Malware Top Stories

WannaCry / Wana Decryptor / WanaCryptor ข้อมูลและบทวิเคราะห์เชิงเทคนิค

วิเคราะห์เชิงลึกของ WannaCry Ransomware แบบหัวจรดเท้า

ตอนนี้ทุกคนแทบจะรู้จักโปรแกรมเรียกค่าไถ่ WannaCry / WanaCryptor ถึงแม้ไม่รู้ว่ามันคืออะไรแต่ก็คงเคยได้ยินชื่อ งานเปิดตัวของ WannaCry เริ่มต้นที่สเปน ด้วยการโจมตีองค์กรโทรคมนาคม Telefonica ของสเปน ตามด้วยมหาวิทยาลัยในจีน และกระทรวงมหาดไทยของรัสเซีย ในขณะเดียวกับที่ทาง BleepingComputer กำลังวิเคราะห์การแพร่ระบาด ผมรู้สึกว่านี่เป็นโอกาสที่ดีในการเจาะลึกการทำงานของ WannaCryptor เพื่อเป็นประโยชน์ต่อบุคคลที่ทำงานในฝ่าย IT

แต่ ณ ตอนนี้ยังไม่มีใครสามารถถอดรหัสเจ้า WannaCryptor ได้ แต่ถ้าคุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับ WanaCryptor Ransomware ทาง BleepingComputer มีฟอรั่มเกี่ยวกับมัลแวร์ชนิดนี้ให้ติดตาม WanaCryptor Wana Decryptor Help & Support Topic

จริงๆแล้วโปรแกรมเรียกค่าไถ่ตัวนี้ชื่ออะไร WannaCry, WannaCryptor, WanaCryptor หรือ Wana Cryptor?

ชื่อที่แฮกเกอร์ผู้พัฒนาตั้งให้มัลแวร์ตัวนี้ก็คือ WanaCryptor แต่ผู้คนและสื่อก็ตั้งชื่อให้มันไปต่างๆนาๆ นั่นอาจเป็นเพราะว่าหน้าจอของโปรแกรมถอดรหัสมีชื่อว่า Wana Decryptor 2.0 ปรากฏอยู่บนหน้าจอของเครื่องที่ถูกล็อค หรือเป็นเพราะนามสกุลไฟล์ที่ถูกเข้ารหัสเป็น WNCRY

แล้วเราสมควรเรียกมันว่าอะไร? ส่วนตัวผมเรียกว่า WanaCryptor แต่สำหรับคนอื่นๆแล้ว พวกเขามักค้นหาคำว่า Wana Decryptor ซะมากกว่าเพราะคนมักจดจำอะไรที่พบเห็นในครั้งแรก เพราะฉะนั้นเราตกลงกันว่าจะเรียกมันว่า WanaDecryptor หรือ WannaCry ละกัน

WannaCry แพร่กระจายอย่างไร?

WannaCry ถูกพบครั้งแรกด้วย MalwareHunterTeam ซึ่งโดยปกติแล้วโปรแกรมเรียกค่าไถ่หรือ Ransomware แพร่กระจายได้ค่อนข้างยาก แต่ WannaCry ทำลายข้อจำกัดนี้ โดยการแพร่กระจายไปทั่วทั้งโลกด้วยการโจมตีช่องโหว่ที่เรียกว่า ETERNALBLUE ที่รั่วไหลจาก NSA เมื่อเดือนที่ผ่านมา โดยกลุ่มแฮกเกอร์ The Shadow Brokers

เหตุผลที่ WannaCry ไปได้ไกลและรวดเร็วก็คือความสามารถในการแพร่กระจายเหมือนกับ Worm ผ่าน Windows Servers ที่มีพอร์ต Samba TCP port 445 เป็นพอร์ต SMB ที่สามารถใช้ ETERNALBLUE เจาะเข้าคอมพิวเตอร์ได้ และเมื่อเจาะเข้าไปสำเร็จมันก็จะคัดลอกตัวเองและแพร่กระจายไปยังเครื่องอื่น

