เมื่อวันศุกร์ที่ 12 พ.ค. ที่ผ่านมาถือเป็นวิกฤตการณ์ที่หนักหน่วงมากในหลายองค์กร อันเนื่องมาจากการแพร่กระจายตัวเองอย่างรวดเร็วของแรนซั่มแวร์ Wanna Decrypter 2.0 ที่เริ่มจากการโจมตีโรงพยาบาลทั่วทั้งอังกฤษ ก่อนที่จะขยายวงการโจมตีไปทั่วโลก

การโจมตีครั้งนี้พบว่ามีการใช้ประโยชน์จากช่องโหว่บนวินโดวส์ ที่ไมโครซอฟท์ได้ออกแพทช์มาแล้วตั้งแต่เมื่อมีนาคมที่ผ่านมา ช่องโหว่นี้อยู่บนเซอร์วิสที่ชื่อ Windows Server Message Block (SMB) ที่คอมพิวเตอร์ที่ใช้วินโดวส์นั้นใช้สำหรับแชร์ไฟล์และเครื่องพิมพ์ทั่วทั้งเครือข่ายขององค์กร โดยไมโครซอฟท์ได้อธิบายปัญหานี้ไว้ในหัวข้อด้านความปลอดภัยรหัส MS17-010

SophosLabs กล่าวว่า แรนซั่มแวร์นี้ ซึ่งรู้จักกันในชื่อ WannaCry, WCry, WanaCrypt และ WanaCrypt0r นั้น จะเข้ารหัสไฟล์ของเหยื่อ แล้วเปลี่ยนนามสกุลไฟล์ให้อยู่ในรูป .wnry, .wcry, .wncry และ .wncrypt

Sophos ได้ปกป้องลูกค้าจากอันตรายนี้ โดยตรวจจับมัลแวร์เหล่านี้ภายใต้ชื่อ Troj/Ransom-EMG, Mal/Wanna-A, Troj/Wanna-C, และTroj/Wanna-D ซึ่งลูกค้าที่ใช้ Intercept X จะพบว่าแรนซั่มแวร์นี้ถูกสกัดกั้นโดย CryptoGuard พร้อมทั้งมีการเปิดเผยรายละเอียดในรูปของ Knowledge Base Article (KBA) ให้ลูกค้าอีกด้วย

NHS ยอมรับว่าโดยโจมตี

National Health Service hospitals (NHS) ในสหราชอาณาจักร ได้รับผลกระทบอย่างรุนแรงจากการโจมตีระยะแรก โดยทั้งระบบโทรศัพท์และบริการด้านไอทีอื่นๆ ต่างถูกกักไว้เรียกค่าไถ่ ทางฝ่ายไอทีของ NHS ได้โพสต์ประกาศว่า หน่วยงานในสังกัดหลายแห่งโดนแรนซั่มแวร์โจมตี โดยเชื่อว่าเป็นมัลแวร์ชื่อ Wanna Decryptor ซึ่งปัจจุบันยังไม่มีหลักฐานชี้ชัดว่าข้อมูลของผู้ป่วยถูกเข้าถึงด้วยหรือเปล่า แต่ก็กำลังทำงานร่วมกับศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติอย่างใกล้ชิด และจะแจ้งความคืบหน้าอีกครั้งโดยเร็วที่สุด

ซึ่งทางศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติ, กระทรวงสาธารณสุข, และ NHS ของสหราชอาณาจักร ต่างทำงานอย่างหนักตั้งแต่เมื่อวันศุกร์ที่ผ่านมาเพื่อช่วยเหลือโรงพยาบาลที่ได้รับผลกระทบ รวมถึงระบบไอทีที่โดนเล่นงานจนต้องปิดการใช้งานเพื่อจำกัดบริเวณการแพร่กระจายของแรนซั่มแวร์

คำแนะนำเพิ่มเติมจาก Sophos

ต่อไปนี้เป็นข้อมูลอัพเดตสายพันธุ์แรนซั่มแวร์ที่เกี่ยวข้องกับการโจมตีครั้งนี้ ที่ทาง Sophos ได้ให้การปกป้องไว้ครบถ้วนแล้ว:

ชื่อมัลแวร์รหัส IDE ของ Sophosได้รับการปกป้องแล้วตั้งแต่
Troj/Ransom-EMGcerb-ama.ide12 พฤษภาคม 2560
Mal/Wanna-Awanna-d.ide12 พฤษภาคม 2560
Troj/Wanna-Cwanna-d.ide12 พฤษภาคม 2560
Troj/Wanna-Dwanna-d.ide12 พฤษภาคม 2560
HPMal/Wanna-Apdfu-bfo.ide13 พฤษภาคม 2560
Troj/Wanna-Erans-emh.ide13 พฤษภาคม 2560
Troj/Wanna-Grans-emh.ide13 พฤษภาคม 2560
Troj/Dloadr-EDCchisb-qv.ide13 พฤษภาคม 2560
Troj/Agent-AWDSchisb-qv.ide13 พฤษภาคม 2560
Troj/Wanna-Hwanna-h.ide14 พฤษภาคม 2560
Troj/Wanna-Iwanna-i.ide14 พฤษภาคม 2560
Troj/Ransom-EMJwanna-i.ide14 พฤษภาคม 2560
Troj/Wanna-Jemote-cb.ide14 พฤษภาคม 2560
Troj/Wanna-Kemote-cb.ide14 พฤษภาคม 2560
ดังที่กล่าวไว้ข้างต้น Sophos ได้อัพเดตข้อมูลเพื่อปกป้องลูกค้าเรียบร้อยแล้ว ผู้ที่ใช้งานทั้ง Intercept X และ EXP ไม่จำเป็นต้องทำอะไรเพิ่มเติม ส่วนผู้ที่ใช้โซลูชั่น Sophos Endpoint Protection และ Sophos Home ควรอัพเดตให้เป็นรุ่นล่าสุดในทันที
ชื่อผลิตภัณฑ์การดำเนินการที่จำเป็น
Sophos Intercept Xไม่มี
Sophos EXPไม่มี
Sophos Endpoint Protectionควรอัพเดตทันที
Sophos Homeควรอัพเดตทันที

วิธีป้องกันอันตรายนี้

เราแนะนำให้ผู้ที่ยังไม่ได้ทำดำเนินการอะไร ให้ทำดังต่อไปนี้:

  • ติดตั้งแพทช์บนระบบของคุณ แม้ว่าคุณจะยังใช้รุ่นที่ไม่ได้มีการสนับสนุนจากผู้ผลิตแล้ว อันได้แก่ วินโดวส์ XP, วินโดวส์ 8,หรือวินโดวส์เซิร์ฟเวอร์ 2003 โดยแนะนำให้อ่านคำแนะนำสำหรับลูกค้าของไมโครซอฟท์เรื่องการโจมตีจาก WannaCrypt ที่https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  • อ่านคำแนะนำของ Sophos บน Knowledge Base Article เกี่ยวกับแรนซั่มแวร์ Wanna Decrypt0r 2.0 ที่https://community.sophos.com/kb/en-us/126733
  • สำรองข้อมูลเป็นประจำ และจัดเก็บข้อมูลที่สำรองล่าสุดไว้ข้างนอกองค์กร เนื่องจากมีหลากหลายช่องทางมากนอกจากแรนซั่มแวร์ที่ไฟล์สำรองไว้จะเป็นอันตราย ไม่ว่าจะเป็นอัคคีภัย, น้ำท่วม, โดนจารกรรม, แล็ปท็อปตกพื้น, หรือแม้แต่การกดลบโดยไม่ได้ตั้งใจ คุณควรเข้ารหัสข้อมูลที่สำรองไว้ เพื่อไม่ต้องกังวลว่าข้อมูลดังกล่าว หรืออุปกรณ์ที่มีข้อมูลที่สำรองไว้จะตกไปอยู่ในมือของผู้ไม่ประสงค์ดี
  • พึงระวังการเปิดไฟล์แนบที่น่าสงสัย ยังเป็นคำแนะนำพื้นฐานที่ควรปฏิบัติอย่างแข็งแกร่ง ในการที่ไม่ควรเปิดไฟล์เอกสารใดๆ จนกว่าจะแน่ใจว่าจำเป็นต้องใช้งานไฟล์นั้นจริงๆ ซึ่งท่าคุณยังสงสัยที่มาของไฟล์นั้นอยู่ก็ไม่ควรเปิดขึ้นมาเด็ดขาด
  • เลือกใช้โซลูชั่นความปลอดภัยอย่าง Sophos Intercept X และ Sophos Home Premium Beta สำหรับผู้ใช้ตามบ้าน (ไม่ใช่ลูกค้าธุรกิจ) ที่สามารถหยุดยั้งแรนซั่มแวร์ตั้งแต่ต้นเหตุ ด้วยการสกัดกั้นการเข้ารหัสไฟล์ที่ไม่ได้รับอนุญาต