กลายเป็นจุดสนใจของสำนักข่าวทั่วโลกทันที หลังจากที่ Wana Decrypt0r 2.0 เริ่มแพร่ระบาดเมื่อวานนี้ ซึ่งผ่านไปยังไม่ถึง 24 ชั่วโมงก็มีผู้ตกเป็นเหยื่อแล้วกว่า 100,000 รายจาก 100 กว่าประเทศทั่วโลก ไม่ว่าจะเป็น Telefonica (ISP จากสเปน) กระทรวงมหาดไทยของรัสเซีย สถานีรถไฟในเยอรมนี รวมไปถึงมหาวิทยาหลายแห่งในประเทศจีน ทางเว็บไซต์ Bleeping Computer จึงได้รวบรวมข้อมูลเชิงเทคนิคของ Ransomware ดังกล่าวมาเผยแพร่ เพื่อให้ฝ่าย IT ที่เกี่ยวข้องทราบถึงการทำงานเบื้องต้น และเตรียมรับมือได้อย่างถูกต้อง
Ransomware มีชื่อเรียกว่าอะไรกันแน่
ตอนนี้หลายคนคงเห็นว่าหลายเว็บไซต์ หลายสำนักข่าวเรียกชื่อ Ransomware แตกต่างกันไป ไม่ว่าจะเป็น WCry, WannaCry, WannaCrypt และอื่นๆ ซึ่งทาง TechTalkThai เองก็ใช้คำว่า Wana Decrypt0r เนื่องจาก Ransomware แสดงหน้าล็อกสกรีนด้วยชื่อดังกล่าว อย่างไรก็ตาม ชื่ออย่างเป็นทางการของ Ransomware นี้คือ WanaCrypt0r ดังนั้น เพื่อผลประโยชน์ในการค้นหาข้อมูล บทความนี้จะใช้ชื่อ WanaCrypt0r และ Wana Decrypt0r ทั้งหมด
WanaCrypt0r แพร่กระจายตัวอย่างไร
MalwareHunterTeam ค้นพบ WanaCrypt0r ครั้งแรกเมื่อหลายสัปดาห์ก่อน แต่ยังไม่มีการเคลื่อนไหวแต่อย่างใด จนถึงเมื่อวานนี้ WanaCrypt0r ได้เริ่มแพร่ระบาดไปทั่วโลกผ่านทาง Exploit ที่ชื่อว่า “EternalBlue” ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่กลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers เอามาเผยแพร่ออนไลน์เมื่อกลางเดือนเมษายนที่ผ่านมา Exploit นี้จะเจาะเข้าระบบคอมพิวเตอร์จากระยะไกลผ่านทางโปรโตคอล SMBv1 ถึงแม้ว่า Microsoft จะออกแพทช์ MS17-010 เพื่ออุดช่องโหว่นี้ไปแล้ว แต่หลายคนทั่วโลกยังคงไม่ได้อัปเดตแพทช์
ถ้าใครยังไม่ได้ลงแพทช์ MS17-010 จงหยุดงานทุกอย่างแล้วอัปเดตแพทช์บัดเดี๋ยวนี้ !!
เนื่องจาก WanaCrypt0r กำลังแพร่ระบาดอย่างบ้าคลั่ง และยังไม่มีเครื่องมือ Decryptor สำหรับปลดล็อกแต่อย่างใด ดังนั้นวิธีการที่ดีที่สุดคือการอุดช่องโหว่เพื่อลดความเสี่ยงไม่ให้ WanaCrypt0r เจาะเข้าระบบคอมพิวเตอร์ได้ ยิ่งถ้าพร้อมสำรองข้อมูลด้วยก็จะเป็นอะไรที่ช่วยให้อุ่นใจได้มาก
WanaCrypt0r เข้ารหัสไฟล์ข้อมูลอย่างไร
หลังจากที่ WanaCrypt0r เจาะเข้าระบบคอมพิวเตอร์ได้แล้ว ตัว Installer จะทำการแตกไฟล์ตัวเองไว้ที่เดียวกับที่มันหลุดเข้ามา ไฟล์ที่แตกมานี้จะอยู่ในรูปของโฟลเดอร์ ZIP ที่ถูกล็อกด้วยรหัสผ่าน ซึ่งประกอบด้วยไฟล์หลายรายการที่จะถูกใช้และรันโดย WanaCrypt0r ดังแสดงในรูปด้านล่าง
ไฟล์ที่แตกมานี้ ในโฟลเดอร์ msg จะประกอบด้วยข้อความเรียกค่าไถ่ซึ่งรองรับหลากหลายภาษา ได้แก่ Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish และ Vietnamese (ยังไม่มีภาษาไทย)
จากนั้น WanaCrypt0r จะทำการดาวน์โหลด TOR Client จาก https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip มาแตกไฟล์และเก็บไว้ที่โฟลเดอร์ TaskData ซึ่งโปรแกรม TOR Client นี้จะถูกใช้เพื่อติดต่อสื่อสารกับ C&C Server ของแฮ็คเกอร์ที่ gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion และ cwwnhwhlz52maqm7.onion
