หน้าแรก
องค์ความรู้ 
องค์ความรู้ตามหมวด
ความรู้เกิดใหม่
แสดงความขอบคุณล่าสุด1
ห้องสมุดกลาง / Re: สำนักหอสมุด มหาวิทยาลัยรังสิต
« กระทู้ล่าสุด โดย Jirayustes เมื่อ 22-10-18 15:28:46 »ผมเองก็กำลังติดตามเรื่องนี้อยอู่เหมือนกัคนครับ
กระทู้เมื่อเร็วๆ นี้
2
แหล่งเรียนรู้ / Re: บทเรียนของชีวิต ทฤษฎีกระปุกทราย
« กระทู้ล่าสุด โดย Jirayustes เมื่อ 22-10-18 15:28:15 »ผมชอบดุเรื่องราวเหล่านี้มากเลยครับ
3
เกษตรพอเพียง / Re: หลักปรัชญาเศรษฐกิจพอเพียง กับ ดร.วิวัฒน์ ศัลยกำธร /อาจารย์ยักษ์
« กระทู้ล่าสุด โดย Apisit เมื่อ 19-10-18 10:51:21 »ชอบปรัชญาของอาจารย์มากเลยครับ ดำเนินตามเศรษฐกิจพอเพียงได้ดีมากเลยครับ
4
พระพุทธศาสนา / Re: พุทธทาสศึกษา
« กระทู้ล่าสุด โดย Apisit เมื่อ 19-10-18 10:49:06 »ได้ศึกษาเพิ่มเติม ทำให้ได้เรียนรู้พุทธศาสนาเยอะขึ้นเลยครับ
5
ห้องสมุดกลาง / Re: สืบค้นฐานข้อมูลเอกสารด้วย Google Search Engine
« กระทู้ล่าสุด โดย Amporn เมื่อ 08-10-18 14:10:00 »น่าสนใจเรื่อง Google Search Engine จริงๆ
6
เทคโนโลยีสารสนเทศ / สรุป มัลแวร์เรียกค่าไถ่ WannaCry คืออะไร ทำไมแพร่เร็วเป็นไฟลามทุ่ง และจะป้องกัน
« กระทู้ล่าสุด โดย admin เมื่อ 08-10-18 08:38:22 »ในช่วง 2-3 วันที่ผ่านมีข่าวใหญ่ในโลกไอทีที่เชื่อว่าทุกคนน่าจะต้องผ่านตากันบ้างแล้ว นั่นก็คือการถูกมัลแวร์เรียกค่าไถ่ (ransomware) ที่ชื่อว่า WannaCry เข้ารหัสข้อมูลคอมพิวเตอร์ ทำให้ไม่สามารถใช้งานข้อมูลหรือโปรแกรมบนเครื่องได้เลย โดยสาเหตุที่เป็นข่าวใหญ่ขึ้นมาก็เพราะว่าเจ้า WannaCry ตัวนี้สามารถกระจายตัวไปได้รวดเร็วจนน่ากลัว แต่ส่งผลกระทบต่อคอมพิวเตอร์ระบบ Windows ทั่วโลก จนถึงขั้นที่บางหน่วยงานถึงกับทำงานกันไม่ได้เลยครับ
RANSOMWARE คืออะไร?
Ransomware หรือชื่อไทยคือมัลแวร์เรียกค่าไถ่ จัดเป็นมัลแวร์ประเภทหนึ่ง แต่พฤติกรรมของมันจะไม่ได้เน้นการทำลายระบบเครื่องเป้าหมาย แต่เป็นการเข้ารหัสข้อมูลในเครื่อง ทำให้ไม่สามารถเข้าถึงข้อมูลหรือซอฟท์แวร์ภายในเครื่องได้ และตั้งเงื่อนไขกับเหยื่อว่าให้โอนเงินไปให้คนร้าย เพื่อแลกกับโปรแกรมสำหรับถอดรหัสข้อมูล โดยเหยื่อมักจะโดนจากการเปิดไฟล์จากอีเมลแปลกๆ หรืออีเมลที่สวมรอยเป็นเว็บไซต์ดังแล้วส่งเอกสาร .pdf ปลอมหรือไฟล์ .exe มาให้ แต่ไส้ในกลับเป็น Ransomware
พักหลัง Ransomware เติบโตมา เนื่องด้วยเหตุผลที่เป็นการโจมตีที่เห็นผลชัดเจนและคนร้ายมีโอกาสได้เงินค่าไถ่สูง และตามจับไม่ได้ เพราะช่องทางการโอนเงินมักจะใช้หน่วยเงินดิจิทัล เช่น Bitcoin ไม่ใช่ค่าเงินของแต่ละประเทศที่จะตรวจสอบกับธนาคารได้ และไม่ใช่แค่ระบบปฏิบัติการ Windows เท่านั้น ระบบอื่นๆ ก็มีโอกาสโดนได้เช่นกัน เพียงแต่เป้าหมายของคนร้ายมักจะเจาะกลุ่มระบบปฏิบัติการที่มีผู้ใช้เยอะ แน่นอนว่าบน Android เองก็เคยมีข่าวครับ
WANNACRY คืออะไร เป็นมายังไง เครื่องที่ใช้อยู่จะโดนด้วยมั้ย?
Wcry, WannaCry, WannaCrypt, WannaCryptor ชื่อทั้งหมดที่กล่าวมาล้วนเป็นตัวเดียวกันทั้งหมดทั้งหมดครับ แต่มักจะถูกเรียกในข่าวกันว่า WannaCry หรือ WannaCrypt ซะมาก ผมขอเรียกเป็น WannaCry ละกันครับ เจ้า WannaCry มันก็คือ ransomware อีกตัวหนึ่งนี่แหละครับ เพียงแต่มันอาศัยช่องโหว่ของฟีเจอร์หนึ่งบน Windows ที่มีชื่อว่า Server Message Block version 1 (SMBv1) ที่ออกแบบมาสำหรับการเชื่อมต่อส่งข้อมูลระหว่างเครื่องภายในเน็ตเวิร์กเดียวกัน ซึ่งทางไมโครซอฟท์ได้อัพเดตแพทช์อุดช่องโหว่นี้ไปแล้วเมื่อเดือนมีนาคม 2017 ที่ผ่านมา ใครอัพเดตไปแล้วก็โล่งอกได้ รุ่นได้อัพเดตก็มี
Windows 10
Windows 8.1
Windows 7 (Service Pack 1)
Windows Vista (Service Pack 2)
และอีกบางรุ่น สามารถดูรายชื่อได้ที่ประกาศอัพเดตบนเว็บไซต์ไมโครซอฟท์
ส่วนเวอร์ชันอื่นอย่าง Windows XP, Windows 8 และ Windows Server 2003 นั้นจะไม่ได้อัพเดตเนื่องจากหมดอายุการซัพพอร์ทแล้ว สำหรับคนที่ใช้ Windows เวอร์ชันเหล่านี้แนะนำให้อ่านเพิ่มเติมที่หัวข้อการป้องกันด้านล่างครับสำคัญมาก
การทำงานของ WannyCry คือจะไปเข้ารหัสข้อมูลในเครื่อง ไล่ทุก Drive เท่าที่มันจะหาเจอ เมื่อเข้ารหัสแล้วสภาพของไฟล์จะเหมือนเวลาเราทำ Disk Encryption แบบนั้นเลยครับ เพียงแต่ว่าเราไม่มีคีย์สำหรับแกะมัน มีเพียงแฮกเกอร์เจ้าของ WannaCry เท่านั้นที่มี และนั่นก็ทำให้แฮกเกอร์ยื่นขอเสนอว่าให้จ่ายเงินมูลค่า $300 (ประมาณ 1 หมื่นบาท) ในสกุล Bitcoin ไปยังเลขที่บัญชีของ Bitcoin ที่ระบุไว้ แล้วถึงจะส่งโปรแกรมสำหรับถอดรหัสกลับมาใหม่
ทำไมถึงแพร่กระจายได้อย่างรวดเร็ว
ยาวไปไม่อ่าน: WannaCry ใช้ช่องโหว่ร้ายแรงที่ NSA ค้นพบ เจาะเข้าเครื่องเป้าหมายและควบคุมได้ แม้เจ้าของเครื่องจะไม่ได้รันโปรแกรมอะไรแปลกๆ ก็ตาม และตัวมันเองแพร่กระจายต่อในเน็ตเวิร์กได้ทั้งวง LAN และส่งออกตัวเองเข้า Internet ไปยังเครื่องอื่นๆ ได้
ยาวได้ จัดไป:
ย่อหน้าที่ผ่านมาผมพูดไปหน่อยแล้วว่า WannaCry ใช้ช่องโหว่ของ SMBv1 แต่ช่องโหว่ร้ายแรงบนระบบปฏิบัติการนี่ไม่ใช่ของที่จะหาเจอกันง่ายๆ ครับ สาเหตุที่ผู้พัฒนา WannaCry รู้ข้อมูลช่องโหว่นี้ก็คาดว่ามาจากชุดข้อมูลและเครื่องมือของหน่วยงาน NSA ของอเมริกา ที่ก่อนหน้านี้มีข่าวว่ากลุ่มแฮกเกอร์ Shadow Broker สามารถขุดคุ้ยข้อมูลจากกลุ่มแฮกเกอร์ที่มีส่วนร่วมกับ NSA ในการหาช่องโหว่ แล้วได้ชุดเครื่องมือของ NSA มา (แฮกเกอร์-ไปแฮก-แฮกเกอร์) พร้อมขอเงิน 1 ล้านดอลลาร์แลกกับการเปิดเผยข้อมูล แต่หลังจากไม่มีใครสนใจที่จะซื้อข้อมูลนี้ Shadow Broker เลยปล่อยข้อมูลและชุดเครื่องมือออกมาบนอินเทอร์เน็ตแบบฟรีๆ จนแฮกเกอร์รายอื่นนำไปใช้กันอย่างแพร่หลาย
สำหรับตัว WannaCry นั้นใช้เครื่องมือชื่อว่า EternalBlue เป็นฐานในการพัฒนาเพื่อโจมตีผ่านช่องโหว่ของ SMBv1 เพื่อเข้าถึงเครื่องของเป้าหมาย แล้วใช้ฝังซอฟท์แวร์ backdoor ที่ชื่อว่า DoublePulsar จากผู้พัฒนาเดียวกัน NSA นั่นเอง เพื่อเปิดช่องให้คนร้ายสามารถควบคุมเครื่องเหยื่อได้จากระยะไกล และสามารถรันคำสั่งเพื่อติดตั้งตัว WannaCry ลงเครื่อง
นอกจากการเข้ารหัส Drive ที่ตัว WannayCry จะไล่ตามเก็บทุกๆ Drive เท่าที่มันหาเจอแล้ว มันยังมี process ย่อยที่พยายามเจาะต่อไปยังเครื่องคอมพิวเตอร์อื่นในเครือข่าย LAN เพื่อฝังตัวเพิ่มด้วย รวมถึงยังมีการสุ่มเลข IP Address สำหรับยิงออกสู่อินเทอร์เน็ต เพื่อสุ่มหาเป้าหมายใหม่อยู่ตลอดเวลา ถ้าบิงโก เจอคอมพิวเตอร์ที่รัน Windows และยังไม่ได้แพทช์ปิดช่องโหว่ ก็จะกลายเป็นเครื่องที่โดนเข้ารหัสรายต่อไป และก็จะเป็นฐานในการกระจายต่อไปยังเครื่องอื่นอีกเรื่อยๆ
อย่างไรก็ตาม ด้วยการทำงานของ WannaCry เองจะมีการตรวจสอบเชื่อมต่อไปยังเว็บไซต์หนึ่งอยู่ ที่คาดว่าออกแบบมาเป็น Kill Switch เพราะหากตรวจเจอ จะสั่งหยุดการแพร่กระจายต่อ ซึ่งตอนนี้ก็มีคนจาก MalwareTechBlog ได้จดโดเมนเพื่อดักไว้แล้ว ทำให้ WannaCry หยุดการแพร่กระจาย … แต่มันไม่จบครับ เพราะว่าในเวลานี้มันมี WannaCry เวอร์ชันใหม่ที่ไม่มีการตรวจสอบ Kill Switch ออกมาแพร่ต่อแล้ว
ส่งผลกระทบอย่างไรบ้าง รุนแรงแค่ไหน
WannaCry กระทบกว่า 70 ประเทศ, ไมโครซอฟท์ต้องออกแพทช์พิเศษให้ Windows รุ่นเก่า (13 พ.ค.)
