สรุป WannaCry สิ่งที่ควรรู้ และแนวทางแก้ไขปัญหา

เรื่องราวทั้งหมดที่เขียน รวบรวมมาจาก status ทั้งหมดใน Facebook ตลอด 5 วันที่ผ่านมา เอามาสรุปใหม่ เพื่อให้อ่านได้ง่าย โดยยืนพื้น status แรกไว้ก่อน เพื่อไม่ให้กระจัดกระจายไปมากกว่านี้ แน่นอนว่ามีประเด็นใหม่ ๆ และข้อมูลใหม่ ๆ ออกมาเสมอ ฉะนั้น ข้อมูล status ใน Facebook เลยตกไปค่อนข้างเร็ว และบางครั้งการกลับไปปรับปรุงให้ทันสมัยเลยค่อนข้างยาก

Malware ประเภทเรียกค่าไถ่ (ransomware) ชื่อ WannaCry (WannaCrypt, WCry  หรือ Wana Decrypt0r version 2.0) ระบาดหนักชั่วข้ามคืน (ประเทศไทย) ประมาณ 02:00 น. เป็นต้นมา สร้างความเสียหายทั่วโลก โดยเวลา 12:00 น. วันที่ 13/5/2017 (ผ่านมาแล้ว 10 ชั่วโมง) โดนโจมตีไปกว่า 100,000 เครื่องทั่วโลก จุดเริ่มต้นถูกโจมตีที่แถบยุโรปก่อน

ในเวลาต่อมานักวิจัยด้านความมั่นคงปลอดภัย MalwareTech ได้ตรวจสอบ และพบว่า WannaCry จะตรวจสอบไปยัง domain ที่ชื่อว่า iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ก่อนเสมอ ว่ามี domain name ดังกล่าว หรือไม่ ถ้ามีจะหยุดการทำงานลง ทำให้นักวิจัยคนดังกล่าวทำการจด domain นั้นเพื่อทดสอบว่ามันคือ kill switch หรือไม่ ซึ่งก็เป็นไปตามคาด kill swtich ทำงาน การแพร่กระจายได้หยุดลง

เมื่อการแพร่กระจายในระลอกแรกสิ้นสุดลงไม่นาน WannaCry รุ่นใหม่ ที่ตัดการทำงาน kill switch ก็เริ่มระบาดอีกครั้ง นั้นหมายความว่า การต่อสู้ยังไม่จบลง และมันคงอยู่ต่อไปใน internet ตราบเท่าที่ยังมีเครื่องคอมพิวเตอร์ที่ยังมีช่องโหว่ที่ WannaCry ใช้ประโยชน์ได้อยู่ต่อไป

พอเราทราบที่มาของมันแล้ว มาดูกันต่อไปว่า ตัว ransomware นี้อาศัยช่องโหว่ของ Server Message Block version 1 (SMBv1) บน Windows ที่มีชื่อเรียกว่า ETERNALBLUE  ในการแพร่กระจายตัวเองผ่านเครือข่าย ทั้งบนอินเตอร์เน็ต และเครือข่ายภายในองค์กร ซึ่งมันสั่งทำงานได้ด้วยตัวเองโดยไม่ต้องมีการสั่งจากผู้ใช้งานบนเครื่องที่ถูกติดตั้ง ransomware แบบตัวอื่น ๆ ก่อนหน้านี้ ทำให้มันทำตัวเหมือน worm ด้วยในตัวเดียวกัน (แพร่กระจาย และทำงานได้เอง)

ว่าง่ายๆ คือ มันไม่ต้องเคาะประตูห้องครับ มันมีกุญแจไขประตูห้องเลย แล้วก็เข้ามาในห้องเอาของทั้งห้องออกไปเรียกค่าไถ่เลย ถ้าเป็นแบบอีเมลที่เคยเจอๆ กันมา คือมันเคาะประตูห้องคุณก่อน ถ้าไม่เปิดโปรแกรมรันมันก็เข้ามาไม่ได้

เจ้าตัวนี้มันน่ากลัวตรงนี้แหละ เพราะมัน scan หาเครื่องเหยื่อ เหมือนกับโจรมี master key ไล่เปิดประตูห้องทีละห้อง แล้วก็ไขไปเรื่อยๆ ทุกคอนโด ใครไม่เปลี่ยน ไม่ล็อคหลายชั้นก็เสร็จโจรไป

