หลังจากวิกฤตการณ์ WannaCry, WannaCrypt ที่ไล่เข้ารหัสไฟล์สำคัญในคอมพิวเตอร์ทั่วโลก ซึ่งรายงานล่าสุดระบุว่าติดกันไปราว 200,000 เครื่องใน 99 ประเทศทั่วโลก และสามารถหยุดยังได้โดยฝีมือของนักวิจัยด้านความปลอดภัยรายหนึ่งที่ค้นพบ Kill Switch ในโค้ด การแพร่กระจายจึงจบลง แต่ก็เป็นไปตามที่คาดไว้ เหล่าแฮกเกอร์ได้ปรับปรุงโค้ด WannaCry ใหม่ ให้ไม่มี Kill Switch และกระจายต่อ
รายงานจาก Kaspersky Labs ระบุว่าตอนนี้เริ่มพบ WannaCry 2.0 และ Ransomware ตัวอื่นๆ ที่ทำงานคล้ายกันออกมาในโลกอินเทอร์เน็ตแล้ว ซึ่งวิเคราะห์เบื้องต้นแล้วยังไม่พบ Kill Switch เพื่อหยุดยั้งการทำงานของมัน ต่างจาก WannaCry ตัวแรกที่จะตรวจสอบหาเว็บหนึ่งเสมอ ถ้าเจอก็จะหยุดการเผยแพร่ตัวเองทันที
WannaCry หรือที่รู้จักกันอีกชื่อหนึ่งคือ WannaCrypt ใช้ช่องโหว่ของ Windows ในส่วน SMBv1 หรือ Server Message Block โปรโตคอลสำหรับรับส่งไฟล์ระหว่างคอมพิวเตอร์ที่อยู่ในเครือข่ายเดียวกัน ทำให้ WannaCry สามารถกระจายตัวได้เร็วมาก เพราะผู้ใช้ไม่ต้องโหลด ไม่ต้องคลิกไฟล์อะไร แต่ Ransomware ตัวนี้สามารถมุดผ่านเครือข่าย มาทำงานในเครื่องเรา และเข้ารหัสไฟล์ทั้งหมดเพื่อเรียกค่าไถ่ได้
วิดีโอสาธิตการแพร่กระจายของ WannaCry
ทางป้องกัน Ransomware ในกลุ่มนี้คืออัปเดทวินโดวส์เพื่ออุดช่องโหว่นี้ หรือปิดการทำงานของ SMBv1 เพื่อป้องกัน (สามารถอ่านวิธีการได้จาก Blognone) ซึ่งควรรีบทำโดยทันทีครับ
ข่าวที่เกี่ยวข้อง
ขอขอบคุณ
ข้อมูล :The Hacker News