น่าจะเป็นหนึ่งในเหตุการณ์สำคัญของโลกไอทีแห่งปีเลยเมื่อช่องโหว่เจาะทะลวง Windows ทั่วโลกที่เรียกว่า EternalBlue หลุดจาก NSA (สำนักงานความมั่นคงแห่งชาติ สหรัฐ) ทำให้แฮกเกอร์ใช้ช่องโหว่นี้สร้าง Ransomware ที่มีหลายชื่อทั้ง WannaCry, Wana Decrypt0r, WannaCrypt ไล่ล็อกไฟล์ในเครื่องไปทั่วโลก แต่ล่าสุดสถานการณ์เริ่มคลี่คลาย หลังนักวิจัยพบวิธีหยุดการแพร่กระจายด้วยเว็บเว็บเดียว
เรื่องเริ่มต้นเมื่อเครื่องมือ NSA ถูกแฮก
ย้อนกลับไปเมื่อเดือนสิงหาคม 2016 กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า The Shadow Broker สามารถเข้าถึงเครื่องมือระดับสูงที่คาดว่าเป็นของ NSA โดยเรียกร้องเงิน 1 ล้านเหรียญสหรัฐ แต่ไม่มีหน่วยงานไหนยอมจ่ายจึงปล่อยเครื่องมือและช่องโหว่เหล่านี้ทั้งหมดออกสู่สาธารณะในช่วงเมษายน 2017
หนึ่งในช่องโหว่สำคัญที่หลุดออกมาด้วยเรียกว่า EternalBlue ซึ่งเจาะ SMBv1 (Microsoft Server Message Block) ใน Windows ทำให้สามารถควบคุมเครื่องได้ ซึ่ง Microsoft ก็รู้เรื่องนี้ (คาดว่า NSA รีบแจ้งหลังโดนเจาะไป) จึงออกอัปเดทเพื่อปิดช่องโหว่ตั้งแต่เดือนมีนาคมที่ผ่านมา แต่เรื่องมันไม่จบแค่นั้น…
WannaCry บุกคอมพิวเตอร์ทั่วโลกจำนวนมากที่ไม่ได้อัปเดท
แม้ว่าไมโครซอฟท์จะรีบอุดช่องโหว่นี้ไปเรียบร้อยแล้ว แต่ก็พบว่าคอมพิวเตอร์อีกเป็นจำนวนมากที่ไม่ได้รับอัปเดท อาจจะเพราะลงวินโดวส์เถื่อน ปิดระบบอัปเดทอัตโนมัติ ทำให้ช่องโหว่นี้ยังทำงานได้อยู่
ไม่ถึง 1 วัน มีคอมพิวเตอร์ติด WannaCry มากกว่า 100,000 เครื่อง
วันที่ 12 พฤษภาคมจึงเริ่มพบ Ransomware ที่ชื่อว่า Wcry/ WanaCrypt0r/ WannaCry/ WanaCypt0r/ Wanacryptor กระจายไปทั่วโลกด้วยความรวดเร็ว คาดว่ามีคอมพิวเตอร์ที่ติด WannaCry มากกว่า 100,000 เครื่องทั่วโลกในระยะเวลาไม่ถึง 1 วัน
ความร้ายกาจของ WannaCry คือจะเข้ารหัสไฟล์สำคัญทั้งหมดของเครื่องเช่น .docx, .pptx, .mpeg, .zip, .backup แล้วเรียกค่าไถ่เป็นเงิน $300 ผ่านทาง Bitcoin ซึ่งแน่นอนว่าเหยื่อสามารถกดทดลองกู้ไฟล์คืนได้ถ้าไม่แน่ใจ และมีตัวเลขเวลาบอกว่าไฟล์ทั้งหมดในเครื่องจะถูกลบเมื่อไหร่ถ้าไม่จ่ายเงิน (อ่านกระบวนการทำงานอย่างละเอียดที่ TechTalkThai
ซึ่งเรื่องเลวร้ายได้เกิดขึ้นเมื่อ NHS (National Health Service) ระบบประกันสุขภาพของอังกฤษถูก WannaCry โจมตีและเข้ารหัสข้อมูล คนไข้จำนวนมากไม่สามารถผ่าตัดได้ในวันนี้ ทำให้ NHS ต้องยอมจ่ายค่าไถ่เพื่อนำข้อมูลกลับมา
