เตรียมรับมือกับ WannaCry สายพันธุ์ลอกเลียนแบบ และการป้องกัน Ransomware

จากข่าวสะเทือนชาว IT ทั่วโลกเมื่อช่วงที่ผ่านมาของ Ransomware สายพันธุ์ใหม่ที่มีชื่อว่า WannaCry ที่ถูกออกแบบมาเพื่อทำการเข้ารหัสหรือล็อกไฟล์ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ โดยเหยื่อจะไม่สามารถเปิดไฟล์ใดๆ ได้เลยหากไฟล์เหล่านั้นถูกเข้ารหัสเอาไว้ ซึ่งการถูกเข้ารหัสก็หมายความว่าจะต้องใช้คีย์ในการปลดล็อคเพื่อกู้ข้อมูลคืนมา ซึ่งเหยื่อจะต้องจ่ายเงินราวๆ 300 เหรียญหรือมากกว่าผ่านทาง Bitcoin หรือบัตรเติมเงิน ตามข้อความเรียกค่าไถ่ที่ปรากฏขึ้นบนหน้าจอ

และจากความสำเร็จในการแฮ็กข้อมูลเพื่อเรียกค่าไถ่ของ WannaCry นี่เอง เหล่าแฮ็คเกอร์ทั้งหลายจึงได้ปล่อยสายพันธุ์เลียนแบบที่ตนเองได้พัฒนาขึ้นมาอย่างรวดเร็ว ซึ่งขณะนี้ได้พบ Ransomware ที่มีความคล้ายคลึงกันกับ WannaCry ออกมาแล้วกว่า 5 สายพันธุ์ แต่ที่น่าสนใจก็คือพบว่าเริ่มมีเครื่องมือสำหรับช่วยสร้าง WannaCry Ransomware ขึ้น เพื่อช่วยให้แฮ็คเกอร์สามารถกำหนดและปรับแต่งหน้าจอให้เป็นรูปแบบของตนเองได้ โดย WannaCry สายพันธุ์เลียนแบบที่พบแล้วมีดังนี้

1. DarkoderCrypt0r มีการพัฒนาต่อยอดออกไปได้ไกลมากที่สุด ซึ่งแฮ็กเกอร์ผู้พัฒนาได้ทำการเปลี่ยนหน้าล็อคสกรีนให้เป็นแบบฉบับของตัวเอง และเปลี่ยน Bitcoin Address ใหม่ อีกทั้งยังมีการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์ของเหยื่อ และต่อท้ายนามสกุลไฟล์ด้วย .DARKCRY ส่วนไฟล์ EXE ก็ใช้ชื่อว่า @DaKryEncryptor@.exe

2. Aron WanaCrypt0r 2.0 Generator v1.0 เป็นตัวอย่างที่น่าสนใจสำหรับเครื่องมือที่ใช้สร้าง WannaCry Ransomware เลียนแบบ ซึ่งโปรแกรมนี้จะช่วยให้เหล่าแฮ็คเกอร์ทั้งหลายสามารถสร้างหน้าต่างล็อคสกรีนของ WannaCry ได้ตามต้องการ ไม่ว่าจะเป็นข้อความ รูปภาพ หรือสีพื้นหลัง ในอนาคตเครื่องมือนี้น่าจะสามารถนำการปรับแต่งเหล่านี้ไปสร้างไฟล์ Executable เพื่อให้เหล่าผู้ที่ต้องการจะเป็นนักพัฒนา Ransomware สามารถเอาไปใช้แพร่กระจายไปยังเหยื่อเพื่อเรียกค่าไถ่ต่อไป อย่างไรก็ตาม จนถึงตอนนี้เครื่องมือนี้ยังทำได้แค่สร้างหน้าต่างล็อกสกรีนขึ้นมาเองเท่านั้น แต่ยังไม่สามารถสร้างไฟล์ Executable ได้

