home

ก่อนจะเป็น WannaCry ช่องโหว่ EternalBlue เคยเป็นอะไรมาก่อน?

ไทย

          จากการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry หรือ WannaCryptor ที่ใช่ช่องโหว่ของ EternalBlue ในการแพร่กระจาย ซึ่ง EternalBlue เป็นของ NSA ที่ถูกกลุ่มแฮกเกอร์ที่ชื่อว่า The Shadow Broker ขโมยออกมา ในช่วงเดือนเมษายนที่ผ่านมากระบวนการเดียวกันถูกแฮกเกอร์นำไปใช้ แต่ไม่ได้ใช้เพื่อเข้ารหัสไฟล์ ซึ่งเป็นเวลาไม่กี่วันหลังจาก EternalBlue หลุดออกมาจาก NSA ทาง ESET สามารถตรวจจับไฟล์นี้ได้ในชื่อ Win32/CoinMiner.AFR และ Win32/CoinMiner.AFU   ปริมาณสูงสุดที่ทาง ESET ตรวจจับได้เป็นช่วงเวลาหนึ่งชั่วโมงก่อนการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry โดยส่วนมากจับได้ในประเทศรัสเซีย, ไต้หวัน และยูเครน

 



          โปรแกรม CoinMiner ของแฮกเกอร์ค่อนข้างใช้ทรัพยากรเครื่องเยอะจึงอาจทำให้คอมพิวเตอร์บางเครื่องทำงานช้าลงมากจนถึงค้างไป

          การโจมตีนี้ปิดพอร์ต 445 เพื่อป้องกันการติดไวรัสซ้ำด้วยพอร์ตเดียวกัน แต่ความโชคดีในความโชคร้ายก็คือ คอมพิวเตอร์ที่ติดไวรัสตัวนี้จะไม่ได้โปรแกรมเรียกค่าไถ่ WannaCry เล่นงาน

ความรุนแรงของ WannaCryptor

          ณ วันที่โปรแกรมเรียกค่าไถ่ WannaCry ระบาด ระบบ ESET LiveGrid® ได้รับรายงานมากจากผู้ใช้มากกว่า 66,000 ครั้งเกี่ยวกับการโจมตีของ WannaCryptor

การโจมตีของ WannaCry มีเป้าหมายหลักเป็นรัสเซีย ตามมาด้วยยูเครนและไต้หวัน

          ความโด่งดังของ WannaCry ทำให้แฮกเกอร์หลายสำนักในการแพร่กระจายไวรัสอีกครั้ง อย่าง Nemucod อีกช่องทางการแพร่กระจายโปรแกรมเรียกค่าไถ่ก็มีปริมาณมากขึ้น 

          นอกจากนี้ยังมีโปรแกรม WannaCry ปลอมที่เพียงเอาหน้าตาของโปรแกรมเรียกค่าไถ่ WannaCry มาใช้โดยไม่มีความสามารถในการเข้ารหัสไฟล์

วิธีป้องกันตัว

  1. ช่องโหว่ EternalBlue สามารถปิดได้ เพียงผู้ใช้อัพเดตระบบปฏิบัติการในเครือของ Microsoft
  2. ใช้โปรแกรมรักษาความปลอดภัยที่มีฟังก์ชันในการป้องกันไวรัสและมัลแวร์หลายชั้นเพื่อป้องกันการโจมตีในอนาคต
  3. สำรองข้อมูลสำคัญไว้ในฮาร์ดดิสก์ที่ไม่มีการเชื่อมต่ออินเตอร์เน็ต
  4. ในกรณีที่ผู้ใช้เผชิญกับโปรแกรมเรียกค่าไถ่ เราแนะนำไม่ให้จ่ายเงินค่าไถ่ เพราะนั่นเท่ากับเราเป็นผู้สนับสนุนกิจกกรมของแฮกเกอร์ และอีกเหตุก็คือเราไม่อาจทราบได้ว่ารหัสที่ได้มาจากแฮกเกอร์จะสามารถถอดรหัสไฟล์ได้จริงหรือไม่



Author: ONDREJ KUBOVIČ

Source: https://www.welivesecurity.com/2017/05/17/wannacryptor-wasnt-the-first-to-use-eternalblue/

Translated by: Worapon H.



