“ไทยเซิร์ต” แนะการป้องกัน-แก้ไข มัลแวร์เรียกค่าไถ่ WannaCry

“ไทยเซิร์ต” แนะการป้องกัน-แก้ไข มัลแวร์เรียกค่าไถ่ WannaCry

“ไทยเซิร์ต” แนะการป้องกัน-แก้ไข มัลแวร์เรียกค่าไถ่ WannaCry
PPTV

สนับสนุนเนื้อหา

หลังจากมีเครื่องคอมพิวเตอร์มากกว่า 50,000 เครื่อง ใน 99 ประเทศ โดนโจมตีจากไวรัสเรียกค่าไถ่ หรือ แรนซัมแวร์ (Ransomware )ที่มีชื่อว่า วอนนาคราย (WannaCry) ทำให้วันนี้ทั้งรัฐบาลและหน่วยงานที่มีหน้าที่จัดการกับเหตุการณ์ความมั่นคงปลอดภัยคอมพิวเตอร์ อย่าง “ไทยเซิร์ต” ก็ได้แนะนำแนวทางป้องกันและการแก้ไขเมื่อต้องเผชิญกับมัลแวร์เรียกค่าไถ่ WannaCry

ล่าสุด ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) หรือ ThaiCert เผยแพร่ข้อมูลเตือนภัยมัลแวร์เรียกค่าไถ่ WannaCry กระจายผ่านช่องโหว่ของ วินโดวส์ รีบอัปเดตทันที ผ่านทางเว็บไซต์ www.thaicert.or.th ดังนี้

สถานการณ์การโจมตี

เมื่อวันที่ 12 พฤษภาคม 2560 บริษัท Avast ได้เผยแพร่รายงานการพบมัลแวร์เรียกค่าไถ่ชื่อ WannaCry จากรายงาน กล่าวว่า มัลแวร์ดังกล่าว มีจุดประสงค์หลักเพื่อเข้ารหัสลับข้อมูลในคอมพิวเตอร์เพื่อเรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้ สิ่งที่น่ากังวลเป็นพิเศษสําหรับมัลแวร์นี้ คือ ความสามารถในการกระจายตัวเองจากเครื่องคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายได้โดยอัตโนมัติ ผ่านช่องโหว่ของ วินโดวส์ ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการ วินโดวส์ มีความเสี่ยงที่จะติดมัลแวร์นี้

โดยจากรายงานกล่าวถึงช่องโหว่ที่พบในการเผยแพร่มัลแวร์ว่าเป็นช่องโหว่ที่ถูกเปิดเผยตั้งแต่ช่วงเดือนเมษายน และถึงแม้ทางผู้พัฒนาจะเผยแพร่ซอฟต์แวร์แก้ไขช่องโหว่ดังกล่าวตั้งแต่วันที่ 14 มีนาคม 2560 แล้ว แต่ก็ยังพบว่าปัจจุบันมีเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้มากกว่า 50,000 เครื่อง ใน 99 ประเทศ โดยเกิดผลกระทบสูงต่อหน่วยงานสาธารณสุขของประเทศอังกฤษ ในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้าง แต่ยังไม่พบการแพร่กระจายในวงกว้าง

พฤติกรรมของมัลแวร์ WannaCry

ปัจจุบันพบข้อมูลรายงานการตรวจสอบมัลแวร์จากเว็บไซต์ Hybrid Analysis ซึ่งให้บริการวิเคราะห์มัลแวร์ มีผลลัพธ์ของการวิเคราะห์ไฟล์ต้องสงสัย ซึ่งผู้ใช้งานตั้งชื่อว่า wannacry.exe โดยผลลัพธ์แสดงให้เห็นว่าเป็นมัลแวร์ประเภท Ransomware และมีสายพันธุ์สอดคล้องกับมัลแวร์ WannaCry ที่อยู่ในปัจจุบัน ซึ่งมีฟังก์ชันที่พบเรื่องการเข้ารหัสลับข้อมูลไฟล์เอกสารบนเครื่องคอมพิวเตอร์ การแสดงผลข้อความเรียกค่าไถ่ เป็นต้น โดยในรายงานกล่าวถึงการเชื่อมโยงข้อมูลกับไอพีแอดเดรสจากต่างประเทศ ซึ่งคาดว่าเป็นไอพีแอดเดรสของผู้ไม่ประสงค์ดีที่ใช้ในการควบคุมและสั่งการ

ข้อแนะนำในการป้องกันและแก้ไข

1.สำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
2.ติดตั้ง/อัปเดตระบบปฏิบัติการให้เป็นรุ่นล่าสุด รวมถึงโปรแกรมป้องกันไวรัส และโปรแกรมอื่น ๆ โดยเฉพาะโปรแกรมที่มักมีปัญหาเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ Adobe Reader
3.ปิดการใช้งาน SMBv1
4.ทำการบล็อก และเฝ้าระวังการเชื่อมต่อจากเครือข่ายผู้ใช้งานภายนอกกับบริการ SMB (Port 137/TCP 138/TCP 139/TCP 445/TCP)
5.หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ์เหล่านั้น
6.ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
7.หากพบว่าตนเองได้ติดมัลแวร์ WannaCry แล้ว ให้ผู้เสียหายลองดำเนินการตามขั้นตอนในคลิปวีดีโอ เพื่อดำเนินการถอนการติดตั้งมัลแวร์

และทดสอบการกู้คืนไฟล์ผ่านฟังก์ชันการทำงาน Shadow Volumn Copies โดยสามารถศึกษาได้จากบทความ หัวข้อ “การกู้คืนข้อมูลด้วย Shadow Volume Copies”

หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารถประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212

อ่านเพิ่มเติม : ไวรัสล็อกไฟล์รุ่นใหม่ WannaCry 2.0 มาแล้ว ไม่มี Kill Switch เพื่อหยุดเผยแพร่