การรถไฟเยอรมันโดน WannaCry
ระบบสาธารณสุขของอังกฤษโดน WannCry โจมตี 16 หน่วยงานย่อย ทำให้ต้องยกเลิกการผ่าตัดคนไข้
เซิฟเวอร์เกม Blade & Soul ประเทศไทยของ Garena ถูก WannaCrypt โจมตี
สถานีโทรทัศน์ฟ้าวันใหม่ (BLUESKY) ถูก WannaCry โจมตี
หน่วยงานตำรวจจีนโดน WannaCry โจมตีจนต้องหยุดให้บริการ, ATM Bank of China ก็โดนด้วย
WannaCry กระทบร่วม 150 ประเทศ คอมพิวเตอร์กว่า 2 แสนเครื่อง มีเวอร์ชันใหม่ไร้ Kill Switch (15 พ.ค.)
VirusTotal พบ WannaCry 4.0 มีคำอธิบายภาษาไทย แต่ยังไม่พร้อมใช้งาน
ETDA เผยไทยโดน WannaCry แล้วกว่า 200 เครื่อง
และการแพร่กระจายก็ยังไม่จบไม่สิ้นครับ คาดว่าเราจะเห็นความเสียหายจากมันกันไปอีกสักพักใหญ่เลยทีเดียว
ป้องกันยังไงได้บ้าง
มาถึงหัวข้อสำคัญกันแล้วครับว่าเราจะป้องกันเครื่องของเราให้พ้นจาก WannaCry ได้อย่างไร มาไล่กันเป็นข้อๆ ละกัน จะได้อ่านง่ายๆ หน่อย
ถ้าใช้งาน Windows เวอร์ชันใหม่ อย่าง Windows 10, 8.1, 7 SP1 ยังได้รับซัพพอร์ท มีอัพเดตตลอด ให้รีบอัพเดต
ถ้าใช้ Windows เวอร์ชันเก่าที่ไมโครซอฟท์เลิกซัพพอร์ทแล้วอย่าง Windows XP, Windows 8, Windows Server 2003 ให้ไปโหลดแพทช์พิเศษมาติดตั้งโดยด่วน, สำหรับเวอร์ชันอื่นให้ลองดูที่ Microsoft Update Catalog แล้วดาวน์โหลดไปติดตั้งตามเวอร์ชันของเครื่อง
ถ้าที่ใช้อยู่เป็น Windows 7 ที่ยังไม่ได้อัพเดต Service Pack ให้อัพเดตด่วนๆ เลยครับ เพราะว่าถ้าไม่ใช่ Service Pack 1 จะไมไ่ด้รับการซัพพอร์ทเรื่องของแพทช์แล้ว ถ้าขึ้นเป็น Service Pack 1 แล้วก็อัพเดตให้ปัจจุบันด้วยครับ
ถ้าใช้ Windows เวอร์ชันอื่นๆ ที่พ้นซัพพอร์ทแล้ว ไม่ได้แพทช์พิเศษด้วย หรือใช้ Windows เถื่อน กลุ่มนี้จะอดอัพเดตแพทช์ครับ หาเวอร์ชันใหม่ของแท้มาใช้เถอะครับ ถูกกว่าค่าไถ่เยอะ …
ขั้นสุดท้าย ถ้าไม่ได้มีการใช้งานอุปกรณ์ในเครือข่ายที่ผ่านโปรโตคอล SMBv1 ก็แนะนำให้ปิดฟีเจอร์นี้ทิ้งไปเลยครับ ทำตามขั้นตอนนี้ได้เลย
ถ้าพูดถึงการป้องกันแล้ว คำถามยอดฮิตที่จะตามมาก็คือ Antivirus ช่วยมั้ย? บอกเลยครับว่าในกรณีของ Ransomware นั้น Antivirus แทบไม่มีประโยชน์เลยครับ สาเหตุมีหลายอย่าง ไม่ว่าจะเพราะ Ransomware แต่ละตัวมันแตกต่างกันออกไป ชื่อไฟล์ก็ต่างไป ตรวจสอบแพทเทิร์นยาก และตัว Antivirus เองก็ต้องได้รับการอัพเดตจากผู้ผลิตก่อนถึงจะทราบว่าไฟล์ไหนเป้นอันตราย กว่าจะได้อัพเดต Ransomware ก็เข้ารหัสข้อมูลเครื่องหมดแล้วครับ อย่างกรณี WannyCry ระบาดก็เป็นตัวอย่างที่ดีครับว่ามันกระจายไปทั่วไปแล้ว ผู้พัฒนา Antivirus ถึงสามารถอัพเดตมาช่วยป้องกันได้ แถมตัว Antivirus เองก็จะโดนเข้ารหัสใช้งานไม่ได้ตามไปด้วย
คำถามยอดฮิต
ถาม: ใช้ Windows 10 ที่อัพเดตมาจาก Windows 7, Windows 8.1 เมื่อตอนที่ไมโครซอฟท์ปล่อยให้อัพเดต เวอร์ชันนี้เป็นของแท้หรือเปล่า? ได้แพทช์มั้ย ?
