Tag Archives: WannaCrypt

แจ้งเตือนมัลแวร์ WannaCrypt ระบาดทั่วโลกเข้ารหัสข้อมูลเรียกค่าไถ่ ยังไม่มีตัวถอดรหัส เสี่ยงข้อมูลสูญหายถาวร

ขณะนี้มีมัลแวร์เรียกค่าไถ่ ชื่อ WannaCrypt (Wanna Decryptor 2.0) ระบาดไปยังคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Microsoft ทั่วโลก โดยผู้ใช้งานคอมพิวเตอร์อาจดาวน์โหลดมัลแวร์ โดยไม่รู้ตัวจากการเปิดไฟล์เอกสารที่แนบมากับ e-mail ซึ่งเมื่อมัลแวร์เรียกค่าไถ่ WannaCrypt เข้ามาอยู่ในระบบคอมพิวเตอร์แล้ว ก็จะเข้าไปล็อกไฟล์เอกสารต่างๆ ทำให้ไม่สามารถเปิดใช้งานได้ และขู่ให้ผู้ใช้งานจ่ายเงินค่าไถ่เพื่อปลดล็อกไฟล์เอกสาร

กลายเป็นจุดสนใจของสำนักข่าวทั่วโลกทันที หลังจากที่ WannaCrypt เริ่มแพร่ระบาดเมื่อวานนี้ ซึ่งผ่านไปยังไม่ถึง 24 ชั่วโมงก็มีผู้ตกเป็นเหยื่อแล้วกว่า 100,000 รายจาก 100 กว่าประเทศทั่วโลก ไม่ว่าจะเป็น Telefonica (ISP จากสเปน) กระทรวงมหาดไทยของรัสเซีย สถานีรถไฟในเยอรมนี รวมไปถึงมหาวิทยาหลายแห่งในประเทศจีน สำหรับประเทศไทยล่าสุด

เบื้องต้นนายกรัฐมนตรี ได้กำชับให้ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เร่งตรวจสอบสถานการณ์แพร่ระบาดของมัลแวร์เรียกค่าไถ่ในประเทศไทย พร้อมเผยแพร่คำแนะนำในการป้องกันและแก้ไขให้ประชาชนทราบโดยเร็ว พร้อมฝากเตือนประชาชนที่ใช้งานคอมพิวเตอร์ระบบ Microsoft หลีกเลี่ยงการเปิดเอกสารแนบ email โดยไม่จำเป็น ซึ่งหากเอกสารใดจำเป็นต้องเปิดควรตรวจสอบกับผู้ส่งก่อนทุกครั้งว่ามีการส่งเอกสารนั้นมาจริงหรือไม่ พร้อมทั้งปรับปรุงระบบปฏิบัติการให้เป็นปัจจุบัน

รายละเอียดทางเทคนิค

Wanna Decryptor 2.0 เป็น ransomware ที่ใช้โปรแกรม exploit ที่ชื่อว่า EthernalBlue ซึ่งเป็นส่วนหนึ่งของ NSA hacking tools ของ National Security Agency สหรัฐฯ ที่ใช้ hack เครื่องต่างๆ และมีข่าวหลุดเมื่อเดือน เม.ย. ที่ผ่านมาโดยกลุ่มแฮกเกอร์ชื่อ The Shadow Brokers โดย exploit ที่ชื่อ EthernalBlue ตัวนี้ อาศัยช่องโหว่ของโพรโตคอล SMBv1 ใน Windows ซึ่ง Microsoft ได้ออก patch update มาแล้วเมื่อ 14 มี.ค. 2560 ที่ผ่านมา เครื่องที่ยังไม่ได้ patch ที่ยังมีจำนวนมากในโลก จึงเสี่ยงต่อการถูกโจมตี

ความเสียหายที่สำคัญ

  • ข้อมูลสูญหาย
  • ระบบไอทีทำงานไม่ได้
  • การให้บริการหรือการทำงานของหน่วยงานมีปัญหาหรือหยุดชะงัก
  • ความเสียหายทางการเงินและชื่อเสียงของหน่วยงาน
  • หากเกิดขึ้นกับการบริการด้านสุขภาพหรือระบบ critical infrastructure อาจเกิดผลกระทบต่อชีวิตและการให้บริการสุขภาพได้
ด่วน
มีรายงานการถูกโจมตีในประเทศไทยแล้ว โดยผู้โพสต์ใน Facebook Group Thaiadmin จาก อ.กะทู้ จ.ภูเก็ต (ไม่ทราบหน่วยงาน) แจ้งว่า user ถูกโจมตี

https://www.facebook.com/groups/thaiadmin/permalink/1342338869136134/

คำแนะนำสำหรับผู้ใช้งาน

  1. Update patch ของ Microsoft Windows ของเครื่องต่างๆ โดยเร็วที่สุด พร้อม restart ให้การอัปเดตมีผลโดยสมบูรณ์
  2. “คิดก่อนคลิก”: หลีกเลี่ยงการเปิดไฟล์แนบในอีเมล (e-mail attachment) หรือ link บนเว็บไซต์ที่ไม่แน่ใจว่าปลอดภัยหรือไม่
  3. Backup ข้อมูลส่วนตัวไว้ในที่ปลอดภัยอยู่เสมอ และเก็บไว้ offline โดยไม่เชื่อมต่อกับเครื่องขณะใช้งาน
  4. คำนึงถึง security practices พื้นฐานในการใช้งานไอทีทั่วไป
  5. ในกรณีที่มีหน้าจอ ransomware หรือพบอาการผิดปกติ ให้รีบถอดสาย LAN ออก ถ่ายภาพ screenshot ไว้ แล้วรีบแจ้ง admin โดยเร็วที่สุด

คำแนะนำสำหรับผู้ใช้งานสำหรับเจ้าหน้าที่/บุคลากร โรงพยาบาลโพธิ์ไทร

  1. ทำการสำรองไฟล์/ข้อมูลที่จำเป็นสำหรับท่าน ลงสู่สื่อบันทึกข้อมูลอื่น อาทิ External Hard disk, Flash Drive, SD Card, Google Drive, Dropbox  หรือสื่อบันทึกข้อมูลอื่น ๆ
  2. สำหรับเครื่องส่วนตัว/Notebook สำนักงานที่ท่านใช้ประจำ ให้ทำการเปิด Windows Update เพื่ออัพเดตระบบ

ข่าวที่เกี่ยวข้อง