สิ่งที่คุณควรรู้เกี่ยวกับมัลแวร์เรียกค่าไถ่ WannaCry

สิ่งที่คุณควรรู้เกี่ยวกับมัลแวร์เรียกค่าไถ่ WannaCry

มัลแวร์ WannaCry แพร่ระบาดอย่างรวดเร็วทั่วเครือข่าย เข้ายึดไฟล์เพื่อเรียกค่าไถ่

โดย: ทีมงานศูนย์ตอบสนองด้านความปลอดภัยของไซแมนเทค

เกิดอะไรขึ้น เมื่อวันที่ 12 พฤษภาคม 2560 เวอร์ชั่นใหม่ของมัลแวร์เรียกค่าไถ่ Ransom.CryptXXX (ตรวจพบในชื่อ Ransom.Wannacry) เริ่มแพร่ระบาดอย่างรวดเร็ว ส่งผลกระทบต่อองค์กรจำนวนมาก โดยเฉพาะอย่างยิ่งในยุโรป

มัลแวร์เรียกค่าไถ่ WannaCry คืออะไร

WannaCry เข้ารหัสไฟล์ข้อมูล และขอให้ผู้ใช้จ่ายค่าไถ่ 300 ดอลลาร์สหรัฐฯ ในรูปแบบของบิตคอยน์ (bitcoin) โดยจดหมายเรียกค่าไถ่ระบุว่ายอดเงินเรียกค่าไถ่จะเพิ่มขึ้นสองเท่าหลังจากที่เวลาผ่านไป 3 วัน และถ้าหากไม่ได้จ่ายค่าไถ่ภายใน 7 วัน ไฟล์ที่เข้ารหัสไว้ก็จะถูกลบทิ้ง

รูปที่ 1 หน้าจอเรียกค่าไถ่ที่แสดงโดยโทรจัน WannaCry

นอกจากนี้ มัลแวร์ดังกล่าวยังปล่อยไฟล์ที่มีชื่อว่า !Please Read Me!.txt ซึ่งประกอบด้วยจดหมายเรียกค่าไถ่

รูปที่ 2 จดหมายเรียกค่าไถ่จากโทรจัน WannaCry

WannaCry เข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้ โดยใส่ .WCRY ต่อท้ายที่ชื่อไฟล์:

.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pdf
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip

มัลแวร์นี้แพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ โดยใช้ช่องโหว่ของการเรียกใช้โค้ดระยะไกล SMB ในคอมพิวเตอร์ Microsoft Windows (MS17-010)

คุณได้รับการปกป้องให้รอดพ้นจากภัยคุกคามนี้หรือไม่

เครือข่าย Global Intelligence Network (GIN) ของไซแมนเทค (Symantec) ให้บริการตรวจจับอัตโนมัติสำหรับผลิตภัณฑ์ทั้งหมดที่รองรับเพื่อตรวจสอบว่ามีการพยายามทำให้เครื่องติดเชื้อผ่านเว็บหรือไม่

ลูกค้าของไซแมนเทคและนอร์ตันได้รับการปกป้องให้รอดพ้นจาก WannaCry โดยใช้เทคโนโลยีต่างๆ

โปรแกรมป้องกันไวรัส

Ransom.Wannacry
-Ransom.CryptXXX
-Trojan.Gen.8!Cloud
-Trojan.Gen.2

ลูกค้าควรรัน LiveUpdate และตรวจสอบว่ามีฐานข้อมูลไวรัสเวอร์ชั่นต่อไปนี้หรือสูงกว่าติดตั้งไว้บนเครื่อง เพื่อให้แน่ใจว่ามีการปกป้องที่ทันสมัยที่สุด:

-20170512.009

การป้องกัน SONAR

-เทคโนโลยีการตรวจจับพฤติกรรม SONAR จะตรวจจับ Wannacry เวอร์ชั่นต่างๆ

การป้องกันบนเครือข่าย

นอกจากนี้ ไซแมนเทคยังมีการป้องกัน IPS ต่อไปนี้ ซึ่งพิสูจน์แล้วว่ามีประสิทธิภาพอย่างมากสำหรับการสกัดกั้นความพยายามที่จะโจมตีช่องโหว่ MS17-010:

-การโจมตี OS: เปิดเผยข้อมูลการโจมตี Microsoft SMB MS17-010
-การโจมตี: กิจกรรมการดาวน์โหลด Shellcode

IPS signature ต่อไปนี้ยังช่วยสกัดกั้นกิจกรรมที่เกี่ยวข้องกับ Ransom.Wannacry:

-ระบบที่ติดเชื้อ: กิจกรรม Ransom.Ransom32

องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่ามีการติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows โดยเฉพาะอย่างยิ่ง MS17-010 เพื่อป้องกันการแพร่กระจาย

ใครได้รับผลกระทบ

องค์กรจำนวนหนึ่งในหลายๆ ประเทศทั่วโลกติดเชื้อมัลแวร์ดังกล่าว โดยส่วนใหญ่เป็นองค์กรที่อยู่ในยุโรป

เป็นการโจมตีแบบเจาะจงเป้าหมายหรือไม่

ตอนนี้เชื่อว่าไม่ใช่การโจมตีแบบเจาะจงเป้าหมาย โดยปกติแล้วการโจมตีของมัลแวร์เรียกค่าไถ่มักจะไม่มีการกำหนดกลุ่มเป้าหมายที่เฉพาะเจาะจง

เหตุใดจึงก่อให้เกิดปัญหามากมายสำหรับองค์กร

WannaCry สามารถแพร่กระจายตัวเองภายในเครือข่ายองค์กร โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ ทั้งนี้โดยอาศัยช่องโหว่ในระบบปฏิบัติการ Microsoft Windows คอมพิวเตอร์ที่ไม่ได้ติดตั้งอัพเดตด้านความปลอดภัยล่าสุดของ Windows มีความเสี่ยงต่อการติดเชื้อ

จะสามารถกู้คืนไฟล์ที่เข้ารหัสได้หรือไม่

ตอนนี้ยังไม่สามารถถอดรหัสได้ แต่ไซแมนเทคกำลังดำเนินการตรวจสอบ ไซแมนเทคไม่แนะนำให้จ่ายเงินค่าไถ่ ทางที่ดีควรจะกู้คืนไฟล์จากข้อมูลแบ็คอัพที่มีอยู่

แนวทางสำหรับการป้องกันมัลแวร์เรียกค่าไถ่มีอะไรบ้าง
-มีการเผยแพร่มัลแวร์เรียกค่าไถ่เวอร์ชั่นใหม่ออกมาอยู่เรื่อยๆ ดังนั้นคุณจึงควรอัพเดตซอฟต์แวร์ด้านการรักษาความปลอดภัยให้ทันสมัยอยู่เสมอ เพื่อปกป้องตัวคุณเอง
-ดูแลระบบปฏิบัติการและซอฟต์แวร์อื่นๆ ให้อัพเดตอยู่เสมอ โดยมากแล้วซอฟต์แวร์อัพเดตมักจะมีแพตช์สำหรับแก้ไขช่องโหว่ที่เพิ่งค้นพบ ซึ่งคนร้ายอาจใช้ช่องโหว่ดังกล่าวในการโจมตีด้วยมัลแวร์เรียกค่าไถ่
-อีเมลเป็นหนึ่งในช่องทางหลักที่ทำให้เกิดการติดเชื้อ ควรระวังอีเมลที่น่าสงสัย โดยเฉพาะอย่างยิ่งอีเมลที่มีลิงก์และ/หรือไฟล์แนบ
-ระวังเป็นพิเศษต่อไฟล์ Microsoft Office ที่แนบมากับอีเมล ซึ่งแจ้งให้คุณเปิดใช้งานมาโครเพื่อดูเนื้อหาในไฟล์ ถ้าคุณไม่แน่ใจว่าเป็นอีเมลฉบับจริงจากผู้ส่งที่ไว้ใจได้หรือไม่ ก็ไม่ควรเปิดใช้งานมาโคร และควรจะลบอีเมลดังกล่าวทันที
-การแบ็คอัพข้อมูลสำคัญเป็นวิธีเดียวที่มีประสิทธิภาพมากที่สุดในการรับมือกับมัลแวร์เรียกค่าไถ่ คนร้ายใช้วิธีเข้ารหัสไฟล์ที่มีค่าและทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์เหล่านั้นได้ แต่ถ้าเหยื่อมีสำเนาแบ็คอัพ ก็จะสามารถกู้คืนไฟล์ได้หลังจากที่ลบมัลแวร์ออกจากเครื่อง อย่างไรก็ตาม องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่าข้อมูลแบ็คอัพได้รับการปกป้องอย่างเหมาะสมหรือจัดเก็บในแบบออฟไลน์ เพื่อที่ว่าคนร้ายจะไม่สามารถลบข้อมูลแบ็คอัพได้
-การใช้บริการคลาวด์อาจช่วยหลีกเลี่ยงการติดเชื้อมัลแวร์เรียกค่าไถ่ เพราะส่วนใหญ่มีการเก็บรักษาไฟล์เวอร์ชั่นก่อนหน้า ช่วยให้คุณสามารถ “ย้อนกลับ” ไปสู่รูปแบบที่ไม่ได้เข้ารหัส

ตัวบ่งชี้เพิ่มเติมและข้อมูลด้านเทคนิคเกี่ยวกับ Ransom.Wannacry
เมื่อโทรจันถูกเรียกใช้ ก็จะปล่อยไฟล์ต่อไปนี้:

[PATH_TO_TROJAN]\!WannaDecryptor!.exe
[PATH_TO_TROJAN]\c.wry
[PATH_TO_TROJAN]\f.wry
[PATH_TO_TROJAN]\m.wry
[PATH_TO_TROJAN]\r.wry
[PATH_TO_TROJAN]\t.wry
[PATH_TO_TROJAN]\u.wry
[PATH_TO_TROJAN]\TaskHost
[PATH_TO_TROJAN]\00000000.eky
[PATH_TO_TROJAN]\00000000.pky
[PATH_TO_TROJAN]\00000000.res
%Temp%\0.WCRYT
%Temp%\1.WCRYT
%Temp%\2.WCRYT
%Temp%\3.WCRYT
%Temp%\4.WCRYT
%Temp%\5.WCRYT
%Temp%\hibsys.WCRYT

หมายเหตุ: [PATH_TO_TROJAN] เป็นพาธที่โทรจันถูกเรียกใช้ในตอนแรก

จากนั้น โทรจันดังกล่าวจะสร้างรายการรีจิสทรีต่อไปนี้:

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Microsoft Update Task Scheduler” = “”[PATH_TO_TROJAN]\[TROJAN_EXE_NAME]” /r”
-HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\”wd” = “[PATH_TO_TROJAN]”

และโทรจันจะตั้งค่ารายการรีจิสทรีต่อไปนี้:

-HKEY_CURRENT_USER\Control Panel\Desktop\”Wallpaper” = “%UserProfile%\Desktop\!WannaCryptor!.bmp”

โทรจันสร้าง Mutex ต่อไปนี้:

-Global\WINDOWS_TASKOSHT_MUTEX0
-Global\WINDOWS_TASKCST_MUTEX

จากนั้นจะหยุดกระบวนการต่อไปนี้โดยใช้ taskkil /f /iml:

-sqlwriter.exe
-sqlserver.exe
-Microsoft.Exchange.*
-MSExchange*

แล้วค้นหาและเข้ารหัสไฟล์ที่มีนามสกุลต่อไปนี้:

.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pdf
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip

ไฟล์ที่ถูกเข้ารหัสจะมี .WCRY ต่อท้ายที่ชื่อไฟล์

จากนั้นโทรจันจะลบสำเนาของไฟล์ที่เข้ารหัส

โทรจันปล่อยไฟล์ต่อไปนี้ไว้ในทุกโฟลเดอร์ที่มีไฟล์เข้ารหัส:

-!WannaDecryptor!.exe.lnk
-!Please Read Me!.txt

เนื้อหาของไฟล์ !Please Read Me!.txt คือจดหมายเรียกค่าไถ่ที่ระบุรายละเอียดเกี่ยวกับวิธีการจ่ายค่าไถ่

โทรจันจะดาวน์โหลด Tor และใช้งานเพื่อเชื่อมต่อกับเซิร์ฟเวอร์โดยใช้เครือข่าย Tor

จากนั้นจะแสดงจดหมายเรียกค่าไถ่ที่อธิบายให้ผู้ใช้ทราบว่ามีอะไรเกิดขึ้น รวมถึงวิธีการจ่ายเงินค่าไถ่