ด้านล่างคือ วิดีโอตัวอย่าง ว่าถ้ามีเครื่องติด WannaCry อยู่ใน network มันจะ scan หาเครื่องต่อไปแล้ว copy ต่อเองผ่านช่องโหว่ SMBv1 บนระบบ network ภายใน แล้วยึดเครื่องเพื่อเรียกค่าไถ่เครื่องต่อไปได้เลย ฉะนั้น ถ้าเครื่องคอมพิวเตอร์ใดๆ เปิด public internet จะโดนแบบนี้แหละ เพราะบน internet มีเครื่องที่ WannaCry ใช้เป็น botnet ในการยึดเครื่องอยู่แล้วจำนวนมาก (หลายแสนเครื่องแล้ว)

[youtube https://www.youtube.com/watch?v=K8DJCqSPmdI&w=560&h=315]

[youtube https://www.youtube.com/watch?v=96nIZUc7JVE&w=560&h=315]

จากช่องโหว่ที่นำมาสู่การแพร่กระจายดังกล่าวนั้น Microsoft ได้ออก patch MS17-010 ไปแล้วเมื่อเดือนมีนาคมที่ผ่านมา เพื่อปิดช่องโหว่ที่เกิดจากเครื่องมือแฮกของ NSA ที่หลุดออกมาเผยแพร่เมื่อหลายเดือนก่อน โดย patch ดังกล่าวครอบคลุม Windows version ดังต่อไปนี้

  • Windows Vista (Service Pack 2)
  • Windows Server 2008 (Service Pack 2) และ Windows Server 2008 R2 (Service Pack 1)
  • Windows 7 (Service Pack 1)
  • Windows 8.1 และ Windows RT 8.1
  • Windows Server 2012 และ Windows Server 2012 R2
  • Windows 10
  • Windows Server 2016

สำหรับใครที่ใช้ Windows Defender นั้น ทางไมโครซอฟท์อัพเดต Windows Defender ป้องกันภัย WannaCry แล้ว ซึ่งรวมไปถึงผู้ผลิตซอฟต์แวร์ความปลอดภัยแทบทุกรายก็อัพเดตซอฟต์แวร์ของตัวเองแล้วเช่นกัน

และหลังจากการแพร่กระจายของ WannaCry แพร่ออกไปเป็นวงกว้าง Microsoft ในวันที่ 13/5/2017 ได้ปล่อย patch หมายเลข KB4012598 เป็นกรณีพิเศษสำหรับ Windows version ที่หมดการสนับสนุนไปแล้ว ตามรายการด้านล่างนี้

  • Windows XP และ Windows XP Embedded
  • Windows Vista
  • Windows Server 2003 และ Windows Server 2003 Datacenter Edition
  • Windows Server 2008
  • Windows 8

เมื่อเรารู้ปัญหา การแพร่กระจาย และเครื่องมือในการแก้ไขปัญหา สุดท้ายก็มาสู่แนวทางในการแก้ไขปัญหา

การป้องกันหลัก ๆ ณ ตอนนี้ มี 2 ส่วนหลัก ๆ คือ

1. อัพเดท patch ล่าสุดผ่าน Windows update สำหรับ Windows ที่ยังได้รับการสนับสนุนจาก Microsoft อยู่ และหากเป็น Windows ที่ทาง Microsoft ออก patch เป็นกรณีพิเศษ ให้ติดตั้งแก้ไขลงไป ซึ่งเป็นการแก้ไขปัญหาช่องโหว่นี้ที่ง่าย และตรงจุดที่สุด

2. สำหรับองค์กรที่มีจำนวนเครื่องเยอะจนไม่สามารถอัพเดทได้ทันทีทุกเครื่อง ให้ปิดการเข้าถึง internet ของเครื่องคอมพิวเตอร์ที่ยังไม่ได้อัพเดท patch MS17-010 เพื่อป้องกันขั้นแรก แล้วปิดการใช้งาน SMBv1 และ-หรือตั้ง Rule Firewall ไม่รับการเชื่อมต่อ port 139 และ 445 จากอินเทอร์เน็ต แล้วทยอยติดตั้ง patch ตัวดังกล่าวต่อไป เพื่อแก้ไขปัญหาให้ตรงจุดต่อไป

ทั้งนี้ การแก้ไขปัญหาด้วยวิธีที่ 2 เป็นเพียงการประวิงเวลา และช่วยให้เราสามารถจัดการอะไรได้ง่ายขึ้น ซึ่งการปิด SMBv1 จะมีผลกระทบ อาจทำให้การทำงานต่างๆ หยุดชะงักได้ คือ

