ภาพมุมสูง มหาวิทยาลัยมหามกุฏราชวิทยาลัย
รายการอยู่เย็นเป็นสุขย้อนหลัง

WannaCry ransomware รู้ให้ทัน ป้องกันได้

WannaCry ransomware คืออะไร?

             WannaCry ransomware attack หรือในชื่อของ WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptorเป็นการโจมตีที่มุ่งโจมตีไปที่ช่องโหว่ของ Microsoft Windows System โดยเริ่มการโจมตีครั้งแรกในวันศุกร์ที่ ๑๒ พฤษภาคม พ.ศ.๒๕๖๐ โดยมีเครื่องที่ติดไวรัสไปแล้วกว่า ๒๓๐,๐๐๐ เครื่องใน ๑๕๐ ประเทศ โดยมีหลักการทำงานเป็นการโจรกรรมข้อมูล และให้ผู้ติดไวรัสชนิดนี้ต้องทำการโอนเงินในสกุล BitCoin

 

 

ภาพตัวอย่างหน้าจอเมื่อถูกโจรกรรมข้อมูล
แสดงถึงวิธีการโอนเงินค่าไถ่ข้อมูลที่ถูกเข้ารหัส

 

 

ภาพตัวอย่างการถูกโจรกรรมที่เกิดขึ้นในประเทศไทย

ป้ายโฆษณาบริเวณถนนสีลม

 

             โดย Ransomware ตัวนี้เริ่มโจมกรรมข้อมูลครั้งแรกที่บริษัท Telefonica และอีกหลาย บริษัท ใหญ่ ๆ ในสเปนรวมทั้งบางส่วนของหน่วยงานด้านสุขภาพแห่งราชอาณาจักร Britain's National Health Service (NHS)อีกทั้งบริษัทยักษ์ใหญ่อย่างFedEx, Deutsche Bahn, แม้กระทั่งสายการบิน LATAM ซึ่งเป็นสายการบินที่ใหญ่ที่สุดในทวีปอเมริกาใต้ รวมทั้งในประเทศไทยเองก็มีผู้ได้รับผลกระทบจากการโจมตีแล้วเช่นกัน

 

WannaCry ransomwareทำงานอย่างไร?

WannaCry แพร่กระจายตัวอย่างไร

            การแพร่กระจายของ WannaCry นั้นทำงานผ่านช่องโหว่ Exploit ที่มีชื่อว่า ExternalBlue ซึ่งเป็นเครื่องมือสำหรับ Hack ระบบคอมพิวเตอร์ที่กลุ่ม Hacker ที่ใช้ชื่อว่า Shadow Brokers ได้ทำการเผยแพร่บนโลกอินเตอร์เน็ต โดยที่ Exploit นี้จะเจาะเข้าระบบคอมพิวเตอร์จากระยะไกลผ่านทางโปรโตคอล SMBv1ซึ่งเป็น Protocol ที่ใช้ในการ รับ/ส่ง files ระหว่างเครื่องที่ติดตั้งระบบปฏิบัติการ Microsoft Windows การ Shared Folder ระหว่างกันโดยไม่มีการกำหนดสิทธิ์การเข้าถึง Folder ด้วย User ที่กำหนด โดยในปัจจุบันทาง Microsoft เองได้ออก Patch MS17-010 เพื่ออุดช่องโหว่ดังกล่าวไว้เป็นที่เรียบร้อยแล้ว

WannaCry เข้ารหัสไฟล์ข้อมูลอย่างไร

             เมื่อWanaCry เจาะเข้าระบบคอมพิวเตอร์เครื่องเป้าหมายได้เป็นที่เรียบร้อยแล้วจะดำเนินการดังต่อไปนี้