3. Wanna Crypt v2.5 ยังอยู่ในช่วงเริ่มต้นของการพัฒนา เนื่องจากจะแสดงเฉพาะหน้าจอล็อคเมื่อเปิดตัวเท่านั้น

4. WannaCrypt 4.0 เช่นเดียวกับ Wanna Crypt v2.5 ตัว WannaCrypt 4.0 เองก็อยู่ในช่วงเริ่มต้นของการพัฒนาและยังไม่ได้มีการเข้ารหัสข้อมูลอะไรในขณะนี้ แต่ส่วนที่น่าสนใจก็คือภาษาเริ่มต้นสำหรับหน้าจอล็อคเป็นภาษาไทยที่สามารถอ่านแล้วเข้าใจ ซึ่ง WannaCry ต้นฉบับนั้นไม่สนับสนุนภาษาไทย คาดว่านักพัฒนาเลียนคนแบบนี้จะเป็นคนไทย

5. Wana Decrypt0r 2.0 เป็นอีกหนึ่ง Ransomware ที่กำลังพัฒนาที่ใช้หน้าจอของ WannaCry ซึ่งกำลังเผยแพร่เป็น MS17-010.exe

Ransomware

Ransomware แบ่งได้เป็น 3 ประเภทคือ
1. Scareware สามารถกำจัดได้ง่ายที่สุดประกอบด้วย โปรแกรมป้องกันไวรัสปลอม หรือโปรแกรมเครื่องมือทำความสะอาดปลอมที่อ้างว่าตรวจพบปัญหามากมายและต้องการให้คุณจ่ายเงินเพื่อแก้ไขปัญหาเหล่านี้ บางครั้ง Scareware อาจสร้าง Alerts หรือ pop-ups ขึ้นมาจำนวนมาก หรืออาจป้องกันการเปิดโปรแกรมที่ผู้ใช้ต้องการ

2. Lock-screen viruses ซึ่ง Ransomware ประเภทนี้จะทำให้ผู้ใช้ไม่สามารถใช้คอมพิวเตอร์ได้ โดยโปรแกรมจะแสดงหน้าจอแบบ full-screen เมื่อผู้ใช้เปิดเครื่องคอมพิวเตอร์ เป็นหน้าจอที่มีโลโก้ของ FBI หรือหน่วยงานรักษาความปลอดภัยอื่นๆ และแจ้งว่าคุณได้ทำผิดกฎหมายใดๆ และต้องจ่ายค่าปรับเพื่อให้สามารถใช้งานคอมพิวเตอร์ต่อได้

3. Encrypting malware เช่น WannaCry, CryptoLocker เป็นประเภทที่เลวร้ายที่สุดเพราะโปรแกรมนี้จะทำการเข้ารหัสและล็อกไฟล์ส่วนบุคคลของเราจนกว่าเราจะยอมจ่ายเงิน แต่ถึงแม้ว่าเราจะยังไม่ได้สำรองไฟล์ไว้เราก็อาจยังมีโอกาสกู้คืนข้อมูลของเราได้

วิธีป้องกันการติดเชื้อ Ransomware
การหลีกเลี่ยงการติดเชื้อ Ransomware จะเหมือนกับการหลีกเลี่ยงมัลแวร์ประเภทอื่นๆ ให้เลือกใช้โปรแกรม anti-virus ที่ดีและทำการอัพเดท component ของ browser ที่เกียวข้อง เช่น Java, Adobe คอย clean add-ons และ junk toolbars ออก ควรระมัดระวังการเปิด email จากบุคคลที่ไม่รู้จักที่อาจนำไปสู่การติดมัลแวร์ เช่น ไฟล์แนบอีเมล และสแปม (ตัวอย่างเช่น CryptoLocker แพร่กระจายผ่านทางไฟล์ .zip) หมั่นทำการสำรองข้อมูล (Backup) ทุกอย่างในคอมพิวเตอร์อย่างสม่ำเสมอ ควรติดตามข่าวสารต่างๆ รวมถึงศึกษาวิธีการป้องกันเพื่อไม่ให้ตกเป็นเหยื่อของเหล่าผู้ไม่หวังดี

ที่มา:

http://itexperts.co.za/rescue-your-pc-from-ransomware-2/

https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/

No Comments

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

You must be logged in to post a comment.