นักวิจัยด้านความปลอดภัยทางไซเบอร์สัญชาติอังกฤษนามแฝงว่า MalwareTech นั้นได้ค้นคว้าหาวิธีหยุดการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry ที่กำลังระบาดอย่างหนักบนคอมพิวเตอร์ทั่วโลกในขณะนี้ โดยโปรแกรมที่ว่านี้จะทำการเข้ารหัสและล็อกไฟล์บนเครื่องคอมพิวเตอร์ของเหยื่อ และบังคับให้เหยื่อจ่ายค่าไถ่เป็นเงิน 300 ดอลลาร์ในรูปแบบของบิทคอยน์เพื่อกู้ไฟล์คืน
WannaCry นั้นสามารถที่จะอาศัยช่องโหว่ทางด้านความปลอดภัยของ Windows เพื่อเข้ามาโจมตีได้เมื่อเดือนเมษายนที่ผ่านมา และใช้เครื่องมือในการแฮคที่เชื่อว่าถูกขโมยมาจาก NSA (National Security Agency)
โปรแกรมเรียกค่าไถ่ตัวนี้ระบาดอย่างหนักในเครื่องคอมพิวเตอร์ราวๆ 75,000 เครื่อง รวมทั้งโรงพยาบาล 48 แห่งในประเทศอังกฤษ
การแก้ไขแบบไม่ได้ตั้งใจ
MalwareTech ได้ค้นพบโดเมนเนมที่ยังไม่ได้ถูกซื้อในโปรแกรม WannaCry และทำการซื้อมันมาด้วยราคาเพียงแค่ 10.69 ดอลลาร์ หลังจากนั้นก็ทำการใส่โค้ดลงไป และชี้โดเมนไปยัง sinkhole (เซอเวอร์ที่คอยทำหน้าที่ค้นหาและวิเคราะห์เส้นทางการทำงานของ WannaCry) ซึ่งภายหลังโดเมนตัวนี้ได้กลายเป็นไม้ตายในการเข้าควบคุมเจ้าโปรแกรมเรียกค่าไถ่ตัวนี้โดยสมบูรณ์
ก่อนหน้านี้เจ้าโดเมนตัวนี้ถูกตั้งใจให้ไม่ถูกซื้อและจดทะเบียน เพื่อให้ WannaCry ทำงานได้ปกติ กล่าวโดย MalwareTech
โดเมนเปรียบเสมือนฟีเจอร์ sandbox ที่ระบบรักษาความปลอดภัยใช้ทดสอบโคดใน environment ที่ว่างเปล่า โดยโดเมนที่ทาง MalwareTech ได้ทำการลงทะเบียนไปนั้นถูก ping ไปหาเครื่องคอมที่ตกเป็นเหยื่อในตอนนี้
ดังนั้นโดเมนจึงเปรียบเสมือน anti-sandbox ที่ทางผู้ทำ WannaCry นั้นลืมคิดถึงข้อนี้ไป กล่าวโดย MalwareTech
นาย Cisco Talos รวมถึงบริษัทรักษาความปลอดภัยอื่นๆได้คอนเฟิร์มว่าการโจมตีของ WannaCry ได้สิ้นสุดลงแล้ว ต้องขอบคุณ MalwareTech อย่างไรก็ตามเครื่องคอมพิวเตอร์ที่กำลังตกเป็นเหยื่อของโปรแกรมตัวนี้อยู่ยังไม่สามารถหาวิธีไหนมาแก้ไขได้
Shadow Brokers อยู่เบื้องหลังการโจมตี?
นาย Cisco กล่าวว่าเจ้าโปรแกรมเรียกค่าไถ่ตัวนี้ถูกปลดปล่อยโดย Shadow Brokers หรือกลุ่มนักแฮคที่เชื่อว่าเพิ่งจะใช้เครื่องมือแฮคของ NSA มาไม่นานมานี้
นาย Cisco กล่าวว่าพวกเขาจะพยายามที่จะติดตั้ง WannaCry ลงในคอมพิวเตอร์ของเหยื่อในทุกๆรูปแบบ โดยเฉพาะทาง backdoor ผ่านเครื่องมือที่ชื่อว่า DoublePulsar ที่เพิ่งจะรั่วไหลออกมาจาก Shadow Brokers ไม่นานมานี้ ถ้าหาก backdoor ไม่ได้ถูกเชื่อมโยงกับเครื่องคอมพิวเตอร์เป้าหมายนั้น มันจะทำการหาช่องโหว่ใน Microsoft OS Server Message Block ที่เป็นระบบแชร์ไฟล์ผ่านเน็ตเวิร์ค
เหยื่อหลายๆคนถูกเตือนว่าอย่าจ่ายเงิน 300 ดอลลาร์เด็ดขาด
โดยตอนนี้ทาง Microsoft และบริษัทผู้พัฒนาซอฟต์แวร์ป้องกันไวรัสได้แนะนำวิธีป้องกัน WannaCry แล้ว
ทาง Microsoft ได้ทำการออกแพทช์สำหรับ Windows XP ที่ก่อนหน้านี้ทาง Microsoft หยุดให้การซัพพอร์ทไปแล้ว รวมไปถึงการแนะนำให้ปิดการใช้งาน SMBv1 โพรโตคอล
ส่วนเครื่องคอมพิวเตอร์ที่ติดตั้งวินโดวส์เวอชั่นล่าสุดนั้นถือว่าปลอดภัยจากการถูกโจมตี
Post A Comment: