มันยังระบาดไม่เลิก !! วินาทีนี้ คงไม่มีภัยอันตรายบนโลกอินเทอร์เน็ตใดๆที่ร้ายแรงไปกว่านี้แล้วคือ “มัลแวร์เรียกค่าไถ่” หรือที่หลายๆคนมักจะเรียกกันว่า “ไวรัสเรียกค่าไถ่” นั้นเอง ที่ระบาดกันมานานจนปัจจุบันก็ยังอยู่ สำหรับเจ้ามัลแวร์ตัวนี้ จัดเป็น Ransomware ประเภทหนึ่ง ที่จะหลอกให้ผู้ใช้ เผลอโหลดไฟล์ติดตั้งตัวหนึ่ง (.exe) เข้าไปแบบไม่รู้ตัว หลังจากนั้น มันก็จะทำการเปลี่ยนการตั้งค่าบางอย่างภายในคอมพ์ของเรา ในที่นี้คือ การฝังรหัสไฟล์ข้อมูลต่างๆภายในเครื่อง ทำให้เราไม่สามารถเข้าถึงหรือเรียกใช้ไฟล์ข้อมูลเหล่านั้นได้เลย ถ้าอยากได้รหัส ก็ต้องจ่ายเงินให้มัน โดยที่ไม่รู้ว่ามันจะให้รหัสเราไหม ดังนั้นมันจึงถูกจัดว่าเป็น มัลแวร์ที่อันตรายที่สุดแล้ว ณ ตอนนี้

แม้ว่าจะถูกหยุดการแพร่กระจายไปชั่วคราวโดยทีม MalwareTech แต่นั่นเป็นเพียงการพักยกเท่านั้น ล่าสุดทีม Kaspersky Labs ได้ค้นพบ WannaCry 2.0 เวอร์ชันใหม่ที่ไม่ ซึ่งหมายความว่า “ยังฆ่า ransomware ตัวนี้ไม่ได้” และแน่นอนว่ามันจะแพร่กระจายอีกระลอกเร็วๆ นี้

 

ผู้ใช้งาน Window ต้องทำอย่างไร

อัปเดต Windows ล่าสุดให้เร็วที่สุดและปิดโปรโตคอล SMBv1 โดยสามารถทำตามคำแนะนำในบทความนี้ เพื่อป้องกันตนเองไม่ให้ตกเป็นเหยื่อของ Ransomware ดังกล่าว (ย้ำว่าแค่ป้องกันไม่ใช่การรักษาเพราะถ้าติด Ransomware ตัวนี้แล้วแก้อย่างเดียวคือต้องจ่ายเงินให้ hacker เท่านั้น)

** เพิ่มเติมคือสำรองไฟล์ข้อมูลที่สำคัญๆไว้หลายๆที่ เช่น Google Drive , DropBox หรือ Extranal Harddisk เพื่อความปลอดภัยของไฟล์เหล่านั้น

โปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน เนื่องจากขณะนี้มัลแวร์ได้ระบาดหนักไปมากกว่า 100 ประเทศทั่วโลก มีเครื่องติดมัลแวร์ตัวนี้แล้วไม่น้อยกว่า 155,000 เครื่อง บางท่านอาจจะบอกว่าไม่เป็นไรเครื่องเราลง Windows ใหม่ก็ได้ แต่เครื่องเราก็อาจจะถูกใช้เป็นแหล่งกระจายมัลแวร์ต่อไปให้คนอื่นที่เขามีข้อมูลสำคัญก็ได้

ดาวน์โหลด : เวอร์ชั่น 5 https://github.com/…/rele…/download/v5/block_wannacry_v5.zip
ตรวจสอบรุ่นอัพเดท : https://github.com/chanwit/wannacry_blocker/releases

วิธีใช้ 

*** แตก zip ไฟล์ แล้วดับเบิลคลิ๊กที่ไอคอน

1. เปิดโปรแกรมค้างไว้ (ปิดได้ที่ tray icon)
2. ใส่โปรแกรมไว้ใน Startup Folder 
3. โปรแกรมสามารถ disable SMB1 เพื่อป้องกันการแพร่ของ malware 
(ต้องรันโปรแกรมแบบ Run as Administrator)

โปรแกรมทำงานโดยการสร้าง Mutex ชื่อ “MsWinZonesCacheCounterMutexA”
แบบ global ที่สามารถเข้าถึงได้จากทุก process ขึ้นมาในระบบเพื่อหลอกไม่ให้ malware WannaCry / WannaDecryptOr ทำงาน

** โปรแกรมนี้ไม่สามารถกำจัด malware ได้ ทำได้เพียงป้องกันไม่ให้ malware ทำงาน **

มีนักวิเคราะห์ด้านความปลอดภัยพบว่า code ภายในของ malware ตัวนี้มีการตรวจสอบค่า Mutex ดังกล่าว ถ้าพบจะตัว malware จะไม่เริ่มทำงาน
— Update version 5 —
เพิ่ม Mutex สำหรับเข้าไปอีกตัวนึง
เพิ่มตัวตรวจสอบช่องโหว่ให้สามารถเช็คเครื่องตัวเองและเครื่องอื่น ๆ (ใช้ IPv4)
————————
อ้างอิง
https://securelist.com/…/wannacry-ransomware-used-in-wides…/

พัฒนาโดย ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์
มหาวิทยาลัยเทคโนโลยีสุรนารี

เพิ่มเติมข้อมูล
สิ่งที่ดีที่สุดในการป้องกัน WannaCry หรือ WannaCrypt หรือ WannaCrypt0r ก็แล้วแต่คือ
1. Patch MS17-010 ถ้า patch ไม่ได้ไม่ว่าด้วยเหตุผลใดๆก็แล้วแต่ก็ไปข้อ 2 (แต่ยัง recommended ให้ patch ถ้าหากทำได้)
2. Disable SMBv1 โดยด่วน เพราะการกระทำของ MS17-010 จะโจมตีไปยัง SMBv1 ดังนั้นหากเราปิดมันก็กันได้เช่นกัน
3. Block 445 จากการเข้าถึงจากภายนอก ส่วนภายในก็พยายามกัน Server ให้ดีในการเข้าถึง อนุญาตการเข้าถึง server ต่างๆเฉพาะที่จำเป็นเท่านั้น
4. พยายามทำ Backup บ่อยๆ ถือเป็นไพ่ตาย และแน่นอนว่าการ Backup ดังกล่าวไม่ใช่การ backup ภายในเครื่อง เพราะถ้าติด Ransomware ขึ้นมา มันไล่ลบ Backup ทิ้งก่อนเลย


Update #1
1) กรุณารีสตาร์ทเครื่องเพื่อความมั่นใจว่าการแก้ไขค่าถูกเปลี่ยนแปลงแล้ว
2) ลอง Patch ของ Microsoft บน Windows 8.1 พบว่า Windows feature SBMv1 ไม่ได้ถูกปิด (ส่วน Windows เวอร์ชั่นอื่นและตัวรีจิสเตอร์ต้องรอท่านอื่นยืนยัน)

ขอบคุณข้อมูล : techtalkthai , aripfan

ทิ้งคำตอบไว้