สิ่งที่โดดเด่นที่สุดคือ Telefonica บริษัทโทรคมนาคมของสเปนก็ตกเป็นเหยื่อ เช่นเดียวกับโรงพยาบาลทั่วสหราชอาณาจักร ตามรายงานของเดอะการ์เดียนการโจมตีในสหราชอาณาจักรได้โจมตีระบบสุขภาพแห่งชาติ (NHS) อย่างน้อย 16 แห่ง และทำลายระบบเทคโนโลยีสารสนเทศ (IT) ที่ใช้เพื่อความปลอดภัยของผู้ป่วยโดยตรง
วิดีโอแนะนำ
อวาสท์
WanaCryptOR หรือ WCry เป็นแรนซัมแวร์ที่ใช้ช่องโหว่ที่ระบุในโปรโตคอล Windows Server Message Block และได้รับการแก้ไขใน Microsoft's March 2017 Patch วันอังคาร การอัปเดตความปลอดภัย รายงานจากแคสเปอร์สกี้ แลปส์. WCry เวอร์ชันแรกได้รับการระบุในเดือนกุมภาพันธ์ และได้รับการแปลเป็นภาษาต่างๆ ถึง 28 ภาษา
ไมโครซอฟ ได้ตอบกลับ สู่การโจมตีด้วยโพสต์บล็อก Windows Security ของตัวเอง ซึ่งตอกย้ำข้อความที่ปัจจุบันรองรับพีซี Windows ที่ใช้แพตช์รักษาความปลอดภัยล่าสุดปลอดภัยจากมัลแวร์ นอกจากนี้ Windows Defenders ยังได้รับการอัปเดตเพื่อให้การป้องกันแบบเรียลไทม์
“เมื่อวันที่ 12 พฤษภาคม 2017 เราตรวจพบแรนซัมแวร์ตัวใหม่ที่แพร่กระจายเหมือนเวิร์มโดยใช้ประโยชน์จากช่องโหว่ที่ได้รับการแก้ไขก่อนหน้านี้” บทสรุปการโจมตีของ Microsoft เริ่มต้นขึ้น “แม้ว่าการอัปเดตความปลอดภัยจะถูกนำไปใช้กับคอมพิวเตอร์ส่วนใหญ่โดยอัตโนมัติ แต่ผู้ใช้และองค์กรบางรายอาจทำให้การติดตั้งแพตช์ล่าช้า น่าเสียดายที่มัลแวร์ที่เรียกว่า WannaCrypt ดูเหมือนจะส่งผลกระทบต่อคอมพิวเตอร์ที่ไม่ได้ใช้โปรแกรมแก้ไขสำหรับช่องโหว่เหล่านี้ ในขณะที่การโจมตีกำลังเกิดขึ้น เราขอเตือนผู้ใช้ให้ติดตั้ง MS17-010 หากยังไม่ได้ติดตั้ง”
คำแถลงกล่าวต่อ: “การตรวจวัดทางไกลป้องกันมัลแวร์ของ Microsoft ตรวจพบสัญญาณของแคมเปญนี้ทันที ระบบผู้เชี่ยวชาญของเราทำให้เรามองเห็นและบริบทเกี่ยวกับการโจมตีครั้งใหม่นี้ในขณะที่เกิดขึ้น ช่วยให้โปรแกรมป้องกันไวรัสของ Windows Defender สามารถให้การป้องกันแบบเรียลไทม์ ด้วยการวิเคราะห์อัตโนมัติ การเรียนรู้ของเครื่อง และการสร้างแบบจำลองเชิงคาดการณ์ เราสามารถป้องกันมัลแวร์นี้ได้อย่างรวดเร็ว”
Avast คาดการณ์เพิ่มเติมว่าช่องโหว่ที่ซ่อนอยู่นั้นถูกขโมยไปจาก Equation Group ซึ่งได้รับการสงสัยว่าเชื่อมโยงกับ NSA โดยกลุ่มแฮ็กเกอร์ที่เรียกตัวเองว่า ShadowBrokers การใช้ประโยชน์นี้เรียกว่า ETERNALBLUE และชื่อ MS17-010 โดย Microsoft
เมื่อมัลแวร์โจมตี มันจะเปลี่ยนชื่อไฟล์ที่ได้รับผลกระทบให้มีนามสกุล “.WNCRY” และเพิ่ม “WANACRY!” เครื่องหมายที่จุดเริ่มต้นของแต่ละไฟล์ นอกจากนี้ยังวางบันทึกเรียกค่าไถ่ลงในไฟล์ข้อความบนเครื่องของเหยื่อ:
อวาสท์
