ตอนนี้ไวรัสคอมพิวเตอร์ประเภทเรียกค่าไถ่ (ransomware) ชื่อ WCry หรือ Wana Decrypt0r version 2.0 ระบาดหนักชั่วข้ามคืน (ประเทศไทย) ประมาณ 02:00 น. เป็นต้นมา สร้างความเสียหายทั่วโลก โดยเวลา 12:00 น. วันที่ 13/5/2017 (ผ่านมาแล้ว 10 ชั่วโมง) โดนโจมตีไปกว่า 100,000 เครื่องทั่วโลก จุดเริ่มต้นถูกโจมตีที่แถบยุโรปก่อน
โดยตัว ransomware นี้อาศัยช่องโหว่ของ SMB บน Windows ที่มีชื่อเรียกว่า ETERNALBLUE ที่ได้มาจากเครื่องมือแฮกของ NSA ที่หลุดออกมาเผยแพร่เมื่อหลายเดือนก่อน ซึ่ง Microsoft ได้ออก patch MS17-010 ไปแล้วเมื่อเดือนมีนาคมที่ผ่านมา ทั้งนี้ ransomware ตัวนี้ ยังไม่มีตัวถอดรหัสนำข้อมูลกลับได้ ถ้าโดนเข้ากับตัว ก็คงต้องทำใจจ่ายเงินอย่างเดียว
แนวทางป้องกันมี 2 ส่วนหลักๆ คือ
1. สำหรับผู้ใช้ทั่วไปที่ไม่มีความรู้ด้านไอที แนะนำให้อัพเดท patch ล่าสุดผ่าน Windows update เป็นการแก้ไขปัญหาช่องโหว่นี้ที่ง่าย และตรงจุดที่สุด
2. สำหรับองค์กรที่มีจำนวนเครื่องเยอะจนไม่สามารถอัพเดทได้ทันทีทุกเครื่อง ให้ปิดการเข้าถึง internet ของเครื่องคอมพิวเตอร์ที่ยังไม่ได้อัพเดท patch MS17-010 เพื่อป้องกันขั้นแรก แล้วปิดการใช้งาน SMBv1 และ-หรือตั้ง Rule Firewall ไม่รับการเชื่อมต่อ port 139 และ 445 จากอินเทอร์เน็ต แล้วทยอยติดตั้ง patch ตัวดังกล่าวต่อไป
**** การปิด SMBv1 จะมีผลกระทบคือ
1. SMBv1 ทำงานบน Windows XP หรือ Windows Server 2003 การปิดอาจทำให้มีปัญหาในการ shared file และ share printer
2. ไม่สามารถใช้งานพวก Network Neighborhood ได้
3. หากใช้ NAS และ network multi-function printers บางรุ่นที่ใช้ SMBv1 หากปิดไปจะใช้งานพวกนี้ไม่ได้
คำแนะนำสุดท้ายสำหรับอนาคต หากเกิดเหตุการณ์แบบนี้อีก คือ ให้ทำการสำรองข้อมูลอย่างสม่ำเสมอ (backup data) เพราะเราไม่รู้ว่าในอนาคตจะมีที่อาศัยแนวทางนี้เพิ่มขึ้นมาอีกมากน้อยแค่ไหน และควรอัพเดท Windows ให้เป็นตัวล่าสุดอยู่ตลอดเวลาเพื่อป้องกันช่องโหว่ใหม่ ๆ
Windows version ที่ได้รับความเสี่ยงจาก ransomware ที่อาศัยช่องโหว่ ETERNALBLUE มีตั้งแต่ Windows XP เป็นต้นมา ข่าวดีคือ Microsoft ออก patch แก้ไขช่องโหว่ ETERNALBLUE เพื่อป้องกันการโดน Wana Decrypt0r เป็นกรณีพิเศษให้สำหรับ Windows XP, Windows Vista, Windows 8 และ Windows Server 2003 ที่หมด suppport ไปแล้ว สำหรับคนที่ใช้ version ดังกล่าวสามารถดาวน์โหลดได้ที่นี่ http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 (อ้างอิง https://www.blognone.com/node/92401)
สำหรับใครที่ใช้ Windows Defender นั้น ทางไมโครซอฟท์อัพเดต Windows Defender ป้องกันภัย WannaCrypt แล้ว ซึ่งรวมไปถึงผู้ผลิตซอฟต์แวร์ความปลอดภัยแทบทุกรายก็อัพเดตซอฟต์แวร์ของตัวเองแล้วเช่นกัน (อ้างอิง https://www.blognone.com/node/92403)
ข้อมูลอื่น ๆ
- https://www.blognone.com/node/92390
- https://www.blognone.com/node/92401
- https://www.blognone.com/node/92403
- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- https://www.theguardian.com/technology/2017/may/12/nhs-ransomware-cyber-attack-what-is-wanacrypt0r-20
- https://intel.malwaretech.com/botnet/wcrypt
- http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html
- http://sensorstechforum.com/wncry-file-virus-remove-restore-files/
- https://arstechnica.co.uk/security/2017/05/what-is-wanna-decryptor-wcry-ransomware-nsa-eternalblue/
- https://www.alienvault.com/blogs/labs-research/ongoing-wannacry-ransomware-spreading-through-smb-vulnerability
- https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
- http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
13/5/2017 12:40 - อัพเดทแนวทางป้องกันอื่นๆ เพิ่มเติม
13/5/2017 15:00 - อัพเดทลำดับการเขียนใหม่เพื่อให้อ่านง่ายขึ้น
13/5/2017 15:30 - อัพเดทเพิ่มเติมส่วน Windows XP, Windows Vista, Windows 8 และ Windows Server 2003
13/5/2017 16:40 - อัพเดทเพิ่มเติมส่วน ไมโครซอฟท์อัพเดต Windows Defender ป้องกันภัย WannaCrypt