  1. SMBv1 ทำงานบน Windows XP หรือ Windows Server 2003 การปิดอาจทำให้มีปัญหาในการ shared file และ share printer
  2. ไม่สามารถใช้งานพวก Network Neighborhood สำหรับ Windows รุ่นเก่า ๆ ได้
  3. NAS, network multi-function printers และอุปกรณ์ที่ใช้การแชร์ไฟล์ บางรุ่นที่ใช้ SMBv1 หากปิดไปจะใช้อุปกรณ์พวกนี้ไม่ได้

ฉะนั้นหากอัพเดท patch เรียบร้อย ก็สามารถเปิด SMBv1 กลับมาใช้งานเพื่อทำงานต่อไปได้

แนวทางป้องกันสำหรับอนาคต

  1. ไม่ควรเปิด หรือใช้งานไฟล์ใด ๆ ที่ได้มาทางอีเมล จากบุคคลแปลกหน้า หรือคุ้นเคย โดยไม่มีการตรวจสอบอย่างแน่ชัดว่า ไฟล์ที่ส่งมานั้น เป็นการส่งมาโดยบุคลลนั้นจริง ๆ เพื่อปกป้องกันการแอบอ้าง และหลอกให้เราเปิดไฟล์นั้น ซึ่งนำมาสู่การถูกโจมตีด้วย malware ต่าง ๆ
  2. ใช้ Anti-malware หรือ Internet Security ในการป้องกันตัวเอง และทำการอัพเดทฐานข้อมูลป้องกัน malware อยู่เสมอ
  3. ควรอัพเดท operating system ต่างๆ ไม่ว่าจะ Windows, Linux หรือ Mac เป็นต้น โดยอัพเดทให้เป็นตัวล่าสุดอยู่ตลอดเสมอเท่าที่ทำได้ เพื่อป้องกันช่องโหว่ใหม่ ๆ ที่เราไม่รู้ว่าในอนาคตจะไปหวยออกที่ operating system ตัวไหน
  4. ทำการสำรองข้อมูลอย่างสม่ำเสมอ (backup data)

โดยคำแนะนำในการสำรองข้อมูลที่ช่วยลดความสูญเสียของข้อมูลเรา โดยใช้ HDD External 2 ชุด (ใช้คำว่าชุด เพราะอาจจะต่อ RAID หรือใช้แบบเดี่ยวๆ ก็ได้ แล้วแต่กำลังทรัพย์)

HDD External ชุดแรก เก็บแบบ Daily ผมเรียกชุดนี้ว่าแบบ online คือต่อไว้ตลอด โดยใช้โปรแกรม Auto Backup (ส่วนตัวใช้ Acronis True Image) ทำ Daily Backup ข้อมูลเอกสารสำคัญเก็บไว้ทั้งหมด รวมถึงพวกข้อมูลที่ sync บน Cloud อย่าง Dropbox ด้วย ต่อทิ้งไว้ตอนกลางคืนให้มันทำงานทุกวัน

HDD External ชุดสอง เก็บแบบ Weekly และ Monthly ผมเรียกชุดนี้ว่าแบบ offline คือต่อไว้เฉพาะตอนที่เราจะทำการ backup เท่านั้น โดยจะ copy ข้อมูลส่วนของ Daily มาใส่ไว้ที่นี่ ทุกๆ วันเสาร์หรืออาทิตย์เป็นเซ็ตๆ พอครบเดือน จะเก็บ full backup ล่าสุดของเดือนนั้นไว้ 1 เซ็ต สำหรับเดือนนั้นๆ ไว้ เก็บไว้สัก 3 เดือนก็ลบเดือนเก่าทิ้ง พอ backup เสร็จแล้ว ก็ถอดออกจากเครื่องแล้ววางไว้ในที่ปลอดภัย

HDD External จะทำ full encryption (เข้ารหัส) หรือไม่ก็แล้วแต่ถนัด เพราะเป็นการป้องกัน การถูกเอา HDD ไปเปิดเพื่อดูข้อมูลโดยผู้ไม่หวังดีอีกชั้น

ทำแบบนี้เป็นประจำก็แบ่งเบาความเสียหายจาก ransomware ได้เป็นส่วนใหญ่แล้ว

หากคิดว่าการสำรองข้อมูลด้วย HDD จำนวน 2 ชุดอาจจะไม่เพียงพอ สามารถใช้ Cloud Service ช่วยสำรองข้อมูลต่างๆ ได้ อย่างเช่น Dropbox, Onedrive หรือ Google Drive เป็นต้น ก็ช่วยลดความเสี่ยงของข้อมูลลงไปได้อีกมากเลยทีเดียว