เพื่อที่จะเตรียมคอมพิวเตอร์ให้ Ransomware สามารถเข้ารหัสไฟล์ข้อมูลให้ได้มากที่สุด WanaCrypt0r จะรันคำสั่ง icacls . /grant Everyone:F /T /C /Q เพื่อเปลี่ยนให้ทุกคนมีสิทธิ์เต็มที่ (Full Permissions) ในทุกๆ ไฟล์ที่อยู่ภายใต้โฟลเดอร์และโฟลเดอร์ย่อยที่ Ransomware เข้าถึง นอกจากนี้ WanaCrypt0r ยังจัดการฆ่าโปรเซสที่เกี่ยวข้องกับ Database Server และ Mail Server เพื่อที่จะได้เข้ารหัสข้อมูลที่เก็บอยู่ใน Database และ Mail ด้วยเช่นกัน
คำสั่งที่ใช้รันเพื่อฆ่าโปรเซสของ Database และ Mail ได้แก่
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange*
taskkill.exe /f /im Microsoft.Exchange.*
จนถึงตอนนี้ Wana Crypt0r ก็พร้อมที่จะเข้ารหัสไฟล์ข้อมูลบนคอมพิวเตอร์แล้ว ซึ่งไฟล์ที่จะถูกเข้ารหัสประกอบด้วย
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp,
.sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb,
.frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php,
.asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu,
.svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak,
.tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf,
.csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt,
.xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx และ .doc
เมื่อไฟล์ข้อมูลถูกเข้ารหัสเป็นที่เรียบร้อย WanaCrypt0r จะต่อท้ายไฟล์ด้วยนามสกุล .WNCRY เช่น test.jpg จะกลายเป็น test.jpg.WNCRY
ขณะที่เข้ารหัสไฟล์ WanaCrypt0r จะสร้างข้อความเรียกค่าไถ่ชื่อว่า @Please_Read_Me@.txt และคัดลอกตัวปลดรหัส @WanaDecryptor@.exe เก็บไว้ในทุกๆ โฟลเดอร์ที่มีไฟล์ถูกเข้ารหัสไปพร้อมๆ กัน
ถัดมา WanaCrypt0r จะทำการเคลียร์ Shadow Volume Copies หยุดการทำงานของ Windows Startup Recovery และเคลียร์ Windows Server Backup History โดยรันคำสั่ง C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
เนื่องจากคำสั่งนี้จำเป็นต้องรันโดยใช้สิทธิ์ของผู้ดูแลระบบ ดังนั้นเหยื่อจะเห็นหน้าต่างแจ้งเตือนของ UAC คล้ายกับที่แสดงด้านล่าง
สุดท้าย WanaCrypt0r จะแสดงหน้าล็อกสกรีนซึ่งระบุข้อความเรียกค่าไถ่พร้อมข้อมูลวิธีการชำระเงิน โดยเรียกค่าไถ่เป็นจำนวนเงินสูงถึง $300 (ประมาณ 10,500 บาท) เหยื่อสามารถเลือกเปลี่ยนภาษาได้ตามความต้องการ
เมื่อเหยื่อคลิกที่ปุ่ม Check Payment ตัว Ransomware จะเชื่อมต่อกลับไปยัง TOR C&C Server เพื่อตรวจสอบว่ามีการจ่ายค่าไถ่แล้วหรือยัง ถ้ามีการชำระค่าไถ่แล้ว Ransomware จะปลดล็อกไฟล์ข้อมูลให้โดยอัตโนมัติ แต่ถ้ายัง WanaCrypt0r จะแสดงหน้าต่างดังที่เห็นด้านล่าง
จากการตรวจสอบ พบว่าแฮ็คเกอร์ใช้ Bitcoin Address 3 รายการเป็นช่องทางในการเก็บค่าไถ่ ได้แก่ 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw และ 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn จนถึงตอนนี้ ทาง Bleeping Computer ก็ตั้งประเด็นสงสัยว่า ถ้าเหยื่อจ่ายค่าไถ่ผ่านทาง Bitcoin Address เดียวกันเป็นจำนวนมาก แฮ็คเกอร์จะทราบได้อย่างไรว่าเหยื่อคนไหนจ่ายค่าไถ่ไปแล้ว คนไหนยังไม่ได้จ่ายค่าไถ่
หน้าล็อกสกรีนของ WanaCrypt0r ยังมีลิงค์ Contact Us สำหรับเปิดกล่องข้อความให้เหยื่อติดต่อกับแฮ็คเกอร์ที่พัฒนา WanaCrypt0r อีกด้วย
นอกจากนี้ Ransomware ยังเปลี่ยนหน้า Wallpaper ของคอมพิวเตอร์ให้แสดงข้อความเรียกค่าไถ่ ดังแสดงในรูปด้านล่าง
