประเภท Ransomware และมีสายพันธุ์สอดคล้องกับมัลแวร์ WannaCry ที่แพร่ระบาดอยู่ในปัจจุบัน ซึ่งมีฟังก์ชันที่พบเรื่องการเข้ารหัสลับข้อมูลไฟล์เอกสารบนเครื่องคอมพิวเตอร์ การแสดงผลข้อความเรียกค่าไถ่ เป็นต้น โดยในรายงานกล่าวถึงการเชื่อมโยงข้อมูลกับไอพีแอดเดรสจากต่างประเทศตามตารางด้านล่าง ซึ่งคาดว่าเป็นไอพีแอดเดรสของผู้ไม่ประสงค์ดีที่ใช้ในการควบคุมและสั่งการ

ไอพีแอดเดรสปลายทาง

พอร์ตปลายทาง

ประเทศ

213.61.66.116

9003/TCP

Germany

171.25.193.9

80/TCP

Sweden

163.172.35.247

443/TCP

United Kingdom

128.31.0.39

9101/TCP

United States

185.97.32.18

9001/TCP

Sweden

178.62.173.203

9001/TCP

European Union

136.243.176.148

443/TCP

Germany

217.172.190.251

443/TCP

Germany

94.23.173.93

443/TCP

France

50.7.151.47

443/TCP

United States

83.162.202.182

9001/TCP

Netherlands

163.172.185.132

443/TCP

United Kingdom

163.172.153.12

9001/TCP

United Kingdom

62.138.7.231

9001/TCP

Germany

ตารางที่ 1 แสดงการเชื่อมต่อจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ WannaCry

นอกจากนี้ยังพบว่ามีผู้รวบรวมข้อมูลเกี่ยวกับพฤติกรรมของมัลแวร์ WannaCry ไว้บนเว็บไซต์ Github รวมถึงไฟล์มัลแวร์ตัวอย่าง ซึ่งทางไทยเซิร์ตกำลังอยู่ในระหว่างการนำไฟล์ดังกล่าวมาเข้ากระบวนการตรวจวิเคราะห์ต่อไป

ข้อแนะนำในการป้องกัน

  1. ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft โดย Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดอัปเดตได้จาก https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ส่วน Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จาก https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  2. หากไม่สามารถติดตั้งอัปเดตได้ เนื่องจากมัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ SMBv1 ซึ่งถูกใช้ใน Windows เวอร์ชันเก่า เช่น Windows XP, Windows Server 2003 หรืออุปกรณ์เครือข่ายบางรุ่น หากใช้งาน Windows เวอร์ชันใหม่และไม่มีความจำเป็นต้องใช้ SMBv1 ผู้ดูแลระบบอาจพิจารณาปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
  3. หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การบล็อกพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา [6]
  4. ตั้งค่า Firewall เพื่อบล็อกการเชื่อมต่อกับไอพีแอดเดรสปลายทางตามตารางที่ 1 เนื่องจากเป็นไอพีที่ถูกใช้ในการแพร่กระจายและควบคุมมัลแวร์
  5. อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นได้ได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ
  6. ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสส่วนใหญ่ (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ WannaCry สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว

ข้อแนะนำในการแก้ไขหากตกเป็นเหยื่อ

  1. หากพบว่าเครื่องคอมพิวเตอร์ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ WannaCry ให้ตัดการเชื่อมต่อเครือข่าย (ถอดสาย LAN, ปิด Wi-Fi) และปิดเครื่องทันที
  2. ใช้เครื่องคอมพิวเตอร์ที่ไม่ได้ติดมัลแวร์ ดาวน์โหลดไฟล์อัปเดตฐานข้อมูล (Definition) ล่าสุดของโปรแกรมแอนติไวรัสที่ติดตั้งในเครื่อง เพื่อนำมาอัปเดตแบบ offline หากใช้งาน Windows Defender สามารถดาวน์โหลดฐานข้อมูลล่าสุดได้จากเว็บไซต์ Microsoft https://www.microsoft.com/en-us/security/portal/definitions/adl.aspx
  3. รีสตาร์ทเครื่องเข้า Safe Mode
  4. อัปเดตฐานข้อมูลแอนติไวรัส และสั่งสแกนเพื่อลบมัลแวร์

ข้อแนะนำอื่นๆ

  • ปัจจุบันยังไม่พบช่องทางที่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ WannaCry ได้โดยไม่จ่ายเงิน แต่การจ่ายเงินก็มีความเสี่ยงเนื่องจากไม่สามารถมั่นใจได้ว่าจะได้ข้อมูลกลับคืนมา
  • จากที่มีการเผยแพร่ข่าวสารว่าสามารถยับยั้งการทำงานของมัลแวร์ WannaCry ได้นั้น ตรวจสอบแล้วเป็นเพียงการยับยั้งแบบชั่วคราว โดยมีผลเฉพาะกับมัลแวร์บางเวอร์ชันเท่านั้น ไม่สามารถป้องกันปัญหาได้แบบถาวรตราบใดที่ยังไม่มีการอัปเดตแก้ไขช่องโหว่ เนื่องจากผู้พัฒนามัลแวร์สามารถเผยแพร่เวอร์ชันใหม่ที่หลบเลี่ยงการป้องกันได้
  • มัลแวร์เรียกค่าไถ่ WannaCry เวอร์ชันที่มีการแพร่ระบาดอยู่ในปัจจุบัน ยังไม่พบว่ามีการแพร่กระจายผ่านอีเมล อย่างไรก็ตาม อาจมีการแพร่กระจายผ่านอีเมลในอนาคต ผู้ใช้ควรตระหนักถึงความเสี่ยงของการเปิดไฟล์แนบในอีเมลที่น่าสงสัย
  • ควรสำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
  • หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
  • หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212

อ้างอิง

  1. https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today/
  2. https://www.thaicert.or.th/newsbite/2017-04-24-01.html
  3. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  4. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  5. https://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
  6. https://en.wikipedia.org/wiki/Server_Message_Block#SMB_.2F_CIFS_.2F_SMB1





Not Rated stars เฉลี่ย : Not Rated จาก 0 ครั้ง.

บทความทางวิชาการ5 อันดับล่าสุด

      หลักสูตรดิจิทัลมาแรง!! ตอบโจทย์ไลฟ์สไตล์เด็กรุ่นใหม่ จบออกไปไม่ตกงาน 13/ก.ค./2560
      10 วิธีคืนความสมดุลให้กับร่างกายรับหน้าฝน 13/ก.ค./2560
      ไข้เลือดออก อาการไข้เลือดออก ภัยเงียบคร่าชีวิตคนนับร้อยภายในไม่กี่วัน 30/พ.ค./2560
      ระวังภัย มัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ของวินโดวส์ รีบอัปเดตทันที 25/พ.ค./2560
      PLC คืออะไร? สำคัญอย่างไร? 21/เม.ย./2560