ตอบ: ถ้าอัพเดตมาตามกระบวนการนี้ ถือว่าได้เป็นของแท้แล้วครับ และถ้าอัพเดต Windows เรื่อยๆ จนถึงปัจจุบัน ก็ควรจะได้แพทช์ปิดช่องโหว่เรียบร้อยแล้ว วางใจได้ครับ
ถาม: โดนเล่นงานแล้ว ทำอะไรได้บ้าง
ตอบ: ถ้าในเครื่องไม่ได้มีไฟล์งานอะไรสำคัญ แนะนำให้ลง Windows ได้เลยครับ แต่ถ้ามีข้อมูลที่จำเป็นต้องเอากลับมาให้ได้ ตอนนี้มีทางเลือกเดียวคือต้องจ่ายตังให้คนร้ายเพื่อที่จะเอาโปรแกรมมาถอดรหัสข้อมูล
ถาม: จ่ายแล้วจะได้ข้อมูลคืนจริงหรือไม่ ?
ตอบ: ส่วนใหญ่แล้วคนร้ายเบื้องหลัง ransomware มักจะมีสัจจะครับ ได้ตังแล้วแก้ให้ ไม่งั้นคงทำธุรกิจมืดแบบนี้ต่อไปไม่ได้ ในกรณีของ WannaCry นั้นผมเข้าใจว่ามีคนที่จ่ายเงินแล้วได้ข้อมูลคืนแล้วจริง แต่ก็มีข่าวคราวออกมาว่าเซิฟเวอร์ของคนร้าย (น่าจะเป็นเซิฟเวอร์สำหรับประมวลผลการจ่ายเงิน / ส่งโปรแกรมแก้ไข) ล่มไปแล้ว แต่ยังหาแหล่งข่าวชัดๆ ไม่ได้ เลยไม่ทราบว่าตอนนี้เป็นอย่างไรบ้าง
ถาม: ถ้าจะกู้ไฟล์ ต้องจ่ายเงินอย่างเดียวเลยหรอ ?
ตอบ: อาจจะครับ เพราะถ้าเป็นกรณีก่อนหน้านี้ จะมี ransomware บางตัวที่ทีมวิจัยจากบริษัทความปลอดภัยสามารถถอดกระบวนการเข้ารหัสได้ และสร้างโปรแกรมถอดรหัสแจกจ่ายให้เอาไปใช้กันได้ฟรี แต่สำหรับ WannaCry นั้นยังไม่มี และยังไม่รู้ว่าจะมีออกมาหรือไม่ หรือออกมาเมื่อไร ถ้ารอได้ก็อาจจะต้องรอกันยาวๆ ไปครับ
(ถ้ามีคำถามอะไรเพิ่ม ผมจะพยายามามาอัพเดตครับ)
การโจมตีทางไซเบอร์นั้นไม่ได้มีแค่รูปแบบที่ไปทำลายเป้าหมายเหมือนตามหนังอย่างเดียว แต่มันมีหลากหลายรูปแบบมากครับ ขอแค่เพียงมีช่องโหว่สักที่ เหล่าแฮกเกอร์ก็สามารถใช้มันเป็นประโยชน์สำหรับกระทำการต่างๆ แล้ว ในอนาคตเราอาจจะเจอรูปแบบที่แปลกประหลาไปมากกว่านี้ก็เป็นได้ และการที่ซอฟท์แวร์นั้นมีช่องโหว่นั้นก็แทบจะเรียกได้ว่าเป็นเรื่องปกติ เพียงแต่ว่าช่องโหว่ที่มีนั้นอาจจะยังไม่ถูกพบเจอ หรือยังไม่ถูกนำไปใช้งานจนเกิดผลเสียหาย ดังนั้นเราจึงควรตระหนักอยู่เสมอว่าบนโลกไซเบอร์ โลกอินเทอร์เน็ตที่อะไรๆ ก็เชื่อมต่อกันได้นั้นไม่ได้ปลอดภัยเสมอ และผู้ใช้งานระบบนี้ก็ต้องศึกษาและให้ความสำคัญในเรื่องความปลอดภัยอย่างสม่ำเสมอ เพื่อที่จะได้ไหวตัวทันเมื่อเกิดเหตุการเฉกเช่น WannaCry ในครั้งนี้
ขอบคุณข้อมูลที่เอามาอ้างอิงประกอบบทความจาก
Blognone,
อาศัยข้อมูลเยอะมาก ต้องขอบคุณ Blognone ที่ติดตามสถานการณ์ WannyCry อย่างใกล้ชิด และไกด์สำหรับการอัพเดต Windows รุ่นเก่าๆ ครับ
ข้อมูลพฤติกรรมการทำงานของ WannaCry จาก Troyhunt และ Talo Intelligence
เว็บไซต์ 2 เว็บนี้เขียนอธิบายได้ดีมาก ใครสนใจเบื้องลึกสามารถอ่านเพิ่มเติมได้ครับ
https://droidsans.com/wannacry-ransomware-summary/
RANSOMWARE คืออะไร?