ที่มา :  blog.eset.co.th

          https://www.ditc.co.th/th/news-it/wannacry-eternalblue.html

 

          จากการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry หรือ WannaCryptor ที่ใช่ช่องโหว่ของ EternalBlue ในการแพร่กระจาย ซึ่ง EternalBlue เป็นของ NSA ที่ถูกกลุ่มแฮกเกอร์ที่ชื่อว่า The Shadow Broker ขโมยออกมา

          ในช่วงเดือนเมษายนที่ผ่านมากระบวนการเดียวกันถูกแฮกเกอร์นำไปใช้ แต่ไม่ได้ใช้เพื่อเข้ารหัสไฟล์ ซึ่งเป็นเวลาไม่กี่วันหลังจาก EternalBlue หลุดออกมาจาก NSA ทาง ESET สามารถตรวจจับไฟล์นี้ได้ในชื่อ Win32/CoinMiner.AFR และ Win32/CoinMiner.AFU

          ปริมาณสูงสุดที่ทาง ESET ตรวจจับได้เป็นช่วงเวลาหนึ่งชั่วโมงก่อนการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry โดยส่วนมากจับได้ในประเทศรัสเซีย, ไต้หวัน และยูเครน

 



          โปรแกรม CoinMiner ของแฮกเกอร์ค่อนข้างใช้ทรัพยากรเครื่องเยอะจึงอาจทำให้คอมพิวเตอร์บางเครื่องทำงานช้าลงมากจนถึงค้างไป

          การโจมตีนี้ปิดพอร์ต 445 เพื่อป้องกันการติดไวรัสซ้ำด้วยพอร์ตเดียวกัน แต่ความโชคดีในความโชคร้ายก็คือ คอมพิวเตอร์ที่ติดไวรัสตัวนี้จะไม่ได้โปรแกรมเรียกค่าไถ่ WannaCry เล่นงาน

ความรุนแรงของ WannaCryptor

          ณ วันที่โปรแกรมเรียกค่าไถ่ WannaCry ระบาด ระบบ ESET LiveGrid® ได้รับรายงานมากจากผู้ใช้มากกว่า 66,000 ครั้งเกี่ยวกับการโจมตีของ WannaCryptor

การโจมตีของ WannaCry มีเป้าหมายหลักเป็นรัสเซีย ตามมาด้วยยูเครนและไต้หวัน

          ความโด่งดังของ WannaCry ทำให้แฮกเกอร์หลายสำนักในการแพร่กระจายไวรัสอีกครั้ง อย่าง Nemucod อีกช่องทางการแพร่กระจายโปรแกรมเรียกค่าไถ่ก็มีปริมาณมากขึ้น 

          นอกจากนี้ยังมีโปรแกรม WannaCry ปลอมที่เพียงเอาหน้าตาของโปรแกรมเรียกค่าไถ่ WannaCry มาใช้โดยไม่มีความสามารถในการเข้ารหัสไฟล์

วิธีป้องกันตัว

  1. ช่องโหว่ EternalBlue สามารถปิดได้ เพียงผู้ใช้อัพเดตระบบปฏิบัติการในเครือของ Microsoft
  2. ใช้โปรแกรมรักษาความปลอดภัยที่มีฟังก์ชันในการป้องกันไวรัสและมัลแวร์หลายชั้นเพื่อป้องกันการโจมตีในอนาคต
  3. สำรองข้อมูลสำคัญไว้ในฮาร์ดดิสก์ที่ไม่มีการเชื่อมต่ออินเตอร์เน็ต
  4. ในกรณีที่ผู้ใช้เผชิญกับโปรแกรมเรียกค่าไถ่ เราแนะนำไม่ให้จ่ายเงินค่าไถ่ เพราะนั่นเท่ากับเราเป็นผู้สนับสนุนกิจกกรมของแฮกเกอร์ และอีกเหตุก็คือเราไม่อาจทราบได้ว่ารหัสที่ได้มาจากแฮกเกอร์จะสามารถถอดรหัสไฟล์ได้จริงหรือไม่



Author: ONDREJ KUBOVIČ

Source: https://www.welivesecurity.com/2017/05/17/wannacryptor-wasnt-the-first-to-use-eternalblue/

Translated by: Worapon H.



ขอบคุณที่มา : blog.eset.co.th

          จากการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry หรือ WannaCryptor ที่ใช่ช่องโหว่ของ EternalBlue ในการแพร่กระจาย ซึ่ง EternalBlue เป็นของ NSA ที่ถูกกลุ่มแฮกเกอร์ที่ชื่อว่า The Shadow Broker ขโมยออกมา

          ในช่วงเดือนเมษายนที่ผ่านมากระบวนการเดียวกันถูกแฮกเกอร์นำไปใช้ แต่ไม่ได้ใช้เพื่อเข้ารหัสไฟล์ ซึ่งเป็นเวลาไม่กี่วันหลังจาก EternalBlue หลุดออกมาจาก NSA ทาง ESET สามารถตรวจจับไฟล์นี้ได้ในชื่อ Win32/CoinMiner.AFR และ Win32/CoinMiner.AFU

          ปริมาณสูงสุดที่ทาง ESET ตรวจจับได้เป็นช่วงเวลาหนึ่งชั่วโมงก่อนการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry โดยส่วนมากจับได้ในประเทศรัสเซีย, ไต้หวัน และยูเครน

 



          โปรแกรม CoinMiner ของแฮกเกอร์ค่อนข้างใช้ทรัพยากรเครื่องเยอะจึงอาจทำให้คอมพิวเตอร์บางเครื่องทำงานช้าลงมากจนถึงค้างไป

          การโจมตีนี้ปิดพอร์ต 445 เพื่อป้องกันการติดไวรัสซ้ำด้วยพอร์ตเดียวกัน แต่ความโชคดีในความโชคร้ายก็คือ คอมพิวเตอร์ที่ติดไวรัสตัวนี้จะไม่ได้โปรแกรมเรียกค่าไถ่ WannaCry เล่นงาน

ความรุนแรงของ WannaCryptor

          ณ วันที่โปรแกรมเรียกค่าไถ่ WannaCry ระบาด ระบบ ESET LiveGrid® ได้รับรายงานมากจากผู้ใช้มากกว่า 66,000 ครั้งเกี่ยวกับการโจมตีของ WannaCryptor

การโจมตีของ WannaCry มีเป้าหมายหลักเป็นรัสเซีย ตามมาด้วยยูเครนและไต้หวัน

          ความโด่งดังของ WannaCry ทำให้แฮกเกอร์หลายสำนักในการแพร่กระจายไวรัสอีกครั้ง อย่าง Nemucod อีกช่องทางการแพร่กระจายโปรแกรมเรียกค่าไถ่ก็มีปริมาณมากขึ้น 

          นอกจากนี้ยังมีโปรแกรม WannaCry ปลอมที่เพียงเอาหน้าตาของโปรแกรมเรียกค่าไถ่ WannaCry มาใช้โดยไม่มีความสามารถในการเข้ารหัสไฟล์

วิธีป้องกันตัว

  1. ช่องโหว่ EternalBlue สามารถปิดได้ เพียงผู้ใช้อัพเดตระบบปฏิบัติการในเครือของ Microsoft
  2. ใช้โปรแกรมรักษาความปลอดภัยที่มีฟังก์ชันในการป้องกันไวรัสและมัลแวร์หลายชั้นเพื่อป้องกันการโจมตีในอนาคต
  3. สำรองข้อมูลสำคัญไว้ในฮาร์ดดิสก์ที่ไม่มีการเชื่อมต่ออินเตอร์เน็ต
  4. ในกรณีที่ผู้ใช้เผชิญกับโปรแกรมเรียกค่าไถ่ เราแนะนำไม่ให้จ่ายเงินค่าไถ่ เพราะนั่นเท่ากับเราเป็นผู้สนับสนุนกิจกกรมของแฮกเกอร์ และอีกเหตุก็คือเราไม่อาจทราบได้ว่ารหัสที่ได้มาจากแฮกเกอร์จะสามารถถอดรหัสไฟล์ได้จริงหรือไม่



Author: ONDREJ KUBOVIČ

Source: https://www.welivesecurity.com/2017/05/17/wannacryptor-wasnt-the-first-to-use-eternalblue/

Translated by: Worapon H.



ขอบคุณที่มา : blog.eset.co.th

รูปภาพ: 
เนื้อหาเกริ่นนำ: 

จากการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry หรือ WannaCryptor ที่ใช่ช่องโหว่ของ EternalBlue ในการแพร่กระจาย ซึ่ง EternalBlue เป็นของ NSA ที่ถูกกลุ่มแฮกเกอร์ที่ชื่อว่า The Shadow Broker ขโมยออกมา ในช่วงเดือนเมษายนที่ผ่านมากระบวนการเดียวกันถูกแฮกเกอร์นำไปใช้ แต่ไม่ได้ใช้เพื่อเข้ารหัสไฟล์ ซึ่งเป็นเวลาไม่กี่วันหลังจาก EternalBlue หลุดออกมาจาก NSA ทาง ESET สามารถตรวจจับไฟล์นี้ได้ในชื่อ Win32/CoinMiner.AFR และ Win32/CoinMiner.AFU   ปริมาณสูงสุดที่ทาง ESET ตรวจจับได้เป็นช่วงเวลาหนึ่งชั่วโมงก่อนการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry โดยส่วนมากจับได้ในประเทศรัสเซีย, ไต้หวัน และยูเครน

วันที่: 
จันทร์, มิถุนายน 26, 2017 - 13:42