หนึ่งในประเด็นน่ารู้ของมัลแวร์เรียกค่าไถ่ “WannaCry” หรือที่บางหน่วยงานเรียกว่า WannyCry คือผู้เชี่ยวชาญเชื่อว่าการยอมจ่ายเงินให้แฮกเกอร์ก็อาจไร้ประโยชน์ เพราะผู้สร้าง WannaCry เตรียมระบบชำระเงินที่มีคุณภาพต่ำ ทำให้เหยื่อที่ยอมชำระเงินอาจไม่ได้รับการตอบสนองใดๆ
- WannaCry ย่อมาจาก “Wana Decryptor”
นักรบ เนียมนามธรรม กรรมการผู้จัดการ บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด ให้ข้อมูลว่า ชื่อมัลแวร์เรียกค่าไถ่ที่แพร่กระจายไปทั่วโลกเหมือนไวรัสคอมพิวเตอร์ตั้งแต่ 12 พฤษภาคม WannaCry นั้นย่อมาจาก “Wana Decryptor,” “WannaCryptor” หรือ “WCRY” โดยคำว่า “Cryptor” หมายถึงการเข้ารหัส ทำให้มัลแวร์ตัวนี้ทำการเรียกค่าไถ่ด้วยการเข้ารหัสไฟล์ในเครื่องที่โดนเล่นงาน และเรียกค่าไถ่ไปยังเหยื่อให้จ่ายค่าไถ่เพื่อให้ปลดล็อกไฟล์นั้น
แรนซัมแวร์ที่ผ่านมาส่วนใหญ่จะมีเป้าหมายที่เครื่องใดเครื่องหนึ่งเฉพาะเจาะจง ทำการเรียกค่าไถ่ด้วยเงิน สำหรับ WannaCry ตัวนี้จะแพร่กระจายไปหลายเครื่องเพื่อทำการ โดยมีการเรียกค่าไถ่ 300 เหรียญสหรัฐ หรือประมาณ 10,000 ในวันที่ 12 ที่ผ่านมานั้น มัลแวร์ WannaCry กระจายรวดเร็วทั่วโลก โดยมี 45,000 เครื่องในกว่า 74 ประเทศ เช่น สหรัฐอเมริกา รัสเซีย เยอรมนี อิตาลี ตุรกี เวียดนาม ฟิลิปปินส์ ที่ติดมัลแวร์ตัวนี้
สำหรับในไทยตอนนี้ เริ่มมีหลายหน่วยงานทั้งภาครัฐ และเอกชนแจ้งตกเป็นเหยื่อของมัลแวร์นี้ และสถานการณ์ปัจจุบันทั่วโลกที่มัลแวร์ตัวนี้ยังแพร่กระจายอยู่ซึ่งทำให้เครื่องติดมัลแวร์นี้ไปแล้วกว่า 120,000 เครื่อง รวมถึงในประเทศไทยด้วย
WannaCry อาศัยช่องโหว่ของระบบปฏิบัติการ Microsoft ที่ชื่อว่า MS17-010 พุ่งเป้า รุ่น XP ไปจนถึง vista window2008 2008 R2 โดยอาศัยรอยรั่วในเซิร์ฟเวอร์ Microsoft Windows SMB ที่ไม่ได้อุดช่องโหว่ไว้ โดย SMB นี้เป็นโปรโตคอลที่ไว้สำหรับแชร์ไฟล์
ดังนั้น หากเครื่องใดเครื่องหนึ่งที่ติดมัลแวร์ตัวนี้เปิดแชร์ไฟล์ผ่านโปรโตคอลนี้ เจ้ามัลแวร์จะระบาดไปยังเครื่องอื่นได้อย่างรวดเร็ว โดยมัลแวร์นี้จะแฝงมากับไฟล์ที่แนบในอีเมลมาอย่าง Word หรือ PDF
เมื่อเหยื่อคลิกเปิดไฟล์ที่แฝงมัลแวร์นี้ มัลแวร์จะทำการค้นหาไฟล์ในเครื่องของผู้ใช้ และทำการเข้ารหัสเชิงลึกที่ถอดรหัสไม่ได้ เหยื่อจึงจำเป็นต้องจ่ายค่าไถ่เพื่อกู้ไฟล์กลับมา
สถิติล่าสุดบันทึกว่ามีการปล่อยมัลแวร์อีเมลนี้ถึง 5 ล้านเมลใน 1 ชั่วโมง จึงทำให้แพร่กระจายอย่างรวดเร็ว และเป็นวงกว้าง และเมื่อเครื่องใดก็ตามถูกมัลแวร์นี้เล่นงาน จะมีข้อความแสดงบนหน้าจอจากแฮกเกอร์ว่าคุณโดนแฮกแล้ว พร้อมจำนวนค่าไถ่ และวิธีการจ่ายเงิน โดยจ่ายด้วย Bitcoin ที่สำคัญ WannaCry มี variant ที่สามารถหลบหลีกระบบการตรวจสอบจาก Anti-virus ได้
อย่างไรก็ตาม ทาง Microsoft ได้ออกอัปเดต Patch เพื่ออุดช่องโหว่นี้ ครอบคลุมถึง window รุ่นเก่า อย่าง vista ที่ยกเลิกการขาย หรือพัฒนาไปแล้ว สำหรับระบบปฎิบัติการอื่นนอกจาก Microsoft ยังไม่มีข้อมูลแน่ชัดว่าจะถูกโจมตีด้วยหรือไม่ ตอนนี้ยังคงแพร่ระบาดเฉพาะระบบปฏิบัติการวินโดว์เท่านั้น
