ໜ່ວຍ​ງານ​ຄວາມ​ປອດ​ໄພ​ທາງ​ໄຊ​ເບ​​ີແຫ່ງ​ຊາດ​ ຂອງ​ປະເທດ ຝ​ຣັ່ງ​ ຫຼື ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ໄດ້​ເປີດ​ເຜີຍ​ເຖິງ​ການ​ຄົ້ນ​ພົບ Ryuk ransomware ຮູບ​ແບບ​ໃໝ່​ທີ່​ມີ​ຄວາມ​ສາມາດ​ໃນ​ກາ​ນ​ແຜ່ກະ​ຈາຍ​ຕົວ​ທີ່​ມີ​ລັກສະນະ​ແບບ Worm ຊຶ່ງ​ຈະ​ສາມາດ​​ແຜ່​ກະ​ຈາຍ​ໄປ​ຫາອຸປະກອນ​ອື່ນໆ ເທິງ Local network ຂອງ​ຜູ້​ທີ່​ຕົກ​ເປັນ​ເຫຍື່ອ​ໄດ້.

ຄວາມ​ສາມາດ​ໃໝ່​ຂອງ Ryuk ransomware ທີ່​ຫນ່ວຍ​ງານ​ຄວາມ​ປອດ​ໄພ​ທາງ​ໄຊ​ເບ​​ີແຫ່ງ​ຊາດ​ຂອງ​ຝ​ຣັ່ງ​​ ພົບ​ຈາກ​ການ​ກວດ​ສອບ​ການ​ໂຈມ​ຕີ​ໃນ​ຕົ້ນ​ປີ 2021 ຄື Ryuk ransomware ທີ່​ມີ ​ກາ​ນ​ແຜ່ກະ​ຈາຍ​ຕົວ​ເອງ​ໄປທີ່ Local network ໂດຍ​ການ​ໃຊ້ ARP cache ແລະ Ryuk ຍັງມີ​ແພັກ​ເກດ (packet) ​ທີ່​ສາມາດ​ສົ່ງ Wake-on-LAN (WOL) ໄປ​ຫາ​ອຸປະກອນ​ທີ່​ຄົ້ນ​ພົບ ​ແລະ ​ເມື່ອ​ ransomware ​ເຊື່ອມ​ຕໍ່​ກັບ​ອຸປະກອນ​ທີ່​ພົບ​ໃນ​ເຄືອ​ຂ່າຍ​ ransomware ຈະ​ສາມາດ​ເຂົ້າ​ລະ​ຫັດ​ເນື້ອໃນ​ທັງ​ໝົດ​ເທິງ​ເຄື່ອງ.

ນອກ​ຈາກ​ ​ຄວາມ​ສາມາດ​ໃນ​ກາ​ນ​ເແຜ່​ກະ​ຈາຍ​ຕົວ​ໄປຫາເຄືອ​ຂ່າຍ​ໃນ​ລັກສະນະ​ແບບ Worm ແລ້ວ Ryuk ransomware ຍັງ​ສາມາດ​ດຳ​ເນີນ​ການ​ເອງ​ໄດ້​ຈາກ​ໄລຍະ​ໄກໂດຍ​ໃຊ້ Scheduled tasks ທີ່​ສ້າງ​ຂຶ້ນ​ໃນ​ແຕ່​ລະ​ host​ ທີ່​ຖຶກ​ໂຈມຕີ​ພາຍ​ໃນ​ເຄືອ​ຂ່າຍ​ ດ້ວຍ​ເຄື່ອງ​ມື schtasks.exe ຂອງ Windows.

ຂໍ້ແນະນໍາ ໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ANSSI ໄດ້​ມີ​ຄຳ​ແນະ​ນຳ​ໃນ​ການ​ແກ້​ໄຂ​ບັນຫາ​ ຖ້າຫາກ​ຕົກ​ເປັນ​ເຫຍື່ອ​ຂອງ​ການ​ໂຈມ​ຕີ Ryuk ransomware ໃນ​ຮູບ​ແບບ​ໃໝ່ ຊຶ່ງ ANSSI ໄດ້​ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ປ່ຽນ​ລະ​ຫັດ​ຜ່ານ​ ຫຼື ປິດ​ການ​ໃຊ້​ງານ​ບັນຊີ​ຜູ້​ໃຊ້​ທີ່​ຖືກ​ກວດ​ພ​ົບວ່າ​ເປັນ​ເຫຍື່ອ ຈາກ​ນັ້ນ​ດຳ​ເນີນ​ການ​ປ່ຽນ​ລະ​ຫັດ​ຜ່ານ​ໂດ​ເມນ (Domain) KRBTGT ສອງ​ເທື່ອ (ການ​ປ່ຽນ​ລະ​ຫັດ​ຜ່ານ​ໂດ​ເມນ KRBTGT ສອງ​ເທື່ອ​ເນື່ອງ​ຈາກ​ການ​ປ່ຽນລະ​ຫັດ​ຜ່ານ​ເທື່ອ​ທຳອິດ​ຄື​ການ​ Reset​ ລະ​ຫັດ​ຜ່ານ ​ແລະ​ ການ​ປ່ຽ​ນ​ເທື່ອ​ທີ່​ສອງ​ຄື​ລຶບປະຫວັດ(Clear History)ເທິງ​ໂດ​ເມນ.

ເອກະສານອ້າງອິງ:

1. https://www.bleepingcomputer.com/news/security/ryuk-ransomware-now-self-spreads-to-other-windows-lan-devices/
2. https://www.i-secure.co.th/2021/03/%e0%b9%81%e0%b8%88%e0%b9%89%e0%b8%87%e0%b9%80%e0%b8%95%e0%b8%b7%e0%b8%ad%e0%b8%99-ryuk-ransomware-%e0%b8%a3%e0%b8%b9%e0%b8%9b%e0%b9%81%e0%b8%9a%e0%b8%9a%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88%e0%b8%97/