             ๑. ฝังตัวติดตั้ง(Installer) และตัวติดตั้งนี้จะทำการแตกไฟล์จากตัวเองไว้ที่เดียวกับที่ฝังตัวไว้ ไฟล์ที่แตกมานี้จะอยู่ในรูปของโฟลเดอร์ ZIP ที่ถูกล๊อกด้วยรหัสผ่าน ซึ่งประกอบด้วยไฟล์หลายรายการที่จะถูกใช้และทำงานโดยWannaCry

             ๒. WannaCry จะทำการเปลี่ยนสิทธิ์การเข้าถึง File & Folder ทั้งหมดภายในเครื่องทั้งหมด

             ๓. ทำการหยุดกระบวนการทำงาน (Stop Processes) ของเครื่องในกระบวนการการเชื่อมต่อเมล์ Mail และการเชื่อมต่อฐานข้อมูล Databaseเพื่อทำการเข้ารหัสอีเมล์ และฐานข้อมูลภายในเครื่อง

             ๔. ทำการเข้ารหัสข้อมูล Files ที่อยู่บนเครื่องเป้าหมายทั้งหมด ซึ่ง File ที่ถูกเข้ารหัสประกอบไปด้วย .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx และ .doc

             โดยเมื่อทำการเข้ารหัสเป็นที่เรียบร้อยแล้ว นามสกุล file จะเปลี่ยนไปเช่น .WNCRYหรือนามสกุลอื่นตามแต่ Ransomware ที่เข้าครอบครองข้อมูลได้ และจะสร้าง folderหรือ text file ชื่อ msg หรือชื่ออื่นๆที่สื่อให้รู้ว่าเป็นจดหมายเรียกค่าไถ่ ซึ่งในเนื้อหาของจดหมายจะบอกวิธีการชำระเงิน มูลค่าของค่าไถ่ โดยจะเป็นเงินสกุล BitCoin

             ๕. จากนั้นWannaCry จะทำการเคลียร์ Shadow Volume Copies และหยุดการทำงานของ Windows Startup Recovery และเคลียร์ Windows Server Backup Historyเพื่อให้ไม่สามารถกู้คืนข้อมูลก่อนการเข้ารหัสกลับมาได้ (ทำให้ไม่สามารถกู้ข้อมูลโดยการ Restore กลับได้)

 

ป้องกันคอมพิวเตอร์ไม่ไห้ติด WannaCry Ransomware ได้อย่างไร?

            สามารถทำการป้องกันได้หลายวิธีด้วยกัน โดยให้ผู้ใช้งานหมั่น Update Windows ในเครื่องคอมพิวเตอร์ให้เป็นปัจจุบันมากที่สุด (สามารถตั้งปฏิทินการ Update Windows ได้ และควรใช้โปรแกรม Microsoft Windows ที่มีลิขสิทธิ์ถูกต้องเพื่อให้สามารถ Update Windows ได้อย่างสม่ำเสมอ) และให้ทำการยกเลิกเพิ่มสิทธิ์การเข้าถึง Shared Folder ให้สามารถเข้าถึงได้เฉพาะบุคคลที่มีสิทธิ์ (หากยกเลิกการ Shared ได้จะหลีกเลี่ยงความเสี่ยงในการติดต่อของไวรัสจากเครื่องสู่เครื่องผ่านระบบเครือข่ายได้ ซึ่งทั้ง 2 วิธีแก้ไขที่กล่าวมานี้เป็นการป้องกันทางด้านเทคนิค แต่สิ่งที่สำคัญไปกว่านั้นในการป้องกัน Ransomware หรือ ไวรัสในรูปแบบอื่นๆ คือพฤติกรรมการใช้งานของผู้ใช้เครื่องคอมพิวเตอร์เองเช่น

             การไม่คลิ๊ก link ที่แนบมากับอีเมล์ที่ถูกส่งมาจากคนที่ท่านไม่รู้จักโดยไม่อ่านให้ละเอียดรอบครอบ ให้ท่านทำการลบอีเมล์ฉบับนั้นทิ้งทันทีเมื่อได้พบเห็น

             เมื่อมีการใช้ Thumb Drive ที่ไม่ใช่ของตนเอง หรือของตนเองแต่ได้เคยนำไปใช้กับเครื่องของผู้อื่น ให้ทำการตรวจสอบไวรัสก่อนเริ่มใช้งานอย่างสม่ำเสมอ (ประเด็นนี้มีความเสี่ยงมากเนื่องจากการใช้ Thumb Drive เป็นสิ่งที่หลีกเลี่ยงได้ยากในการทำงานปัจจุบัน)

             ไม่ Download โปรแกรม ภาพยนตร์ เพลง หรือติดตั้งโปรแกรมอื่นๆ ที่ไม่ใช่โปรแกรมแท้ที่มีลิขสิทธิ์ถูกต้อง เพราะการ Crack โปรแกรมเป็นช่องทางหนึ่งในการฝังตัวของไวรัสได้ (เป็นพาหะในการเข้าถึงเครื่องได้อย่างง่ายดาย)และเป็นการละเมิดลิขสิทธิ์จากเจ้าของทรัพย์สินนั้นๆ ด้วย

             ไม่เปิดดู Websites ที่มีความเสี่ยงต่อการลักลอบเข้าเครื่องเช่น เว็บไซต์การพนัน เว็บไซต์ดูภาพยนตร์แบบออนไลน์ (เป็นการละเมิดลิขสิทธิ์ของภาพยนตร์นั้น ซึ่งมีความผิดตามกฎหมาย) หรือเว็บไซต์เล่นเกมส์ออนไลน์ต่างๆ

             ทั้งนี้ในปัจจุบัน ศูนย์เทคโนโลยีสารสนเทศได้ดำเนินการนำระบบด้านเทคโนโลยีสารสนเทศมาใช้เพื่อสนับสนุนการทำงาของบุคลากรของมหาวิทยาลัยเป็นจำนวนมากเช่น ระบบบริการการศึกษา ระบบบริหารงานบุคคล ระบบการประกันคุณภาพการศึกษา ระบบสืบค้นห้องสมุด และอื่นๆ อีกมาก ซึ่งข้อมูลทั้งหมดมีความสำคัญถึงแม้ทางศูนย์ฯ จะมีนโยบายในการป้องกันการโจมตี การจำกัดสิทธิ์การเข้าถึงข้อมูล การสำรองข้อมูล การกู้คืนระบบและข้อมูลแล้วก็ตาม แต่นั้นไม่ได้เป็นการการันตีว่าระบบจะไม่ได้รับผลกระทบ ทั้งนี้หากไม่เกิดเหตุการณ์ขึ้นย่อมเป็นการดีกว่า เพราะผู้ที่ได้รับผลกระทบ คือบุคลากรของมหาวิทยาลัยทั้งหมด และกิจการของมหาวิทยาลัย

             จึงหวังเป็นอย่างยิ่งว่าผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ของมหาวิทยาลัยมหามกุฏราชวิทยาลัยทุกท่านจักเพิ่มความตระหนักรู้ในการใช้งานคอมพิวเตอร์ เพิ่มความระมัดระวังในการปฏิบัติงาน เพื่อความปลอดภัยของข้อมูล ระบบ ของทุกท่าน

             สามารถติดต่อเพื่อสอบถามข้อมูล แนวทางการป้องกัน และการแก้ไขได้ที่ศูนย์เทคโนโลยีสารสนเทศ โทร. ๑๐๔๐, ๑๐๔๑ หรือเจ้าหน้าที่ด้านเทคโนโลยีสารสนเทศประจำวิทยาเขต วิทยาลัย

 

ข้อมูลอ้างอิง

https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

http://www.nationmultimedia.com/news/national/30315265

https://intel.malwaretech.com/botnet/wcrypt

 

รวบรวม/เรียบเรียงโดย

ศูนย์เทคโนโลยีสารสนเทศ

มหาวิทยาลัยมหามกุฏราชวิทยาลัย

 

Share

Banner