Ransomware หรือชื่อไทยคือมัลแวร์เรียกค่าไถ่ จัดเป็นมัลแวร์ประเภทหนึ่ง แต่พฤติกรรมของมันจะไม่ได้เน้นการทำลายระบบเครื่องเป้าหมาย แต่เป็นการเข้ารหัสข้อมูลในเครื่อง ทำให้ไม่สามารถเข้าถึงข้อมูลหรือซอฟท์แวร์ภายในเครื่องได้ และตั้งเงื่อนไขกับเหยื่อว่าให้โอนเงินไปให้คนร้าย เพื่อแลกกับโปรแกรมสำหรับถอดรหัสข้อมูล โดยเหยื่อมักจะโดนจากการเปิดไฟล์จากอีเมลแปลกๆ หรืออีเมลที่สวมรอยเป็นเว็บไซต์ดังแล้วส่งเอกสาร .pdf ปลอมหรือไฟล์ .exe มาให้ แต่ไส้ในกลับเป็น Ransomware
พักหลัง Ransomware เติบโตมา เนื่องด้วยเหตุผลที่เป็นการโจมตีที่เห็นผลชัดเจนและคนร้ายมีโอกาสได้เงินค่าไถ่สูง และตามจับไม่ได้ เพราะช่องทางการโอนเงินมักจะใช้หน่วยเงินดิจิทัล เช่น Bitcoin ไม่ใช่ค่าเงินของแต่ละประเทศที่จะตรวจสอบกับธนาคารได้ และไม่ใช่แค่ระบบปฏิบัติการ Windows เท่านั้น ระบบอื่นๆ ก็มีโอกาสโดนได้เช่นกัน เพียงแต่เป้าหมายของคนร้ายมักจะเจาะกลุ่มระบบปฏิบัติการที่มีผู้ใช้เยอะ แน่นอนว่าบน Android เองก็เคยมีข่าวครับ
WANNACRY คืออะไร เป็นมายังไง เครื่องที่ใช้อยู่จะโดนด้วยมั้ย?
Wcry, WannaCry, WannaCrypt, WannaCryptor ชื่อทั้งหมดที่กล่าวมาล้วนเป็นตัวเดียวกันทั้งหมดทั้งหมดครับ แต่มักจะถูกเรียกในข่าวกันว่า WannaCry หรือ WannaCrypt ซะมาก ผมขอเรียกเป็น WannaCry ละกันครับ เจ้า WannaCry มันก็คือ ransomware อีกตัวหนึ่งนี่แหละครับ เพียงแต่มันอาศัยช่องโหว่ของฟีเจอร์หนึ่งบน Windows ที่มีชื่อว่า Server Message Block version 1 (SMBv1) ที่ออกแบบมาสำหรับการเชื่อมต่อส่งข้อมูลระหว่างเครื่องภายในเน็ตเวิร์กเดียวกัน ซึ่งทางไมโครซอฟท์ได้อัพเดตแพทช์อุดช่องโหว่นี้ไปแล้วเมื่อเดือนมีนาคม 2017 ที่ผ่านมา ใครอัพเดตไปแล้วก็โล่งอกได้ รุ่นได้อัพเดตก็มี
Windows 10
Windows 8.1
Windows 7 (Service Pack 1)
Windows Vista (Service Pack 2)
และอีกบางรุ่น สามารถดูรายชื่อได้ที่ประกาศอัพเดตบนเว็บไซต์ไมโครซอฟท์
ส่วนเวอร์ชันอื่นอย่าง Windows XP, Windows 8 และ Windows Server 2003 นั้นจะไม่ได้อัพเดตเนื่องจากหมดอายุการซัพพอร์ทแล้ว สำหรับคนที่ใช้ Windows เวอร์ชันเหล่านี้แนะนำให้อ่านเพิ่มเติมที่หัวข้อการป้องกันด้านล่างครับสำคัญมาก
การทำงานของ WannyCry คือจะไปเข้ารหัสข้อมูลในเครื่อง ไล่ทุก Drive เท่าที่มันจะหาเจอ เมื่อเข้ารหัสแล้วสภาพของไฟล์จะเหมือนเวลาเราทำ Disk Encryption แบบนั้นเลยครับ เพียงแต่ว่าเราไม่มีคีย์สำหรับแกะมัน มีเพียงแฮกเกอร์เจ้าของ WannaCry เท่านั้นที่มี และนั่นก็ทำให้แฮกเกอร์ยื่นขอเสนอว่าให้จ่ายเงินมูลค่า $300 (ประมาณ 1 หมื่นบาท) ในสกุล Bitcoin ไปยังเลขที่บัญชีของ Bitcoin ที่ระบุไว้ แล้วถึงจะส่งโปรแกรมสำหรับถอดรหัสกลับมาใหม่
ทำไมถึงแพร่กระจายได้อย่างรวดเร็ว
ยาวไปไม่อ่าน: WannaCry ใช้ช่องโหว่ร้ายแรงที่ NSA ค้นพบ เจาะเข้าเครื่องเป้าหมายและควบคุมได้ แม้เจ้าของเครื่องจะไม่ได้รันโปรแกรมอะไรแปลกๆ ก็ตาม และตัวมันเองแพร่กระจายต่อในเน็ตเวิร์กได้ทั้งวง LAN และส่งออกตัวเองเข้า Internet ไปยังเครื่องอื่นๆ ได้
