WannaCry มัลแวร์เรียกค่าไถ่บันลือโลก

12 พ.ค.2560 ทั่วโลกต้องจารึก มัลแวร์ แรนซัมแวร์ตัวหนึ่งที่แพร่กระจายอย่างรวดเร็ว คล้ายกับไวรัสยุคก่อน แพร่ไปยังระบบเครือข่ายได้ โดยมีชื่อว่า WannaCry ย่อมาจาก ‘Wana Decrypt0r,’ ‘WannaCryptor’ หรือ ‘WCRY’ โดยคำว่า “Cryptor” หมายถึง การเข้ารหัส โดยมัลแวร์ตัวนี้ ทำการเรียกค่าไถ่ด้วยการเข้ารหัสไฟล์ในเครื่องที่โดนเล่นงาน และเรียกค่าไถ่ไปยังเหยื่อให้จ่ายค่าไถ่เพื่อให้ปลดล็อคไฟล์นั้น

นายนักรบ เนียมนามธรรม กรรมการผู้จัดการ บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด หนึ่งในผู้เชี่ยวชาญระบบป้องกันภัยไซเบอร์ของไทย กล่าวถึงประเด็นนี้ โดยระบุว่า WannaCry นับเป็นมัลแวร์เรียกค่าไถ่บันลือโลก โดยแรนซัมแวร์ที่ผ่านมาส่วนใหญ่ จะมีเป้าหมายที่เครื่องใดเครื่องหนึ่งเฉพาะเจาะจง เรียกค่าไถ่ด้วยเงิน

สำหรับ WannaCry ตัวนี้ จะแพร่กระจายไปหลายเครื่องเพื่อทำการ โดยมีการเรียกค่าไถ่ 300 ดอลลาร์ หรือประมาณ 10,000 บาท มัลแวร์ WannaCry กระจายรวดเร็วทั่วโลก มี 45,000 เครื่องในกว่า 74 ประเทศ อาทิ สหรัฐอเมริกา รัสเซีย เยอรมัน อิตาลี ตุรกี เวียดนาม ฟิลิปปินส์ ที่ติดมัลแวร์ตัวนี้

สำหรับในไทยตอนนี้ มีหลายหน่วยงานทั้งภาครัฐและเอกชนตกเป็นเหยื่อของมัลแวร์นี้ และสถานการณ์ปัจจุบันทั่วโลกที่มัลแวร์ตัวนี้ยังแพร่กระจายอยู่ ทำให้เครื่องติดมัลแวร์นี้ไปแล้วกว่า 120,000 เครื่อง

WannaCry อาศัยช่องโหว่ของระบบปฏิบัติการไมโครซอฟท์ ที่ชื่อว่า MS17-010 พุ่งเป้า รุ่นเอ็กซ์พี (XP) ไปจนถึง วิสต้า วินโดว์ส 2008 อาร์2 อาศัยรอยรั่วในเซิร์ฟเวอร์ ไมโครซอฟท์ วินโดว์ส เอสเอ็มบี ที่ไม่ได้อุดช่องโหว่ไว้ โดยเอสเอ็มบี เป็นโปรโตคอลสำหรับแชร์ไฟล์ ดังนั้นหากเครื่องใดเครื่องหนึ่งที่ติดมัลแวร์ตัวนี้เปิดแชร์ไฟล์ผ่านโปรโตคอลนี้ เจ้ามัลแวร์จะระบาดไปยังเครื่องอื่นได้อย่างรวดเร็ว มัลแวร์นี้จะแฝงมากับไฟล์ที่แนบในอีเมลอย่าง เวิร์ด หรือ พีดีเอฟ เมื่อเหยื่อคลิกเปิดไฟล์ที่แฝงมัลแวร์นี้ มัลแวร์จะทำการค้นหาไฟล์ในเครื่องของผู้ใช้และทำการเข้ารหัสเชิงลึกที่ถอดรหัสไม่ได้ เหยื่อจึงจำเป็นต้องจ่ายค่าไถ่เพื่อกู้ไฟล์กลับมา

โดยมีการปล่อยมัลแวร์อีเมลนี้ถึง 5 ล้านเมลใน 1 ชั่วโมง จึงทำให้แพร่กระจายอย่างรวดเร็วและเป็นวงกว้าง และเมื่อเครื่องใดก็ตามถูกมัลแวร์นี้เล่นงาน จะมีข้อความแสดงบนหน้าจอจากแฮกเกอร์ ว่าคุณโดนแฮกแล้ว พร้อมจำนวนค่าไถ่และวิธีการจ่ายเงิน โดยจ่ายด้วยบิตคอยน์ ที่สำคัญ WannaCry มี variant ที่สามารถหลบหลีกระบบการตรวจสอบจากแอนตี้ไวรัสได้

อย่างไรก็ตามทางไมโครซอฟท์ ได้ออกอัพเดท Patch เพื่ออุดช่องโหว่นี้ ครอบคลุมถึงวินโดว์สรุ่นเก่า อย่างวิสต้าที่ยกเลิกการขายหรือพัฒนาไปแล้ว สำหรับระบบปฎิบัติการอื่นนอกจากไมโครซอฟท์ ยังไม่มีข้อมูลแน่ชัดว่า จะถูกโจมตีด้วยหรือไม่ ตอนนี้ยังคงแพร่ระบาดเฉพาะระบบปฏิบัติการวินโดว์เท่านั้น

แนะวิธีป้องกัน
นายนักรบ กล่าวว่า การป้องกันที่สำคัญสำหรับองค์กรและบุคคลทั่วไป คือ การอัพเดท Patch เพื่ออุดช่องโหว่ สำหรับองค์กรใหญ่ที่มี Vulnerability Management ให้สแกนหาช่องโหว่ที่ชื่อว่า MS17-010 และหากเจอช่องโหว่นี้ให้ทำการ Isolate หรือแยกออกจากระบบเครือข่ายอื่นขององค์กร ในส่วนขององค์กรทั่วไปใช้ไฟร์วอลล์ ปิดพอร์ตที่เกี่ยวข้องกับโปรโตคอลเอสเอ็มบี (SMB) ได้แก่ 445/138/139 ชั่วคราว จนกว่าสถานการณ์จะคลี่คลาย

อีกวิธีป้องกันที่สำคัญสำหรับทุกภาคส่วน คือ การสำรองข้อมูล โดยควรมีการสำรองข้อมูลไว้อย่างน้อยสัปดาห์ละ 1 ครั้ง เพื่อที่หากเกิดเหตุการณ์ดังกล่าว สามารถเรียกใช้ข้อมูลที่มีการสำรองไว้ได้หรือสูญเสียข้อมูลให้เหล่าแฮกเกอร์น้อยที่สุด เป็นสิ่งสำคัญที่ผู้ใช้งานควรทำการอัพเดทโปรแกรมหรือระบบต่างๆ อยู่เสมอ เพื่อหลีกเลี่ยงการโจมตีจากเหล่าอาชญากรไซเบอร์ หรือได้รับความเสียหายน้อยที่สุด