สำหรับไฟล์ @Please_Read_Me@.txt ที่ถูกสร้างขึ้นไว้ในทุกๆ โฟลเดอร์ที่ไฟล์ถูกเข้ารหัส ก็จะถูกสร้างขึ้นบนหน้า Desktop ด้วยเช่นกัน ซึ่งไฟล์ดังกล่าวจะให้ข้อมูลเชิงถามตอบ (FAQ) เกี่ยวกับสถานการณ์ที่เกิดขึ้น
อย่างที่บอกไปตั้งแต่แรก จนถึงตอนนี้ยังไม่มี Decryptor สำหรับปลดล็อกไฟล์ที่ถูก Wana Decrypt0r 2.0 โจมตี เหยื่อจำเป็นต้องกู้ข้อมูลกลับคืนมาจากไฟล์ Backup หรือทดลองใช้โปรแกรมอย่าง Shadow Explorer โดยหวังว่า Ransomware จะไม่ได้ลบ Shadow Volume Copies ทิ้งไป ซึ่งถ้าเหยื่อไม่ได้กด Yes ตรงหน้าแจ้งเตือน UAC ก็มีโอกาสสูงที่จะกู้ข้อมูลกลับคืนมาได้
ดูวิธีกู้ข้อมูลจาก Shadow Volume Copies ได้ที่ https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volume-copies/
ป้องกันคอมพิวเตอร์ไม่ไห้ติด WanaCrypt0r Ransomware ได้อย่างไร
สิ่งสำคัญที่สุดไม่ใช่การมีระบบตรวจจับพฤติกรรมหรือโซลูชันสำหรับค้นหาภัยคุกคามใหม่ๆ แต่เป็นการอัปเดตแพทช์ด้านความมั่นคงปลอดภัยล่าสุดบนคอมพิวเตอร์ ถึงแม้ว่าจะในบางธุรกิจการติดตั้งแพทช์ใหม่ล่าสุดจะไม่อยู่ใน “Patch Management Policies” แต่การอัปเดตแพทช์ MS17-010 นี้จะช่วยอุดช่องโหว่ของ Exploit จาก NSA ที่ใช้แพร่กระจาย Ransomware เข้ามาได้ จึงเป็นสิ่งที่ควรกระทำอย่างยิ่ง
สำหรับผู้ที่ยังไม่สามารถอัปเดตแพทช์ได้ หรือต้องรอเข้ากระบวนการ Change Management แนะนำให้ยกเลิกการใช้โปรโตคอล SMBv1 หรือปิดพอร์ต 445 แทน
Indicator of Compromises
Hashes:
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
ไฟล์ที่เกี่ยวข้องกับ WanaCrypt0r / Wana Decrypt0r
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@WanaDecryptor@.exe
[Installed_Folder]\@WanaDecryptor@.exe.lnk
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe
Registry ที่เกี่ยวข้องกับ WanaCrypt0r / Wana Decrypt0r
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"
การเชื่อมต่อผ่านเครือข่ายจาก WanaCrypt0r / Wana Decrypt0r
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
ข้อความล็อกสกรีนของ WanaCrypt0r / Wana Decrypt0r
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking .
But if you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don't pay in 7 days, you won't be able to recover your files forever.
We will have free events for users who are so poor that they couldn't pay in 6 months.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click .
Please check the current price of Bitcoin and buy some bitcoins. For more information, click .
And send the correct amount to the address specified in this window.
After your payment, click . Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking .
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed.
If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!
ข้อความเรียกค่าไถ่ของ WanaCrypt0r / Wana Decrypt0r
Q: What's wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.
* If you need our assistance, send a message by clicking on the decryptor window.
นามสกุลไฟล์ที่ถูกเข้ารหัส
.WCRY
.WNCRY
ที่มาและภาพประกอบ: https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/
|