มีรายงานจาก NHS ซึ่งเป็นหน่วยงานให้บริการการรักษาของอังกฤษถูกโจมตีด้วย Ransomware ที่ชื่อว่า WannaCryptor ในหลายๆหน่วยงานทั่วประเทศไม่ว่าจะเป็น คลีนิค, โรงพยาบาล ต่างก็ได้รับผลกระทบไปด้วย โดย ransomware ดังกล่าวจะทำการ lock user ออกจากเครื่องและทำ popup ขึ้นมาให้จ่ายเงินเพื่อให้สามารถเข้าถึงเครื่องได้ และบางเครื่องสามารถเข้าใช้งานได้แต่ไฟล์ที่สำคัญต่างๆก็จะถูกเข้ารหัสไว้
โดยข้อมูลที่ถูกเข้ารหัสมีด้วยกันหลายประเภทด้วยกันไม่ว่าจะเป็น ข้อมูลคนไข้, ตารางนัดหมาย, ข้อมูลโทรศัพท์ภายใน, email โดยไฟล์ที่ถูกเข้ารหัสโดย ransomware ดังกล่าวจะมีนามสกุลเป็น (.WCRY) ทั้งนี้ทางหน่วยงาน NHS Digital กล่าวว่ามีหน่วยงานหลากหลายประเภทมากที่โดน ransomware เล่นงาน ทางทีมงาน NHS Digital จึงได้ร่วมมือกับ National Crime Agency ซึ่งถือว่าเป็นหน่วยงานเทียบเท่า FBI ในอังกฤษได้เริ่มทำการสอบสวนเหตุการณ์ที่เกิดขึ้นแล้ว โดยตอนนี้ยังไม่มีหลักฐานใดๆบ่งบอกถึงการที่ข้อมูลคนป่วยถูกเข้าถึงแต่อย่างใด อีกทั้งทางทีมงาน NHS Digital ได้ร่วมมือกับ National Cyber Security Center เพื่อจัดการและหาวิธีแก้ไขอย่างถูกวิธีแล้วอีกด้วย
จาก report ของคนทำงาน IT ของ NHS กล่าวว่าระบบเมล์เริ่มใช้งานไม่ได้ตั้งแต่วันที่ 11 12:30pm จากนั้นก็ตามมาด้วยระบบที่เกี่ยวกับคลีนิคมากมากที่ใช้งานไม่ได้ จากนั้นก็เป็นระบบคนไข้ และจาก report เครื่องส่วนใหญ่จะถูกขู่ให้จ่ายเงินประมาณ 300$ การถูกโจมตีครั้งนี้ถือเป็นครั้งที่ร้ายแรงที่สุดในรอบ 6 ปีเลยทีเดียว
รายงานล่าสุดพบ ransomware ตัวนี้ในไทยแล้วนะครับระวังกันให้ดี ซึ่งเป็นการโจมตีโดยใช้การโจมตีของเครื่องมือ NSA ที่หลุดมาช่วงเดือนก่อน นั่นคือ MS17-010 หรือ EternalBlue นั่นเอง ทั้งนี้แนะนำให้ทำการปิด port 445 หรือยกเลิกการใช้งาน SMBv1 เพื่อลดความเสี่ยงที่เกิดขึ้นจาก WannaCryptor
วิธีการป้องกัน
1. Update patched Windows ให้เป็น version ล่าสุด.
2. ปิด port remote การเข้าถึงอย่าง RDP และ SMB จาก internet
3. Disable SMBv1 และ protocol ใดๆที่เก่า
4. นำเครื่องใดๆที่ไม่สามารถ patch ได้ให้ไปอยู่ในส่วนที่มี security control
วิธีการแก้ไขเมื่อติด WannaCryptor
1. เข้า Windows ในลักษณะ Safe Mode
2. เข้าไปที่ msconfig.exe เพื่อทำการปิด Service ที่ดูต้องสงสัย
3. กำหนดการแสดง hidden ไฟล์และโฟลเดอร์ใดๆ รวมถึง extension (นามสกุลของไฟล์) ต่างๆ เพื่อตรวจสอบไฟล์ที่จะรันนั้นเป็นอย่างไรบ้าง
4. หาไฟล์ที่ผิดปกติใน %TEMP%, %APPDATA%, %ProgramData%
5. ตรวจสอบ host file ภายในเครื่องว่าถูกเปลี่ยนแปลงหรือไม่ (C:\Windows\System32\drivers\src)
ที่มา: isecure
You must be logged in to post a comment.