เมื่อ Worm ของ WannaCry เข้าไปในเครื่องคอมพิวเตอร์มันจะเชื่อมต่อไปยัง iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com และเมื่อมันเชื่อมต่อสำเร็จ มันจะทำการทำลายตัวเองด้วย Kill Switch เพื่อไม่ทิ้งร่องรอยเอาไว้ แต่ในทางกลับกันผู้เชี่ยวชาญกลับเจอเจ้า Kill Switch ตัวนี้และใช้เจ้า Kill Switch ตัวนี้เพื่อหยุดการแพร่กระจายของ WannaCry ไว้ได้ ข้อมูลเพิ่มเติมเกี่ยวกับ Kill Switch สามารถอ่านได้ที่ Wana Decryptor Ransomware Outbreak Temporarily Stopped by “Accidental Hero”

ถ้าส่วนประกอบของ Worm ไม่สามารถเชี่อมต่อกับโดเมนดังกล่าว มันจะ Unzip ไฟล์ที่บรรจุโปรแกรมเรียกค่าไถ่เอาไว้ และเริ่มเข้ารหัสไฟล์ในเครื่องของเหยื่อ สำหรับข้อมูลการเข้ารหัสเราจะพูดถึงในช่วงต่อไป

Worm ใช้ประโยชน์จากช่องโหว่ของ SMBv1 ซึ่งทาง Microsoft ได้อัพเดต Patch แก้ไข MS17-010 เราขอแนะนำให้ทุกท่านรีบอัพเดตโดยด่วน เพราะถึงแม้ WannaCry จะหยุดแพร่กระจายแล้วแต่ทางเราคาดการณ์ว่าอาจจะมี WannaCry เวอร์ชั่นใหม่แบบไม่มี Kill Switch ก็เป็นได้

Kill Switch ที่ทุกคนพูดถึงคืออะไร?

Kill Switch เป็นเหมือนสวิทช์ที่แฮกเกอร์ใช้เวลาโค้ดอันตรายของเขาไม่สามารถควบคุมได้ เพื่อทำลายตัวไวรัสแบบถอนรากถอนโคน หรืออีกกรณีหนึ่งก็เพื่อเป็นการทำลายหลักฐานหลังจากแทรกซึมเข้าเครื่องผู้ใช้และทำภารกิจเสร็จแล้ว Kill Switch ของ WannaCry คือโดเมนที่เวิร์มใช้เมื่อเริ่มการเชื่อมต่อ และเมื่อไหร่ที่เวิร์มเชื่อมต่อกับเว็บไซต์ โปรแกรมจะถูกปิดและไม่แพร่กระจายหรือทำล็อคเครื่องคอมพิวเตอร์

เมื่อวันที่ 12 มีนาคม Kill Switch ถูกตั้งไว้ที่โดเมน iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com หลังจากนั้นก็พบ Kill Switch อีกมาก แต่ไม่ได้มาจากผู้พัฒนาเพียงคนเดียว เพราะอาจมีแฮกเกอร์คนอื่นๆใช้งานมันอยู่หรือมีนักวิจัยกำลังวิเคราะห์การทำงานของมันอยู่ก็เป็นได้

โอกาสในการถอดรหัส WannaCry

ณ ตอนนี้เราอาจได้ยินข่าวว่ามีโปรแกรมที่สามารถถอดรหัสเจ้า WannaCry ได้ ซึ่งเป็นที่พูดถึงกันอย่างมากบนเว็บไซต์ยอดนิยมของแฮกเกอร์ หรือ GitHub โปรแกรมตัวนั้นชื่อว่า WanaKiwi โดยโปรแกรมนี้จะก๊อปปี้รหัสอีกชุดจากหน่วยความจำที่ WannaCry ใช้ แต่มีเงื่อนไขว่าคอมพิวเตอร์จะต้องห้ามรีบูทหลังจากไฟล์ถูกเข้ารหัส เพราะส่วนของหน่วยความจำจะถูกข้อมูลอื่นทับไป

แต่โอกาสจริงๆที่จะสามารถถอดรหัสได้ ณ ตอนนี้ยังคงน้อยอยู่ แต่ถ้าคุณหรือคนรู้จักขอบคุณโดนเจ้า WannaCry เล่นงาน ลองดูก็คงไม่เสียหายอะไร

WannaCry เข้ารหัสคอมพิวเตอร์ได้อย่างไร?

