Clear
Lead Graphic Papers

แจ้งเตือน มัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่ Bad Rabbit แพร่โดยปลอมเป็น Adobe Flash Update และผ่านช่องทาง SMB

วันที่ประกาศ: 30 ตุลาคม 2560
ปรับปรุงล่าสุด: 30 ตุลาคม 2560
เรื่อง: แจ้งเตือน มัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่ Bad Rabbit แพร่โดยปลอมเป็น Adobe Flash Update และผ่านช่องทาง SMB
ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Google+

สถานการณ์การแพร่ระบาด

เมื่อช่วงปลายเดือนตุลาคม มีรายงานการแพร่ระบาดมัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่ Bad Rabbit โดยปัจจุบันพบการแพร่ในระบาดในประเทศแถบยุโรปตะวันออก เช่น รัสเซีย ตุรกี และยูเครน เป็นต้น สำหรับประเทศไทยนั้น ไทยเซิร์ตยังไม่พบรายงานเกี่ยวกับการแพร่ระบาดแต่อย่างใด

มัลแวร์ดังกล่าวแพร่กระจายผ่านลิงก์อันตราย เมื่อคลิกจะส่งผลให้ดาวน์โหลดโปรแกรมปลอม หลอกว่าเป็น Adobe Flash Update ซึ่งหากผู้ใช้หลงกลคลิกเปิดไฟล์ ก็จะส่งผลให้มัลแวร์ทำงานเข้ารหัสลับไฟล์ที่อยู่ในเครื่อง จากนั้นจึงแสดงข้อความเรียกค่าไถ่เป็นจำนวน 0.1 bitcoins หรือเป็นเงินไทยประมาณ 20,000 บาท มัลแวร์ดังกล่าวยังสามารถแพร่กระจายเครื่องที่อยู่ในเครือข่ายเดียวกันผ่าน SMB เครื่องที่ตกเป็นเป้าหมายในการโจมตีครั้งนี้คือเครื่องที่ใช้ Windows xp ถึง Windows 10

การทำงานของมัลแวร์ Bad Rabbit

มัลแวร์เรียกค่าไถ่ Bad Rabbit มีการทำงานคล้ายกับ มัลแวร์สายพันธ์ Petya [1] ความแตกต่างคือ จะมีการอาศัยช่องทางในการเผยแพร่ผ่านเว็บไซต์อันตราย และโจมตีผ่านเครื่องมือเจาะระบบของ NSA ชื่อ EternalRomance [2] (สามารถศีกษาการทำงานของมัลแวร์ Petya ได้จาก [3]) ลักษณะการทำงานจะไม่ใช่การเข้ารหัสลับไฟล์ข้อมูลเหมือนมัลแวร์เรียกค่าไถ่ทั่วไป แต่จะเข้ารหัสลับ Master File Table (MFT) ของพาร์ทิชัน ซึ่งเป็นตารางที่ใช้ระบุตำแหน่งชื่อไฟล์และเนื้อหาของไฟล์ในฮาร์ดดิสก์ ทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลในฮาร์ดดิสก์ได้

เครื่องผู้ใช้งานที่ติดมัลแวร์เรียกค่าไถ่ Bad Rabbit จะไม่สามารถเปิดระบบปฏิบัติการขึ้นมาใช้งานได้ตามปกติ โดยจะปรากฏหน้าจอเป็นข้อความสีแดงบนพื้นหลังสีดำตามรูปที่ 1 ระบุให้เหยื่อเข้าไปยัง หน้าเว็บไซต์ของผู้ประสงค์ร้ายผ่านเครือข่าย Tor (ตัวอย่าง caforssztxqzf2nm[.]onion) เพื่อชำระเงินเรียกค่าไถ่ตามรูปที่ 2


รูปที่ 1 ตัวอย่างหน้าจอเครื่องคอมพิวเตอร์ที่ติดมัลแวร์เรียกค่าไถ่ Bad Rabbit



รูปที่ 2 ตัวอย่างเว็บไซต์ที่ให้ผู้ใช้งานชำระเงินเรียกค่าไถ่


หลังจากที่เครื่องคอมพิวเตอร์ติดมัลแวร์ Bad Rabbit ไฟล์กว่า 113 ประเภทจะถูกเข้ารหัสลับ ซึ่งเมื่อเทียบมัลแวร์ Petya แล้ว มีจำนวนมากกว่า 48 ประเภท โดยนามสกุลไฟล์ที่ถูกเข้ารหัสลับได้แก่
.3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip

ช่องทางการแพร่กระจาย

นักวิจัยด้านความมั่นคงปลอดภัยพบว่ามัลแวร์ Bad Rabbit สามารถแพร่กระจายผ่านหลายช่องทาง ตามรายละเอียดดังนี้
การแพร่กระจายผ่านเว็บไซต์อันตราย ซึ่งเมื่อผู้ใช้งานได้เข้าเว็บไซต์ดังกล่าว จะถูกหลอกให้ดาวน์โหลดไฟล์ที่เป็นมัลแวร์โดยอ้างว่าเป็นไฟล์ Adobe Flash Update ซึ่งหากผู้ใช้หลงกลดาวน์โหลดและดับเบิลคลิกเปิดไฟล์ดังกล่าวจะเป็นการติดตั้งมัลแวร์ลงบนเครื่องของผู้ใช้งานเอง

รูปที่ 3 ตัวอย่างเว็บไซต์อันตราย ที่หลอกให้ผู้ใช้ดาวน์โหดลไฟล์มัลแวร์[4]

หลังจากมัลแวร์ Bad Rabbit ถูกติดตั้งยังเครื่องของผู้ใช้แล้ว มัลแวร์สามารถแพร่กระจายในเครือข่ายผ่านบริการ SMB ด้วยการเดาสุ่มบัญชีผู้ใช้และรหัสผ่านที่คาดเดาได้ง่าย หากล็อกอินสำเร็จ มัลแวร์จะสั่งเข้ารหัสลับไฟล์ที่เครื่องปลายทาง

รายการบัญชีผู้ใช้ที่มัลแวร์ใช้ในการเดาสุ่มล็อกอิน
  • asus
  • backup
  • boss
  • buh
  • ftp
  • ftpadmin
  • ftpuser
  • Guest
  • manager
  • nas
  • nasadmin
  • nasuser
  • netguest
  • operator
  • other user
  • rdp
  • rdpadmin
  • rdpuser
  • root
  • superuser
  • support
  • Test
  • User
  • User1
  • user-1
  • work

รายการรหัสผ่านที่มัลแวร์ใช้ในการเดาสุ่มล็อกอิน
  • 111111
  • 123
  • 123321
  • 1234
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 123456789
  • 1234567890
  • 321
  • 55555
  • 777
  • 77777
  • Admin
  • Admin123
  • admin123Test123
  • Administrator
  • administrator
  • Administrator123
  • administrator123
  • adminTest
  • god
  • Guest
  • guest
  • Guest123
  • guest123
  • love
  • password
  • qwe
  • qwe123
  • qwe321
  • qwer
  • qwert
  • qwerty
  • qwerty123
  • root
  • secret
  • sex
  • test
  • test123
  • uiop
  • User
  • user
  • User123
  • user123
  • zxc
  • zxc123
  • zxc321
  • zxcv

นอกจากนี้นักวิจัยด้านความมั่นคงปลอดภัยยังพบการแพร่กระจายมัลแวร์ Bad Rabbit ผ่านเครื่องมือเจาะระบบของ NSA ที่ชื่อ EternalRomance ซึ่งเป็นการโจมตีผ่านช่องโหว่ ระบบ SMBv1 (CVE-2017-0145 ) ใน Windows ทำให้เครื่องคอมพิวเตอร์ที่ยังไม่ได้อัปเดตแพตช์แก้ไขช่องโหว่หรือเปิดให้สามารถเชื่อมต่อบริการ SMBv1 ได้จากเครือข่ายภายนอก มีโอกาสที่จะตกเป็นเหยื่อได้ และมัลแวร์ Bad Rabbit ยังสามารถแพร่กระจายผ่านเครือข่ายโดยอาศัย Windows Management Instrumentation Command-line (WMIC) ซึ่งเป็นเครื่องมือที่สามารถสั่งให้เครื่องคอมพิวเตอร์อื่นในเครือข่ายรันโปรแกรมใดๆ ก็ได้ จึงส่งผลให้เครื่องที่ถึงแม้จะติดตั้งอัปเดตแพตช์ล่าสุดแล้ว แต่อยู่ในระบบเครือข่ายเดียวกับผู้ที่ติดมัลแวร์ Bad Rabbit มีโอกาสที่จะถูกโจมตีได้ด้วย [5][6]

ข้อแนะนำในการป้องกัน

  1. ไม่ติดตั้งซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ โดยอาจเลือกดาวน์โหลดจากเว็บไซต์ของผู้พัฒนาโดยตรง
  2. ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 (CVE-2017-0145 ) จาก Microsoft
  3. หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การปิดกั้นพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา
  4. สำหรับครั้งแรกก่อนมีการเปิดใช้งานเครื่องคอมพิวเตอร์ ให้ตัดการเชื่อมต่อทางเครือข่ายก่อน (LAN และ WiFi) จากนั้นเปิดเครื่องคอมพิวเตอร์เพื่อติดตั้งแพตซ์ (ข้อ 2) หรือตั้งค่าปิดการใช้งาน SMBv1 (ข้อ 3) และทำการรีสตาร์ทเครื่องคอมพิวเตอร์อีกครั้ง
  5. หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การปิดกั้นพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา
  6. ตั้งค่ารหัสผ่านของบัญชีผู้ใช้ ให้มีความยากต่อการคาดเดา สามารถศึกษาแนวทางการตั้งค่ารหัสผ่านได้จาก (https://www.thaicert.or.th/papers/general/2012/pa2012ge005.html)
  7. พิจารณาจำกัดการใช้งานบัญชีผู้ใช้ที่ได้สิทธิ์ระดับผู้ดูแลระบบ (Administrator) เพื่อลดความเสี่ยงและความเสียหาย
  8. อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นได้ได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ
  9. ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสจำนวนหนึ่ง (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ Bad Rabbit สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว
  10. สามารถศึกษาเพิ่มเติมถึงวิธีการป้องกันและรับมือมัลแวร์เรียกค่าไถ่จากคลิปไทยเซิร์ต (https://www.facebook.com/thaicert/videos/657180994430037/)