โดยงบประมาณก็แล้วแต่ขนาดข้อมูล ซึ่งผมใช้ HDD External 2.5″ ชุดแรกขนาด 500GB ทำ Daily และชุดสองทำ Weekly และ Monthly ขนาด 1TB ก็เพียงพอสำหรับข้อมูลสำคัญ (ค่าใช้จ่ายโดยรวมไม่น่าถึง 5,000 บาท) หรือถ้าใช้ Cloud Service ก็บอกเพิ่มค่าเช่าต่อปีไปตามขนาดข้อมูลสำคัญไปตามแต่กำลังทรัพย์

สุดท้าย ransomware ส่วนใหญ่ หากถูกเรียกค่าไถ่ และต้องการเอาข้อมูลกลับมา มักจะไม่สามารถนำข้อมูลกลับมาได้ในเร็ววัน ซึ่งแน่นอนว่าต้องขอแสดงความเสียใจด้วย สำหรับ WannaCry ณ. วันที่ 17/5/2017 เพราะยังไม่มีตัวถอดรหัสนำข้อมูลกลับได้ ถ้าโดนเข้ากับตัว ก็คงต้องทำใจจ่ายเงินอย่างเดียว

แต่ข่าวร้าย ในขณะนี้ server ของผู้ปล่อย malware ดังกล่าว ก็ไม่สามารถรองรับการส่ง private key เพื่อถอดรหัสกลับมาให้เราได้อย่างมีเสถียรภาพ การจ่ายเงินไปอาจไม่รับประกันว่าจะได้ private key กลับมาเพื่อถอดรหัส

ข้อมูลทั้งหมดนี้รวบรวมมาตามแหล่งที่มีด้านล่างนี้ และหวังว่าจะช่วยให้คนทั่วไปที่อาจจะไม่มีความรู้ความเข้าใจ ได้มีแนวทางที่ช่วยให้รอดพ้นจาก ransomware ในอนาคต

ประวัติการแก้ไข

  • 13/5/2017 03:35 – อัพสถานะแรกบน facebook.com
  • 13/5/2017 12:40 – อัพเดทแนวทางป้องกันอื่นๆ เพิ่มเติม
  • 13/5/2017 15:00 – อัพเดทลำดับการเขียนใหม่เพื่อให้อ่านง่ายขึ้น
  • 13/5/2017 15:30 – อัพเดทเพิ่มเติมส่วน Windows XP, Windows Vista, Windows 8 และ Windows Server 2003
  • 13/5/2017 16:40 – อัพเดทเพิ่มเติมส่วน ไมโครซอฟท์อัพเดต Windows Defender ป้องกันภัย WannaCry
  • 18/5/2017 00:50 – อัพเดทขึ้น blog และรวบรวมข้อมูลอื่น ๆ ประกอบเข้ามาเพื่อความสมบูรณ์ของเนื้อหา

ระวัง !!! Godzilla บุก Windows แล้ว

Godzilla ตัวนี้มันมากับ USB Flash  Memory และ Floppy Disk โปรดระวังให้จงหนัก เนื่องจากมันมาแนวเดียวกับ Flashy คือเมื่อติดแล้วเครื่องจะเข้าไปทำการสร้างไฟล์ Autorun ใน USB Flash Memory และ Media ที่คล้าย ๆ กัน แต่มันจะไม่เอาไฟล์ Autorun ไปใส่ใน Partition ต่าง ๆ แต่คราวนี้เจ้า Gozilla มันซัดเอาทุกอย่างเลย ทั้ง Hard Drive และสื่ออื่น ๆ แถมด้วยมันเนียนกว่า Flashy เพราะ Flashy มันยังแก้ด้วยการปิด Autorun ของ Windows ทิ้งแล้วเปิด Hidden ไฟล์ของ Windows ทั้งสองระดับ คือระดับทั่วไป และระดับ System Protection File ด้วย แล้วคลิกขวาแล้วใช้เมนู Open แล้วเข้า Drive นั้นแล้วไปลบ ก็สามารถลบมันออกไปได้ แล้วก็ค่อยไล่ล่าฆ่ามันใน System ต่อก็จบแล้ว แต่นี่มันฉลาดกว่านั้นคือถ้าติดแล้วมันจะลบเมนู Open จากการคลิกขวาออกไปด้วยทำให้การเข้าแบบเดิม ๆ ไม่สามารถทำได้ ต้องอ้อม ๆ เข้าไปแทน แถมไอ้ Option Hidden เนี่ยมันก็จะถูกปิดภายในเวลาไม่นานนักหลังจากเราปลดมันออกทำให้ยากไปอีก แถมผมต้องใช้โปรแกรมดูภาพอ้อมเข้าไปแล้วให้มันเปิดผ่าน Windows Explorer อีกรอบ แล้วตามเข้าไปลบมันออกไป ซึ่งใช้ในกรณีที่เครื่องนั้นยังไม่ติดนะ (เครื่องผมมักเป็นเครื่องกำจัดไวรัสเสมอ) โอ้ยยยย ให้ตายเถอะ (การเข้าอ้้อม ๆ เพื่อลดความเสี่ยงในการที่เราเผลอไป Autorun Partition อื่น ๆ เข้าอีก ทำให้การแก้ไขต้องเริ่มต้นใหม่อีก)