การป้องกันที่สำคัญสำหรับองค์กร และบุคคลทั่วไป คือ การอัปเดต Patch เพื่ออุดช่องโหว่ สำหรับองค์กรใหญ่ที่มี Vulnerability Management ให้สแกนหาช่องโหว่ที่ชื่อว่า MS17-010 และหากเจอช่องโหว่นี้ให้ทำการ Isolate หรือแยกออกจากระบบเครือข่ายอื่นขององค์กร
ในส่วนขององค์กรทั่วไปใช้ Firewall ปิดพอร์ตที่เกี่ยวข้องต่อโปรโตคอล SMB ได้แก่ 445/138/139 ชั่วคราว จนกว่าสถานการณ์จะคลี่คลาย อีกวิธีป้องกันที่สำคัญสำหรับทุกภาคส่วน คือ การสำรองข้อมูล โดยควรมีการสำรองข้อมูลไว้อย่างน้อยสัปดาห์ละ 1 ครั้ง เพื่อที่หากเกิดเหตุการณ์ดังกล่าวสามารถเรียกใช้ข้อมูลที่มีการสำรองไว้ได้ หรือสูญเสียข้อมูลให้เหล่าแฮกเกอร์น้อยที่สุด
- WannaCry เชื่อมโยงกลุ่ม Lazarus
แคสเปอร์สกี้ แลป ให้ข้อมูลว่า เมื่อวันที่ 15 พฤษภาคมที่ผ่านมา นักวิจัยของกูเกิลได้โพสต์ข้อความลงทวิตเตอร์ เป็นชิ้นส่วนโค้ดที่ชี้ให้เห็นความน่าจะเชื่อมโยงกันของแรนซัมแวร์ WannaCry ที่กำลังโจมตีองค์กรนับพัน และยูสเซอร์ทั่วโลก กับมัลแวร์ที่เป็นของกลุ่ม Lazarus แฮกเกอร์ชื่อก้องที่โจมตีองค์กรรัฐบาล สื่อ และสถาบันการเงินทั่วโลก รวมถึงเหตุการณ์โจมตีบริษัท Sony Pictures ในปี 2014 การโจรกรรมไซเบอร์ที่ธนาคารกลางของบังกลาเทศ ในปี 2016 และการโจมตีลักษณะคล้ายคลึงกันต่อเนื่องมาจนถึงปี 2017 นี้
นักวิจัยของกูเกิลได้ระบุว่า โค้ดนั้นเป็นตัวอย่างมัลแวร์ WannaCry ที่ปรากฏในเดือนกุมภาพันธ์ 2017 (2 เดือนก่อนเหตุการณ์โจมตีครั้งใหญ่) ทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป (ทีม GReAT) ได้วิเคราะห์ และตรวจสอบข้อมูลนี้ และยืนยันชัดเจนว่า โค้ดนี้มีความคล้ายคลึงกันกับตัวอย่างมัลแวร์ที่กลุ่ม Lazarus ใช้ในการโจมตีในปี 2015
จากข้อมูลของนักวิจัยของแคสเปอร์สกี้ แลป ความคล้ายคลึงนี้อาจเป็นการจัดฉาก อย่างไรก็ดี การวิเคราะห์ตัวอย่างจากเดือนกุมภาพันธ์ และการเปรียบเทียบกับตัวอย่างที่ WannaCry ใช้โจมตีในปัจจุบัน แสดงให้เห็นว่า โค้ดที่ชี้เป้าไปยังกลุ่ม Lazarus นั้นถูกดึงออกจากมัลแวร์ WannaCry ที่ใช้งานโจมตีล่าสุดเริ่มเมื่อวันที่ 12 พฤษภาคมที่ผ่านมานี่เอง จึงอาจเป็นความพยายามปกปิดร่องรอยของกลุ่ม WannaCry เองก็เป็นได้
แม้ว่าความคล้ายคลึงกันเพียงอย่างเดียวนี้จะไม่ใช่ข้อพิสูจน์ที่หนักแน่นเรื่องความเชื่อมโยงกัน แต่ก็อาจนำไปสู่ข้อพิสูจน์ใหม่ๆ ที่สาวไปถึงต้นตอของ WannaCry ที่ยังเป็นปริศนาได้
- จ่ายเงินก็ไม่มีประโยชน์
แม้ มิกโกะ ฮิปโปเนน (Mikko Hypponen) ประธานฝ่ายวิจัยของเอฟซีเคียว (F-Secure) จะเปิดเผยว่า เหยื่อบางรายสามารถเข้าถึงไฟล์ได้ตามปกติจริงหลังจากจ่ายเงิน แต่ก็ไม่มีการยืนยันอย่างเป็นทางการ โดยเบื้องต้น ผู้เชี่ยวชาญจากบริษัทซิเคียวริตีต่างระบุว่า ยังไม่เคยได้ยินว่าการจ่ายเงินค่าไถ่จะช่วยแก้ปัญหาได้ ซึ่งกรณีของ WannaCry คาดว่าจะเป็นอย่างหลังเพราะพบการเข้ารหัสแน่นหนาจนไม่มีช่องโหว่ให้แก้รหัส
ขณะนี้ WannaCry ถูกประเมินว่าสามารถทำเงินได้มากกว่า 56,000 เหรียญสหรัฐแล้ว ตามตัวเลขที่ถูกบันทึกในบัญชี bitcoin จำนวน 3 บัญชี อย่างไรก็ตาม ยังไม่ปรากฏข้อมูลรูปแบบการถอนเงิน หรือการโอนเงินใดๆ