ข้อแนะนำในการแก้ไขหากตกเป็นเหยื่อ

  1. หากใช้งานเครื่องคอมพิวเตอร์แล้วพบว่ามีบางไฟล์ที่เปิดแล้วเนื้อหาของไฟล์ไม่สามารถอ่านได้ตามปกติ หรือหาก restart เครื่องแล้วพบหน้าจอติดมัลแวร์เรียกค่าไถ่ ให้ตัดการเชื่อมต่อเครือข่าย (ถอดสาย LAN, ปิด Wi-Fi) และรีบปิดเครื่องคอมพิวเตอร์ จากนั้นติดต่อผู้ดูแลระบบ
  2. แจ้งเตือนผู้ดูแลระบบในหน่วยงานว่ามีเครื่องคอมพิวเตอร์ตกเป็นเหยื่อ เพื่อตรวจสอบและป้องกันการแพร่ระบาด
  3. หากสามารถปิดเครื่องได้ทันก่อนที่มัลแวร์ Bad Rabbit จะเข้ารหัสลับข้อมูลเสร็จสิ้น ยังพอมีโอกาสกู้คืนข้อมูลได้โดยการนำฮาร์ดดิสก์ไปเชื่อมต่อกับเครื่องอื่นที่ไม่ติดมัลแวร์ หรือบู๊ตเครื่องจากระบบปฏิบัติการอื่นที่ไม่ได้ติดตั้งในเครื่อง (เช่น จาก Live CD) อย่างไรก็ตาม มัลแวร์เวอร์ชันหลังๆ อาจพัฒนาให้เข้ารหัสลับไฟล์ข้อมูลทั้งหมดก่อนที่จะรีสตาร์ททำให้วิธีนี้อาจใช้ไม่ได้ผลในอนาคต

ข้อแนะนำอื่นๆ

  • ปัจจุบันยังไม่พบช่องทางที่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ Bad Rabbit ได้โดยไม่จ่ายเงิน แต่การจ่ายเงินก็มีความเสี่ยงเนื่องจากไม่สามารถมั่นใจได้ว่าจะได้ข้อมูลกลับคืนมา
  • เนื่องจากพบรายงานว่ามัลแวร์เรียกค่าไถ่ Bad Rabbit เวอร์ชันที่กำลังแพร่ระบาดอยู่ในปัจจุบันมีการแพร่กระจายผ่านเว็บไซต์อันตราย ผู้ใช้ควรตระหนักถึงความเสี่ยงของการเปิดไฟล์ที่จากเว็บไซต์ที่ไม่น่าเชื่อถือ
  • มีรายงานว่าสามารถยับยั้งการทำงานของมัลแวร์ Bad Rabbit ได้ด้วยการสร้างไฟล์พิเศษขึ้นมาในเครื่อง คือไฟล์ cscc.dat และ infpub.dat ไว้ที่ %windir% และตั้งสิทธิการเข้าถึงไฟล์เป็น Read-Only อย่างไรก็ตาม วิธีการดังกล่าวเป็นเพียงการแก้ไขปัญหาเฉพาะหน้า จึงควรอัปเดตแพตช์และฐานข้อมูลแอนติไวรัสเพื่อแก้ไขปัญหาที่ต้นเหตุ
  • ควรสำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากบทความข้อแนะนำวิธีสำรองข้อมูลเพื่อป้องกันมัลแวร์เรียกค่าไถ่หรือข้อมูลสูญหาย https://www.thaicert.or.th/papers/general/2017/pa2017ge002.html
  • หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
  • หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212

อ้างอิง

  1. https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html
  2. http://blog.talosintelligence.com/2017/10/bad-rabbit.html
  3. https://www.thaicert.or.th/alerts/user/2017/al2017us002.html
  4. https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
  5. https://arstechnica.com/information-technology/2017/10/bad-rabbit-used-nsa-eternalromance-exploit-to-spread-researchers-say/
  6. https://blogs.technet.microsoft.com/mmpc/2017/06/16/analysis-of-the-shadow-brokers-release-and-mitigation-with-windows-10-virtualization-based-security/
Clear