โดยอาการที่โดนแน่ ๆ นั้นก็คือ

  1. เครื่องจะเปิดไดร์ฟต่าง ๆ แล้วมันจะขึ้นหน้าต่างใหม่ แถมเลือกเมนู Open หรือ Explore ผ่านการคลิกขวาที่ไดร์ฟต่าง ๆ ก็ไม่ได้
  2. ที่ Title Bar ของ IE จะมีข้อความเพิ่มคือ "Hacked By Godzilla"
  3. เข้าไปปลดให้ทำการ Show Hidden Files ทั้งสองระดับแล้ว มันก็ยังกลับมา Hidden เหมือนเดิม ภายในเวลาไม่นาน
  4. เครื่องเริ่มอืด ๆ

ถ้าพบทั้ง 4 ข้อก็แสดงความคุณโดนมันบุกเครื่องแล้ว แม้ว่าคุณจะ format Partition ที่บรรจุ System ไปแล้ว แต่ไฟล Autorun ต่าง ๆ ที่เป็นไฟล์ Gozilla สร้างขึ้น มันก็ยังคงอยู่ใน Partition อื่น ๆ ด้วย ซึ่งถ้าจะเอาง่ายที่สุดคือ format แต่ก่อน format ก็ใช้ command mode หรือ safe mode เข้าไปลบไฟล์ใน Partition ต่าง ๆ ก่อนแล้วค่อย format น่าจะ ok สุด ถ้าอยากสะอาดจริง ๆ (มั้งนะ)

แต่ถ้าการ format มันยากและการทำงานต้องการความต่อเนื่องก็มีวิธีที่แก้ไขได้ อาจจะเร็วกว่าด้านบน แต่ผมก็ไม่แน่ใจว่ามันจะหลงเหลือซากหรือเปล่านะ นั้นคือไปโหลดไฟล์ Kill-Gozilla ที่ ftp://ftp.pharmacy.psu.ac.th/antivirus/gozilla/kill-gozilla.rar แล้วทำการแตกไฟล์ ตามด้วยสั่งไฟล์ start.exe ให้ทำงาน และรอจน Finish แล้วทำการ Restart เครื่อง ทุกอย่างก็จะ OK (แต่วิธีนี้ผมไม่ได้ลองนะ เห็นว่าใช้งานได้จริงเลยเอามาเผยแพร่ครับ) ;)

ถ้าไม่หายอีกลองเข้าไปอ่านข้อมูลเพิ่มเติมได้ที่ http://medinfo.psu.ac.th/pr/WebBoard/readboard.php?id=9761 และ วิธีแก้ไวรัส Hacked by Godzilla ลองเข้าไปอ่านดู

หวังว่าคงปราบ Gozilla บุกคอมฯ คุณได้นะครับ เห็นว่าตอนนี้โดนกันทั่วหน้าเลย โดยเฉพาะตามมหาวิทยาลัยต่าง ๆ ม.ผมก็โดนกันหมด แถม Anti-Virus ต่าง ๆ ก็ยังดักจับไม่ได้ด้วย (ณ.วันที่ 26 พ.ย. 49) แม้แต่ NOD32 ที่ผมใช้อยู่ก็ตามที (ตอน Flashy จับได้นะ) ตอนนี้เลยต้องระวังเป็นพิเศษมาก  ๆ เลย ไปนอนดีกว่า …….. แว็บบบบบบบบบ