(1/2) Due to the NHS cyber attack please only attend @broomfieldnhs A&E in a critical or life-threatening situation https://t.co/tDBuno8jdL
— NHS Mid Essex CCG (@MidEssexCCG) May 13, 2017
ส่วนในไทย เซิร์ฟเวอร์ของ Garena ก็โดนเล่นงานเช่นกัน ทำให้ต้องปิดเซิร์ฟเวอร์เป็นการชั่วคราว
สถานการณ์สร้างฮีโร่ พบวิธีหยุดการแพร่ระบาดแล้ว
https://twitter.com/MalwareTechBlog/status/863187104716685312
นักวิจัยที่ใช้นามแฝงว่า MalwareTech ค้นพบว่าเมื่อ WannaCry กำลังจะแพร่ไปยังคอมพิวเตอร์เครื่องใหม่ๆ จะตรวจสอบ URL หนึ่งในอินเทอร์เน็ตเสมอคือ iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com นักวิจัยท่านนี้จึงลองลงทะเบียนเปิดโดเมนใหม่ตัวนี้ดู และการแพร่กระจายก็จบลง
เสียเงินลงทะเบียนเว็บใหม่ไป £10 หยุด WannaCry ทั้งโลก
คาดว่าแฮกเกอร์ตั้งกฎนี้ขึ้นมาเพื่อเป็น Kill Switch หยุดการทำงานของ WannaCry แต่ก็ถูกนักวิจัยภายนอกค้นพบเสียก่อน
การแพร่กระจายจบ แต่เรื่องยังไม่จบ
ถึงแม้ว่าการแพร่กระจายของ WannaCry จะหยุดลงแล้ว แต่เรื่องยังไม่จบนะครับ
- เครื่องที่ถูกเข้ารหัสแล้ว ก็ยังต้องแก้วิธีแก้ไขต่อไป ตอนนี้ยังไม่มีเครื่องมือแกะไฟล์ออกมา ก็ต้องจ่ายเงินปลด หรือดึงข้อมูลกลับจาก Shadow copy ของวินโดวส์ ถ้ายังไม่ถูกทำลาย
- แฮกเกอร์กลุ่มอื่นๆ ก็สามารถนำช่องโหว่นี้ไปใช้ต่อได้ แค่แก้โค้ดนิดหน่อย ก็กลายเป็น Malware ตัวใหม่แล้ว ทางป้องกันคืออัปเดทวินโดวส์โดยด่วน โดยเฉพาะแพทซ์ MS17-010 ที่ออกมาปิดช่องโหว่ของ SMB
- สำหรับ Windows รุ่นเก่าอย่าง XP, Windows 8, Windows Server 2003 ที่เลิกซัพพอร์ตไปแล้ว ไมโครซอฟท์ก็ออกตัวแก้ไขฉุกเฉินมาให้เพื่อปิดช่องโหว่นี้ ก็ตามไปดาวน์โหลดได้ที่เว็บ Microsoft
สุดท้ายนี้ ใช้ Windows ลิขสิทธิ์ และอัปเดทระบบสม่ำเสมอ จะสามารถป้องกันเหตุลักษณะนี้ได้ในอนาคตครับ
ดาวน์โหลดไฟล์ป้องกันจาก Microsoft
อ้างอิง: TechTalkThai
นักวิจัยไทยช่วยสร้างไฟล์ป้องกัน
อัปเดทล่าสุด นักวิจัยจากห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ มหาวิทยาลัยเทคโนโลยีสุรนารี ได้สร้างโปรแกรมเพื่อช่วยปรับแต่ง Windows ให้ป้องกัน WannaCry ได้ ก็ลองอ่านจากโพสต์ด้านล่างเลยครับ