ยาวได้ จัดไป:
ย่อหน้าที่ผ่านมาผมพูดไปหน่อยแล้วว่า WannaCry ใช้ช่องโหว่ของ SMBv1 แต่ช่องโหว่ร้ายแรงบนระบบปฏิบัติการนี่ไม่ใช่ของที่จะหาเจอกันง่ายๆ ครับ สาเหตุที่ผู้พัฒนา WannaCry รู้ข้อมูลช่องโหว่นี้ก็คาดว่ามาจากชุดข้อมูลและเครื่องมือของหน่วยงาน NSA ของอเมริกา ที่ก่อนหน้านี้มีข่าวว่ากลุ่มแฮกเกอร์ Shadow Broker สามารถขุดคุ้ยข้อมูลจากกลุ่มแฮกเกอร์ที่มีส่วนร่วมกับ NSA ในการหาช่องโหว่ แล้วได้ชุดเครื่องมือของ NSA มา (แฮกเกอร์-ไปแฮก-แฮกเกอร์) พร้อมขอเงิน 1 ล้านดอลลาร์แลกกับการเปิดเผยข้อมูล แต่หลังจากไม่มีใครสนใจที่จะซื้อข้อมูลนี้ Shadow Broker เลยปล่อยข้อมูลและชุดเครื่องมือออกมาบนอินเทอร์เน็ตแบบฟรีๆ จนแฮกเกอร์รายอื่นนำไปใช้กันอย่างแพร่หลาย
สำหรับตัว WannaCry นั้นใช้เครื่องมือชื่อว่า EternalBlue เป็นฐานในการพัฒนาเพื่อโจมตีผ่านช่องโหว่ของ SMBv1 เพื่อเข้าถึงเครื่องของเป้าหมาย แล้วใช้ฝังซอฟท์แวร์ backdoor ที่ชื่อว่า DoublePulsar จากผู้พัฒนาเดียวกัน NSA นั่นเอง เพื่อเปิดช่องให้คนร้ายสามารถควบคุมเครื่องเหยื่อได้จากระยะไกล และสามารถรันคำสั่งเพื่อติดตั้งตัว WannaCry ลงเครื่อง
นอกจากการเข้ารหัส Drive ที่ตัว WannayCry จะไล่ตามเก็บทุกๆ Drive เท่าที่มันหาเจอแล้ว มันยังมี process ย่อยที่พยายามเจาะต่อไปยังเครื่องคอมพิวเตอร์อื่นในเครือข่าย LAN เพื่อฝังตัวเพิ่มด้วย รวมถึงยังมีการสุ่มเลข IP Address สำหรับยิงออกสู่อินเทอร์เน็ต เพื่อสุ่มหาเป้าหมายใหม่อยู่ตลอดเวลา ถ้าบิงโก เจอคอมพิวเตอร์ที่รัน Windows และยังไม่ได้แพทช์ปิดช่องโหว่ ก็จะกลายเป็นเครื่องที่โดนเข้ารหัสรายต่อไป และก็จะเป็นฐานในการกระจายต่อไปยังเครื่องอื่นอีกเรื่อยๆ
อย่างไรก็ตาม ด้วยการทำงานของ WannaCry เองจะมีการตรวจสอบเชื่อมต่อไปยังเว็บไซต์หนึ่งอยู่ ที่คาดว่าออกแบบมาเป็น Kill Switch เพราะหากตรวจเจอ จะสั่งหยุดการแพร่กระจายต่อ ซึ่งตอนนี้ก็มีคนจาก MalwareTechBlog ได้จดโดเมนเพื่อดักไว้แล้ว ทำให้ WannaCry หยุดการแพร่กระจาย … แต่มันไม่จบครับ เพราะว่าในเวลานี้มันมี WannaCry เวอร์ชันใหม่ที่ไม่มีการตรวจสอบ Kill Switch ออกมาแพร่ต่อแล้ว
ส่งผลกระทบอย่างไรบ้าง รุนแรงแค่ไหน
WannaCry กระทบกว่า 70 ประเทศ, ไมโครซอฟท์ต้องออกแพทช์พิเศษให้ Windows รุ่นเก่า (13 พ.ค.)
การรถไฟเยอรมันโดน WannaCry
ระบบสาธารณสุขของอังกฤษโดน WannCry โจมตี 16 หน่วยงานย่อย ทำให้ต้องยกเลิกการผ่าตัดคนไข้
เซิฟเวอร์เกม Blade & Soul ประเทศไทยของ Garena ถูก WannaCrypt โจมตี
สถานีโทรทัศน์ฟ้าวันใหม่ (BLUESKY) ถูก WannaCry โจมตี
หน่วยงานตำรวจจีนโดน WannaCry โจมตีจนต้องหยุดให้บริการ, ATM Bank of China ก็โดนด้วย
WannaCry กระทบร่วม 150 ประเทศ คอมพิวเตอร์กว่า 2 แสนเครื่อง มีเวอร์ชันใหม่ไร้ Kill Switch (15 พ.ค.)
VirusTotal พบ WannaCry 4.0 มีคำอธิบายภาษาไทย แต่ยังไม่พร้อมใช้งาน
ETDA เผยไทยโดน WannaCry แล้วกว่า 200 เครื่อง
และการแพร่กระจายก็ยังไม่จบไม่สิ้นครับ คาดว่าเราจะเห็นความเสียหายจากมันกันไปอีกสักพักใหญ่เลยทีเดียว
ป้องกันยังไงได้บ้าง
มาถึงหัวข้อสำคัญกันแล้วครับว่าเราจะป้องกันเครื่องของเราให้พ้นจาก WannaCry ได้อย่างไร มาไล่กันเป็นข้อๆ ละกัน จะได้อ่านง่ายๆ หน่อย
ถ้าใช้งาน Windows เวอร์ชันใหม่ อย่าง Windows 10, 8.1, 7 SP1 ยังได้รับซัพพอร์ท มีอัพเดตตลอด ให้รีบอัพเดต
ถ้าใช้ Windows เวอร์ชันเก่าที่ไมโครซอฟท์เลิกซัพพอร์ทแล้วอย่าง Windows XP, Windows 8, Windows Server 2003 ให้ไปโหลดแพทช์พิเศษมาติดตั้งโดยด่วน, สำหรับเวอร์ชันอื่นให้ลองดูที่ Microsoft Update Catalog แล้วดาวน์โหลดไปติดตั้งตามเวอร์ชันของเครื่อง
ถ้าที่ใช้อยู่เป็น Windows 7 ที่ยังไม่ได้อัพเดต Service Pack ให้อัพเดตด่วนๆ เลยครับ เพราะว่าถ้าไม่ใช่ Service Pack 1 จะไมไ่ด้รับการซัพพอร์ทเรื่องของแพทช์แล้ว ถ้าขึ้นเป็น Service Pack 1 แล้วก็อัพเดตให้ปัจจุบันด้วยครับ
ถ้าใช้ Windows เวอร์ชันอื่นๆ ที่พ้นซัพพอร์ทแล้ว ไม่ได้แพทช์พิเศษด้วย หรือใช้ Windows เถื่อน กลุ่มนี้จะอดอัพเดตแพทช์ครับ หาเวอร์ชันใหม่ของแท้มาใช้เถอะครับ ถูกกว่าค่าไถ่เยอะ …
ขั้นสุดท้าย ถ้าไม่ได้มีการใช้งานอุปกรณ์ในเครือข่ายที่ผ่านโปรโตคอล SMBv1 ก็แนะนำให้ปิดฟีเจอร์นี้ทิ้งไปเลยครับ ทำตามขั้นตอนนี้ได้เลย
ถ้าพูดถึงการป้องกันแล้ว คำถามยอดฮิตที่จะตามมาก็คือ Antivirus ช่วยมั้ย? บอกเลยครับว่าในกรณีของ Ransomware นั้น Antivirus แทบไม่มีประโยชน์เลยครับ สาเหตุมีหลายอย่าง ไม่ว่าจะเพราะ Ransomware แต่ละตัวมันแตกต่างกันออกไป ชื่อไฟล์ก็ต่างไป ตรวจสอบแพทเทิร์นยาก และตัว Antivirus เองก็ต้องได้รับการอัพเดตจากผู้ผลิตก่อนถึงจะทราบว่าไฟล์ไหนเป้นอันตราย กว่าจะได้อัพเดต Ransomware ก็เข้ารหัสข้อมูลเครื่องหมดแล้วครับ อย่างกรณี WannyCry ระบาดก็เป็นตัวอย่างที่ดีครับว่ามันกระจายไปทั่วไปแล้ว ผู้พัฒนา Antivirus ถึงสามารถอัพเดตมาช่วยป้องกันได้ แถมตัว Antivirus เองก็จะโดนเข้ารหัสใช้งานไม่ได้ตามไปด้วย
คำถามยอดฮิต
ถาม: ใช้ Windows 10 ที่อัพเดตมาจาก Windows 7, Windows 8.1 เมื่อตอนที่ไมโครซอฟท์ปล่อยให้อัพเดต เวอร์ชันนี้เป็นของแท้หรือเปล่า? ได้แพทช์มั้ย ?
ตอบ: ถ้าอัพเดตมาตามกระบวนการนี้ ถือว่าได้เป็นของแท้แล้วครับ และถ้าอัพเดต Windows เรื่อยๆ จนถึงปัจจุบัน ก็ควรจะได้แพทช์ปิดช่องโหว่เรียบร้อยแล้ว วางใจได้ครับ
ถาม: โดนเล่นงานแล้ว ทำอะไรได้บ้าง
ตอบ: ถ้าในเครื่องไม่ได้มีไฟล์งานอะไรสำคัญ แนะนำให้ลง Windows ได้เลยครับ แต่ถ้ามีข้อมูลที่จำเป็นต้องเอากลับมาให้ได้ ตอนนี้มีทางเลือกเดียวคือต้องจ่ายตังให้คนร้ายเพื่อที่จะเอาโปรแกรมมาถอดรหัสข้อมูล
ถาม: จ่ายแล้วจะได้ข้อมูลคืนจริงหรือไม่ ?
ตอบ: ส่วนใหญ่แล้วคนร้ายเบื้องหลัง ransomware มักจะมีสัจจะครับ ได้ตังแล้วแก้ให้ ไม่งั้นคงทำธุรกิจมืดแบบนี้ต่อไปไม่ได้ ในกรณีของ WannaCry นั้นผมเข้าใจว่ามีคนที่จ่ายเงินแล้วได้ข้อมูลคืนแล้วจริง แต่ก็มีข่าวคราวออกมาว่าเซิฟเวอร์ของคนร้าย (น่าจะเป็นเซิฟเวอร์สำหรับประมวลผลการจ่ายเงิน / ส่งโปรแกรมแก้ไข) ล่มไปแล้ว แต่ยังหาแหล่งข่าวชัดๆ ไม่ได้ เลยไม่ทราบว่าตอนนี้เป็นอย่างไรบ้าง
ถาม: ถ้าจะกู้ไฟล์ ต้องจ่ายเงินอย่างเดียวเลยหรอ ?
ตอบ: อาจจะครับ เพราะถ้าเป็นกรณีก่อนหน้านี้ จะมี ransomware บางตัวที่ทีมวิจัยจากบริษัทความปลอดภัยสามารถถอดกระบวนการเข้ารหัสได้ และสร้างโปรแกรมถอดรหัสแจกจ่ายให้เอาไปใช้กันได้ฟรี แต่สำหรับ WannaCry นั้นยังไม่มี และยังไม่รู้ว่าจะมีออกมาหรือไม่ หรือออกมาเมื่อไร ถ้ารอได้ก็อาจจะต้องรอกันยาวๆ ไปครับ
(ถ้ามีคำถามอะไรเพิ่ม ผมจะพยายามามาอัพเดตครับ)
การโจมตีทางไซเบอร์นั้นไม่ได้มีแค่รูปแบบที่ไปทำลายเป้าหมายเหมือนตามหนังอย่างเดียว แต่มันมีหลากหลายรูปแบบมากครับ ขอแค่เพียงมีช่องโหว่สักที่ เหล่าแฮกเกอร์ก็สามารถใช้มันเป็นประโยชน์สำหรับกระทำการต่างๆ แล้ว ในอนาคตเราอาจจะเจอรูปแบบที่แปลกประหลาไปมากกว่านี้ก็เป็นได้ และการที่ซอฟท์แวร์นั้นมีช่องโหว่นั้นก็แทบจะเรียกได้ว่าเป็นเรื่องปกติ เพียงแต่ว่าช่องโหว่ที่มีนั้นอาจจะยังไม่ถูกพบเจอ หรือยังไม่ถูกนำไปใช้งานจนเกิดผลเสียหาย ดังนั้นเราจึงควรตระหนักอยู่เสมอว่าบนโลกไซเบอร์ โลกอินเทอร์เน็ตที่อะไรๆ ก็เชื่อมต่อกันได้นั้นไม่ได้ปลอดภัยเสมอ และผู้ใช้งานระบบนี้ก็ต้องศึกษาและให้ความสำคัญในเรื่องความปลอดภัยอย่างสม่ำเสมอ เพื่อที่จะได้ไหวตัวทันเมื่อเกิดเหตุการเฉกเช่น WannaCry ในครั้งนี้
ขอบคุณข้อมูลที่เอามาอ้างอิงประกอบบทความจาก
Blognone,
อาศัยข้อมูลเยอะมาก ต้องขอบคุณ Blognone ที่ติดตามสถานการณ์ WannyCry อย่างใกล้ชิด และไกด์สำหรับการอัพเดต Windows รุ่นเก่าๆ ครับ
ข้อมูลพฤติกรรมการทำงานของ WannaCry จาก Troyhunt และ Talo Intelligence
เว็บไซต์ 2 เว็บนี้เขียนอธิบายได้ดีมาก ใครสนใจเบื้องลึกสามารถอ่านเพิ่มเติมได้ครับ
https://droidsans.com/wannacry-ransomware-summary/
7
แหล่งเรียนรู้ / Re: วิถีสร้างการเรียนรู้ในศตวรรษที่ 21
« กระทู้ล่าสุด โดย netdomon เมื่อ 05-10-18 18:29:40 »สุดยอดไปเลยครับ
8
เล่าสู่กันฟัง / โฮสติ้งราคาถูกๆ Hosting เริ่มต้นเพียง 37.50 บาท แรง เร็ว เสถียร บริการดี
« กระทู้ล่าสุด โดย host24 เมื่อ 19-09-18 00:50:52 »
HOST24PLUS โฮส24พลัส ดอทคอม มุ่งเน้นงานบริการ บริการดีๆที่เราแนะนำ
โฮสติ้งราคาถูกๆ เริ่มต้นเพียง 37.50 บาท
Hosting ราคาถูกๆ บริการดี รวดเร็วทันใจ แก้ปัญหาได้ทันท่วงที ทำงานด้วยใจ บริการทุกระดับประทับใจ
Domain คุณเป็นเจ้าของ 100% ไม่มีการอ้างสิทธิ์ครอบครองโดยผู้ให้บริการอย่างแน่นอน
เปิดรับตัวแทนจำหน่าย กำหนดราคาการขายได้อิสระ ไม่มีการคิดราคาเพิ่มจากผู้ให้บริการ
เลือกแพคเกจตามความเหมาะสมกับการใช้งาน บริการดีทุกระดับประทับใจ
คลิกเพื่อดูรายละเอียด
พิเศษ!! งานด้านบริการ HOST24PLUS
บริการรวดเร็วทันใจ โดยเจ้าหน้าที่ ที่รอให้คำปรึกษาตลอด 24 ชั่วโมง
บริการด้วยใจ จริงจัง ตั้งใจ ในทุกๆงานบริการ Hosting ด้วยประสบการณ์ กว่า 5 ปี
มีลูกค้าไว้วางใจและเชื่อถือในงานบริการจากเรา กว่า 3500 ราย
มีเจ้าหน้าที่คอยดูแลเครื่อง server ตลอด 24 ชั่วโมง
ความพิเศษ!! ไม่เหมือนกับที่อื่นๆ
Hosting ราคาถูก เริ่มต้นเพียง 37.50 บาท
SSD คุณภาพที่แรงและเร็ว
PHP 5.6 - 7.2 เลือกเวอร์ชั่น ได้ตามความต้องการ
MSQL 5.6
Subdomain ไม่จำกัด
Mail Sent 200/Day
Control panel Directadmin
ฟรีติดตั้ง cms อัตโนมัติ
ฟรี SSL Let's Encrypt
SSL Certificates support
ระบบปฏิบัติการ (OS) CentOS 6 (64bit)
รอง รับ scripts ทุกชนิด เช่น PHP,Perl,AJAX,MySQL,HTML5,CSS3 และอื่นๆ
server แรง เร็ว เสถียร ไม่ล่ม ดูแลโดยเจ้าหน้าที่ชำนาญเฉพาะด้านตลอด24ชั่วโมง
ทีมงานซัพพอทเฉพาะด้านที่รอรับบริการตลอดเวลา
แพคเกจสุดคุ้ม คุ้มค่า คุ้มราคา เลือกได้ตามความเหมาะสม
คลิกเพื่อดูรายละเอียด
ช่องทางติดต่อ
Host24Plus.com
Tel: 089-899-3829
Email: [email protected]
LINE ID: talaprang
Web: https://host24plus.com
9
ห้องสมุดกลาง / Re: สำนักงานวิทยทรัพยากร จุฬาลงกรณ์มหาวิทยาลัย
« กระทู้ล่าสุด โดย yoyofach เมื่อ 18-09-18 14:39:54 »ขอบคุณมากครับ
10
ห้องสมุดกลาง / Re: ดูหนังเด็ดหนังดี มันส์ใด้ทุกเวลา ส่งตรงถึงมือถือคุณ ฟรีไม่มีค่าใช้จ่าย
« กระทู้ล่าสุด โดย Adsixnine เมื่อ 31-08-18 11:07:48 »แจ่มเลย 