เมื่อคอมพิวเตอร์ติดมัลแวร์ WannaCry ตัวติดตั้งจะแตกไฟล์ที่ฝังเอาไว้ ซึ่งเป็นไฟล์ที่จำเป็นต้องใช้ของ WannaCryptor

embedded-zip

ต่อมา WanaCryptor loader จะแตกไฟล์ในโฟรเดอร์เดิมแล้วเริ่มทำกิจกรรมขั้นต้น โดยแตกไฟล์ข้อความเรียกร้องค่าไถ่ตามภาษาของเจ้าของเครื่อง ในโฟล์เดอร์ msg โดยภาษามีดังนี้:

Screen Shot 2560-05-23 at 1.37.14 PM

แล้ว WananCryptor จะดาวน์โหลด TOR Client จาก https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip และแตกไฟล์ลงบนโฟล์เดอร์ TaskData และ TOR Client ตัวนี้เคยเชื่อมต่อกับเซิร์ฟเวอร์ของ Ransomware C2 โดเมน gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion, และ cwwnhwhlz52maqm7.onion

เข้าสู่ขั้นตอนเตรียมการ เพื่อที่โปรแกรมเรียกค่าไถ่จะได้เข้ารหัสไฟล์ที่มากที่สุด WannaCryptor จะออกคำสั่ง icacls. /grant Everyone:F /T /C /Q เพื่อให้อนุญาตไฟล์ในโฟล์เดอร์โปรแกรมเรียกค่าไถ่ และตัดการเชื่อมต่อกับฐานข้อมูลเซิร์ฟเวอร์และอีเมล์เซิร์ฟเวอร์เพื่อที่จะเข้ารหัสไฟล์ในอีเมล์ด้วย

คำสั่งที่ใช้เพื่อตัดการเชื่อมต่อกับฐานข้อมูลและเซิร์ฟเวอร์

Screen Shot 2560-05-23 at 2.03.47 PM

แล้วก็ถึงเวลาที่ Wana Decryptor พร้อมที่จะเข้ารหัสไฟล์ เมื่อเริ่มเข้ารหัสไฟล์ WanaDecryptor จะสแกนไฟล์บนไดร์ฟตามนามสกุลไฟล์ดังนี้:

Screen Shot 2560-05-23 at 2.16.03 PM

หลังจากที่เข้ารหัสไฟล์ จะเพิ่มนามสกุล .WNCRY เพื่อแสดงว่าไฟล์นั้นๆโดนเข้ารหัสแล้ว

file-marker

ยกตัวอย่างไฟล์ชื่อ test.jpg เมื่อเข้ารหัสเสร็จเรียบร้อยจะได้ชื่อใหม่ว่า test.jpg.WNCRY

encrypted-files

Screen Shot 2560-05-23 at 2.26.46 PM

ภายในแต่ละโฟล์เดอร์จะมีไฟล์ @Please_Read_me@.txt เป็นข้อความเรียกร้องค่าไถ่ และไฟล์ @WanaDecryptor@.exe

ในที่สุด WanaCryptor จะออกคำสั่งลบ Shadow Volume Copies เพื่อไม่ใช้ System Recovery หรือ System Restore ด้วยคำสั่ง:

Screen Shot 2560-05-23 at 2.39.49 PM

โดยคำสั่งนี้จำเป็นต้องมีสิทธิของผู้ดูแลระบบ ผู้ใช้จะได้เห็นหน้าต่าง User Account Control อันนี้:

uac-prompt

ท้ายที่สุด Installer จะเปิดไฟล์ @WanaDecryptor@.exe เพื่อเปิดหน้าล็อคสกรีน Wana Decryptor 2.0 หน้าจอนี้จะบอกรายละเอียดการชำระเงิน และสามารถเลือกภาษาได้ด้านบนขวาของจอ ถ้าคุณได้เห็นหน้าจอนี้แสดงว่าคอมพิวเตอร์ของคุณโดนมัลแวร์เล่นงานเข้าแล้ว

wana-decrypt0r-2_0

เมื่อคุณคลิกปุ่ม Check Payment โปรแกรมเรียกค่าไถ่จะเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ที่ๆใช้ชำระเงิน และถ้าการชำระเงินเสร็จสิ้นโปรแกรมเรียกค่าไถ่จะถอดรหัสให้ แต่ถ้าไม่จ่ายจะขึ้นหน้าจอเหมือนรูปด้านล่าง

check-for-payment

มีที่อยู่ของ bitcoin ของโปรแกรมเรียกค่าไถ่ WannaCryptor 3 อัน:

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw, และ 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn และตอนนี้อาจมีที่อยู่อื่นๆ ตามมาอีก

แต่ทางผู้พัฒนาก็มีส่วนของ Contact Us มาให้ส่งข้อความถึงผู้พัฒนา Ransomware

contact-form

โปรแกรมเรียกค่าไถ่ยังคงเปลี่ยนหน้า Desktop ตามรูปด้านล่างwallpaper

ต่อมาเป็นหน้าจอเรียกค่าไถ่ที่ทิ้งไว้บน Desktop เพื่อให้ข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมเรียกค่าไถ่

ransom-note-txt

อย่างที่บอกไว้ก่อนหน้านี้ โปรแกรมเรียกค่าไถ่ไม่สามารถถอดรหัสได้ฟรีๆ ทางที่ดีที่สุดในการรับมือก็คือการสำรองข้อมูล และถ้าคุณไม่ได้ทำลองใช้ Shadow Explorer เผื่อโปรแกรมไม่ได้ลบ Shadow Volume Copies ถ้าคุณไม่ได้กด Yes ตอนโปรแกรมถาม User Account Control ก็อาจมีหวัง

อ่าน Guideline วิธีการกู้ไฟล์จาก Shadow Volume Copies ที่: How to recover files and folders using Shadow Volume Copies

ถ้าหากคุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมเรียกค่าไถ่ของ BleepingComputer ติดตามได้ที่ WanaCryptor Wana Decryptor Help & Support Topic

วิธีการป้องกัน Wana Decryptor

นอกจากการอัพเดตโปรแกรมรักษาความปลอดภัยให้เป็นเวอร์ชั่นล่าสุด และอัพเดตความปลอดภัยของระบบปฏิบัติการ ถ้าหากคุณไม่สามารถอัพเดตตามปกติได้ คุณสามารถดาวน์โหลด Microsoft Security Bulletin MS17-010 นักวิจัยความปลอดภัยคุณ Bart แนะนำว่าให้ปิดบริการ SMBv1 สำหรับระบบปฏิบัติการรุ่นเก่าๆ

ทาง Microsoft ปล่อยอัพเดตให้กับ Windows ที่ทาง Microsoft บอกว่าเลิกสนับสนุนไปแล้วอย่าง Windows XP, Windows 8 และ Windows Server 2003 สามารถดาวน์โหลดได้ที่นี่:  Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r

IOCs

Hashes:

Screen Shot 2560-05-23 at 4.30.01 PM

Files associated with Wana Decrypt0r / WanaCrypt0r:

Screen Shot 2560-05-23 at 4.31.57 PM

Registry entries associated with Wana Decrypt0r / WanaCrypt0r:

Screen Shot 2560-05-23 at 4.33.25 PM

Network Communication from Wana Decrypt0r / WanaCrypt0r:

Screen Shot 2560-05-23 at 4.34.22 PM

Known Kill Switches:

Screen Shot 2560-05-23 at 4.35.12 PM

Wana Decrypt0r / WanaCrypt0r Lock Screen Text:

Screen Shot 2560-05-23 at 4.36.08 PM

Wana Decrypt0r / WanaCrypt0r Ransom Note Text:

Screen Shot 2560-05-23 at 4.37.05 PM

Encrypted File Extensions:

Screen Shot 2560-05-23 at 4.37.49 PM

Author: Lawrence Abrams ผู้ก่อตั้งเว็บไซต์ Bleeping Computer
Source: https://www.bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-info-and-technical-nose-dive/
Translated by: Worapon H.

%d bloggers like this: