น่าจะเป็นหนึ่งในเหตุการณ์สำคัญของโลกไอทีแห่งปีเลยเมื่อช่องโหว่เจาะทะลวง Windows ทั่วโลกที่เรียกว่า Eternal Blue หลุดจาก NSA (สำนักงานความมั่นคงแห่งชาติ สหรัฐ) ทำให้แฮกเกอร์ใช้ช่องโหว่นี้สร้าง Ransomware ที่มีหลายชื่อทั้ง WannaCry, Wana Decrypt0r, WannaCrypt ไล่ล็อกไฟล์ในเครื่องไปทั่วโลก แต่ล่าสุดสถานการณ์เริ่มคลี่คลาย หลังนักวิจัยพบวิธีหยุดการแพร่กระจายด้วยเว็บเว็บเดียว

เรื่องเริ่มต้นเมื่อเครื่องมือ NSA ถูกแฮก

ย้อนกลับไปเมื่อเดือนสิงหาคม 2016 กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า The Shadow Broker สามารถเข้าถึงเครื่องมือระดับสูงที่คาดว่าเป็นของ NSA โดยเรียกร้องเงิน 1 ล้านเหรียญสหรัฐ แต่ไม่มีหน่วยงานไหนยอมจ่ายจึงปล่อยเครื่องมือและช่องโหว่เหล่านี้ทั้งหมดออกสู่สาธารณะในช่วงเมษายน 2017หนึ่งในช่องโหว่สำคัญที่หลุดออกมาด้วยเรียกว่า Eternal Blue ซึ่งเจาะ SMBv1 (Microsoft Server Message Block) ใน Windows ทำให้สามารถควบคุมเครื่องได้ ซึ่ง Microsoft ก็รู้เรื่องนี้ (คาดว่า NSA รีบแจ้งหลังโดนเจาะไป) จึงออกอัปเดทเพื่อปิดช่องโหว่ตั้งแต่เดือนมีนาคมที่ผ่านมา แต่เรื่องมันไม่จบแค่นั้น…

WannaCry บุกคอมพิวเตอร์ทั่วโลกจำนวนมากที่ไม่ได้อัปเดท

แม้ว่าไมโครซอฟท์จะรีบอุดช่องโหว่นี้ไปเรียบร้อยแล้ว แต่ก็พบว่าคอมพิวเตอร์อีกเป็นจำนวนมากที่ไม่ได้รับอัปเดท อาจจะเพราะลงวินโดวส์เถื่อน ปิดระบบอัปเดทอัตโนมัติ ทำให้ช่องโหว่นี้ยังทำงานได้อยู่

ไม่ถึง 1 วัน มีคอมพิวเตอร์ติด WannaCry มากกว่า 100,000 เครื่อง

วันที่ 12 พฤษภาคมจึงเริ่มพบ Ransomware ที่ชื่อว่า Wcry/ WanaCrypt0r/ WannaCry/ WanaCypt0r/ Wanacryptor กระจายไปทั่วโลกด้วยความรวดเร็ว คาดว่ามีคอมพิวเตอร์ที่ติด WannaCry มากกว่า 100,000 เครื่องทั่วโลกในระยะเวลาไม่ถึง 1 วัน

ความร้ายกาจของ WannaCry คือจะเข้ารหัสไฟล์สำคัญทั้งหมดของเครื่องเช่น .docx, .pptx, .mpeg, .zip, .backup แล้วเรียกค่าไถ่เป็นเงิน $300 ผ่านทาง Bitcoin ซึ่งแน่นอนว่าเหยื่อสามารถกดทดลองกู้ไฟล์คืนได้ถ้าไม่แน่ใจ และมีตัวเลขเวลาบอกว่าไฟล์ทั้งหมดในเครื่องจะถูกลบเมื่อไหร่ถ้าไม่จ่ายเงิน (อ่านกระบวนการทำงานอย่างละเอียดที่ TechTalkThai

ซึ่งเรื่องเลวร้ายได้เกิดขึ้นเมื่อ NHS (National Health Service) ระบบประกันสุขภาพของอังกฤษถูก WannaCry โจมตีและเข้ารหัสข้อมูล คนไข้จำนวนมากไม่สามารถผ่าตัดได้ในวันนี้ ทำให้ NHS ต้องยอมจ่ายค่าไถ่เพื่อนำข้อมูลกลับมา

การแพร่กระจายจบ แต่เรื่องยังไม่จบ
ถึงแม้ว่าการแพร่กระจายของ WannaCry จะหยุดลงแล้ว แต่เรื่องยังไม่จบนะครับ