จากนั้นแรนซัมแวร์จะแสดงข้อความเรียกค่าไถ่ที่ต้องการเงิน Bitcoin มูลค่าระหว่าง 300 ถึง 600 ดอลลาร์สหรัฐฯ และให้คำแนะนำเกี่ยวกับวิธีการชำระเงินและกู้คืนไฟล์ที่เข้ารหัส ภาษาในคำสั่งเรียกค่าไถ่นั้นดูสบายๆ และดูคล้ายกับสิ่งที่เราอ่านได้จากข้อเสนอในการซื้อผลิตภัณฑ์ทางออนไลน์ ในความเป็นจริง ผู้ใช้มีเวลาสามวันในการชำระเงินก่อนที่ค่าไถ่จะเพิ่มเป็นสองเท่า และชำระเงินเจ็ดวันก่อนที่ไฟล์จะไม่สามารถกู้คืนได้อีกต่อไป
อวาสท์
สิ่งที่น่าสนใจคือการโจมตีถูกชะลอหรือหยุดลงโดย “ฮีโร่โดยบังเอิญ” เพียงแค่ลงทะเบียนโดเมนเว็บที่ถูกฮาร์ดโค้ดลงในโค้ดแรนซัมแวร์ หากโดเมนนั้นตอบสนองต่อคำขอจากมัลแวร์ โดเมนจะหยุดแพร่ระบาดไปยังระบบใหม่ — ซึ่งทำหน้าที่เป็น “kill switch” ที่อาชญากรไซเบอร์สามารถใช้เพื่อปิดการโจมตีได้
เช่น เดอะการ์เดียนชี้ให้เห็นนักวิจัยที่รู้จักกันในชื่อ MalwareTech เท่านั้น จดทะเบียนโดเมนในราคา 10.69 ดอลลาร์ โดยไม่รู้ตัวในขณะใช้ Kill Switch โดยพูดว่า “ฉันออกไปข้างนอกแล้ว” กินข้าวเที่ยงกับเพื่อนแล้วกลับมาประมาณบ่ายสามโมง และได้เห็นบทความข่าวเกี่ยวกับ NHS และองค์กรต่างๆ ในสหราชอาณาจักรหลั่งไหลเข้ามามากมาย ตี. ฉันได้ตรวจสอบสิ่งนั้นเล็กน้อยแล้วฉันก็พบตัวอย่างมัลแวร์เบื้องหลัง และเห็นว่ามันกำลังเชื่อมต่อกับโดเมนเฉพาะซึ่งไม่ได้ลงทะเบียน ดังนั้นฉันจึงหยิบมันขึ้นมาโดยไม่รู้ว่าตอนนั้นมันทำอะไร”
MalwareTech จดทะเบียนโดเมนในนามของบริษัทของเขา ซึ่งติดตามบ็อตเน็ต และในตอนแรก พวกเขาถูกกล่าวหาว่าเป็นผู้เริ่มการโจมตี “ในตอนแรกมีคนรายงานข้อผิดพลาดที่เราทำให้เกิดการติดไวรัสโดยการจดทะเบียนโดเมน ดังนั้นฉันจึงรายงาน มันเป็นเรื่องประหลาดเล็กๆ น้อยๆ จนกระทั่งฉันรู้ว่าจริงๆ แล้วมันเป็นอย่างอื่น และเราก็หยุดมันได้แล้ว” MalwareTech บอกกับ The การ์เดี้ยน.
อย่างไรก็ตาม นั่นอาจไม่ใช่จุดสิ้นสุดของการโจมตี เนื่องจากผู้โจมตีอาจสามารถแก้ไขโค้ดเพื่อละเว้น Kill Switch ได้ การแก้ไขที่แท้จริงเพียงอย่างเดียวคือต้องแน่ใจว่าเครื่องได้รับการแพตช์อย่างสมบูรณ์และใช้งานซอฟต์แวร์ป้องกันมัลแวร์ที่เหมาะสม แม้ว่าเครื่อง Windows จะเป็นเป้าหมายของการโจมตีครั้งนี้ MacOS ได้แสดงให้เห็นถึงช่องโหว่ของตัวเองแล้ว ดังนั้นผู้ใช้ระบบปฏิบัติการของ Apple ควรแน่ใจว่าได้ทำตามขั้นตอนที่เหมาะสมเช่นกัน
ในข่าวที่สดใสยิ่งขึ้น ดูเหมือนว่ามีเครื่องมือใหม่ที่สามารถระบุคีย์การเข้ารหัสที่ใช้โดย ransomware บนเครื่องบางเครื่องที่อนุญาตให้ผู้ใช้กู้คืนข้อมูลได้ เครื่องมือใหม่ที่เรียกว่า Wanakiwi คล้ายกับเครื่องมืออื่น วอนนากี้แต่มีอินเทอร์เฟซที่เรียบง่ายกว่าและอาจแก้ไขเครื่องที่ใช้ Windows เวอร์ชันมากกว่าได้ เช่น อาร์ส เทคนิคิกา รายงานวานากิวีใช้กลเม็ดบางอย่างในการกู้คืนหมายเลขเฉพาะที่ใช้ในการสร้างคีย์เข้ารหัส โดยพื้นฐานแล้ว โดยการดึงตัวเลขเหล่านั้นมาจาก แกะ หากเครื่องที่ติดไวรัสยังคงเปิดอยู่และข้อมูลยังไม่ได้ถูกเขียนทับ Wanawiki ใช้ประโยชน์จาก "ข้อบกพร่อง" บางประการในอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน Microsoft Cryptographic ที่ WannaCry และแอปพลิเคชันอื่น ๆ ใช้เพื่อสร้างคีย์การเข้ารหัส
ตามที่ Benjamin Delpy ผู้ช่วยพัฒนา Wanakiwi กล่าว เครื่องมือดังกล่าวได้รับการทดสอบกับเครื่องจำนวนหนึ่งที่มีฮาร์ดไดรฟ์ที่เข้ารหัส และประสบความสำเร็จในการถอดรหัสหลายเครื่อง Windows Server 2003 และ Windows 7 เป็นหนึ่งในเวอร์ชันที่ทดสอบ และ Delpy สันนิษฐานว่า Wanakiwi จะทำงานร่วมกับเวอร์ชันอื่นๆ ได้เช่นกัน ตามที่ Delpy กล่าวไว้ ผู้ใช้สามารถ “เพียงดาวน์โหลด Wanakiwi และหากสามารถสร้างคีย์ได้อีกครั้ง มันจะแยกมัน สร้างมันขึ้นมาใหม่ (อันที่ดี) และเริ่มถอดรหัสไฟล์ทั้งหมดในดิสก์ ในโบนัส กุญแจที่ฉันได้รับสามารถนำไปใช้กับตัวถอดรหัสมัลแวร์เพื่อให้มันถอดรหัสไฟล์เหมือนกับว่าคุณจ่ายเงินแล้ว”
ข้อเสียคือทั้ง Wanakiwi และ Wannakey จะไม่ทำงานหากพีซีที่ติดไวรัสถูกรีสตาร์ทหรือหากพื้นที่หน่วยความจำที่มีหมายเลขเฉพาะถูกเขียนทับไปแล้ว ดังนั้นจึงเป็นเครื่องมือที่ควรดาวน์โหลดและเตรียมไว้ให้พร้อมอย่างแน่นอน เพื่อความอุ่นใจยิ่งขึ้น ควรสังเกตว่าบริษัทรักษาความปลอดภัย Comae Technologies ได้ช่วยเหลือในการพัฒนาและทดสอบ Wanakiwi และสามารถตรวจสอบประสิทธิภาพของมันได้
คุณสามารถ ดาวน์โหลดวานากิวีได้ที่นี่. เพียงขยายขนาดแอปพลิเคชันแล้วเปิดใช้งาน โปรดทราบว่า Windows 10 จะบ่นว่าแอปพลิเคชันนั้นเป็นโปรแกรมที่ไม่รู้จัก และคุณจะต้องกด "ข้อมูลเพิ่มเติม" เพื่อให้แอปพลิเคชันทำงานได้
มาร์ค คอปป็อก/เทรนด์ดิจิทัล
Ransomware เป็นหนึ่งในมัลแวร์ประเภทที่เลวร้ายที่สุด โดยมันจะโจมตีข้อมูลของเราและล็อกมันไว้ภายใต้การเข้ารหัสที่รัดกุม เว้นแต่เราจะจ่ายเงินให้กับผู้โจมตีเพื่อแลกกับกุญแจเพื่อปลดล็อค มีบางอย่างที่เป็นส่วนตัวเกี่ยวกับแรนซัมแวร์ที่ทำให้แตกต่างจากการโจมตีของมัลแวร์แบบสุ่มที่ทำให้พีซีของเรากลายเป็นบอทไร้หน้า
วิธีเดียวที่ดีที่สุดในการป้องกัน WCry คือตรวจสอบให้แน่ใจว่าพีซี Windows ของคุณได้รับการแพตช์ล่าสุดด้วยการอัปเดตล่าสุด หากคุณปฏิบัติตามกำหนดการ Patch Tuesday ของ Microsoft และใช้งาน Windows Defender เป็นอย่างน้อย แสดงว่าเครื่องของคุณควรจะเป็นเช่นนั้นแล้ว ได้รับการปกป้อง — แม้ว่าการสำรองข้อมูลไฟล์ที่สำคัญที่สุดของคุณแบบออฟไลน์ซึ่งการโจมตีดังกล่าวไม่สามารถแตะต้องได้นั้นเป็นขั้นตอนสำคัญในการ เอา. นับจากนี้ไป เครื่องจักรหลายพันเครื่องที่ยังไม่ได้รับการแก้ไข จะยังคงได้รับผลกระทบจากการโจมตีที่แพร่หลายนี้ต่อไป
อัปเดตเมื่อวันที่ 5-19-2017 โดย Mark Coppock: เพิ่มข้อมูลเกี่ยวกับเครื่องมือ Wanakiwi
คำแนะนำของบรรณาธิการ
- การโจมตีของ Ransomware พุ่งสูงขึ้นอย่างมาก ต่อไปนี้คือวิธีการรักษาความปลอดภัย
- แฮกเกอร์ให้คะแนนด้วยแรนซัมแวร์ที่โจมตีเหยื่อก่อนหน้านี้