1. เครื่องที่ถูกเข้ารหัสแล้ว ก็ยังต้องแก้วิธีแก้ไขต่อไป ตอนนี้ยังไม่มีเครื่องมือแกะไฟล์ออกมา ก็ต้องจ่ายเงินปลด หรือดึงข้อมูลกลับจาก Shadow copy ของวินโดวส์ ถ้ายังไม่ถูกทำลาย
2. แฮกเกอร์กลุ่มอื่นๆ ก็สามารถนำช่องโหว่นี้ไปใช้ต่อได้ แค่แก้โค้ดนิดหน่อย ก็กลายเป็น Malware ตัวใหม่แล้ว ทางป้องกันคืออัปเดทวินโดวส์โดยด่วน โดยเฉพาะแพทซ์ MS17-010 ที่ออกมาปิดช่องโหว่ของ SMB
3. สำหรับ Windows รุ่นเก่าอย่าง XP, Windows 8, Windows Server 2003 ที่เลิกซัพพอร์ตไปแล้ว ไมโครซอฟท์ก็ออกตัวแก้ไขฉุกเฉินมาให้เพื่อปิดช่องโหว่นี้ ก็ตามไปดาวน์โหลดได้ที่เว็บ Microsoft

สุดท้ายนี้ ใช้ Windows ลิขสิทธิ์ และอัปเดทระบบสม่ำเสมอ จะสามารถป้องกันเหตุลักษณะนี้ได้ในอนาคตครับ

อ้างอิง: TechTalkThai  ///

หลังจากพบปัญหาก็ได้มีผู้ค้นพบวิธีแก้

มหาวิทยาลัยเทคโนโลยีสุรนารี แจกฟรีโปรแกรมป้องกันแรนซัมแวร์ WCry

หลังจากที่มีการตรวจพบแรนซัมแวร์ WCry ที่ใช้ช่องโหว่ Eternalblue ของ NSA และมีผู้ติดแรนซัมแวร์ดังกล่าวไปแล้วกว่า 150,000 ราย ล่าสุดก็มีโปรแกรมสำหรับป้องกันแรนซัมแวร์ตัวนี้ออกมาแล้ว

ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ มหาวิทยาลัยเทคโนโลยีสุรนารี  ได้ออกโปรแกรม WannaCry Block ให้ดาวน์โหลดไปใช้ได้ฟรีๆ  โดยโปรแกรมดังกล่าวจะทำการป้องกันไม่ให้แรนซัมแวร์ WCry ทำงานได้บนเครื่องของผู้ใช้  รวมถึงปิดช่องทางการเผยแพร่ในเครื่องข่ายด้วย  ทั้งนี้โปรแกรมดังกล่าวไม่สามารถใช้แก้ไขอาการสำหรับเครื่องที่ติดแรนซัมแวร์ดังกล่าวไปแล้วได้แต่อย่างใด

ผู้ที่สนใจสามารถดาวน์โหลดโปรแกรม WannaCry Blocker ได้จากลิงค์ด้านล่างนี้  นอกจากนี้ผู้พัฒนายังได้เผยแพร่ซอร์สโค้ดผ่าน GitHub ให้นำไปพัฒนาต่อได้อีกด้วย

https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

สำหรับวิธีใช้งานนั้น  ทางผู้พัฒนาได้ระบุไว้ดังนี้

*** แตก zip ไฟล์ แล้วดับเบิลคลิ๊กที่ไอคอนครับ

1. เปิดโปรแกรมค้างไว้ (ปิดได้ที่ tray icon)
2. ใส่โปรแกรมไว้ใน Startup Folder
3. โปรแกรมสามารถ disable SMB1 เพื่อป้องกันการแพร่ของ malware

(ต้องรันโปรแกรมแบบ Run as Administrator)

SMB1 ที่ WCry ใช้ในการเผยแพร่ผ่านเครือข่ายนั้น เป็นโปรโตคอลที่ใช้ในการแชร์ไฟล์และเครื่องพิมพ์ใน Windows XP ซึ่งการปิดการใช้งาน SMB1 ใน Windows XP จะทำให้ตัวระบบปฏิบัติการไม่สามารถแชร์ไฟล์หรือเครื่องพิมพ์ใดๆ ในเครือข่ายได้  ส่วนการปิดใช้งาน SMB1 ในระบบปฏิบัติการรุ่นใหม่กว่า  จะทำให้ไม่สามารถเชื่อมต่อกับ Windows XP ได้

อย่างไรก็ดี  วิธีที่ดีที่สุดในการรับมือกับแรนซัมแวร์ตัวนี้คือการอัพเดทวินโดวส์ด้วยแพทช์ความปลอดภัยล่าสุดผ่านระบบ Windows Update ทั้งนี้หากยังไม่สะดวกในการอัพเดท (เช่นรอการอนุมัติจากฝ่ายไอที) โปรแกรมดังกล่าวถือเป็นทางเลือกที่ควรใช้งานครับ

อ้างอิง – SUT Aiyara Cluster