สืบเนื่องจากช่วงนี้การโจมตีของ ransomware หรือไวรัสเรียกค่าไถ่ตัวล่าสุด ที่กำลังกระจายไปทั่วโลกในอัตราที่รวดเร็วจนน่าวิตก ซึ่งในขณะนี้เราทราบกันดีว่าวิธีป้องกันที่ดีที่สุด ก็คือ การเช็คการอัพเดตระบบปฏิบัติการ Windows อยู่ตลอดเวลา แต่วันนี้ทีมวิจัยชาวไทย ในนามห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ มหาวิทยาลัยเทคโนโลยีสุรนารี ได้ออกเครื่องมือมาช่วยป้องกันให้เราได้สบายใจ เครื่องคอมพิวเตอร์ก็สบายตัวกันแล้วครับ
อ้างอิง >>
เกิดการโจมตีของ “ไวรัสเรียกค่าไถ่” แพร่กระจายไปทั่วโลก ในขณะนี้ลามไปแล้ว 74 ประเทศในเวลาแค่ 6 ชั่วโมง!
โปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน เนื่องจากขณะนี้มัลแวร์ได้ระบาดหนักไปมากกว่า 100 ประเทศทั่วโลก มีเครื่องติดมัลแวร์ตัวนี้แล้วไม่น้อยกว่า 155,000 เครื่อง บางท่านอาจจะบอกว่าไม่เป็นไรเครื่องเราลง Windows ใหม่ก็ได้ แต่เครื่องเราก็อาจจะถูกใช้เป็นแหล่งกระจายมัลแวร์ต่อไปให้คนอื่นที่เขามีข้อมูลสำคัญก็ได้ครับ
==========================================
ดาวน์โหลด :
https://github.com/chanwit/wannacry_blocker/releases/download/v4/block_wannacry.zip
ตรวจสอบรุ่นอัพเดท:
https://github.com/chanwit/wannacry_blocker/releases
==========================================
วิธีใช้:
*** แตก zip ไฟล์ แล้วดับเบิลคลิ๊กที่ไอคอนครับ
- เปิดโปรแกรมค้างไว้ (ปิดได้ที่ tray icon)
- ใส่โปรแกรมไว้ใน Startup Folder
- โปรแกรมสามารถ disable SMB1 เพื่อป้องกันการแพร่ของ malware
(ต้องรันโปรแกรมแบบ Run as Administrator)
โปรแกรมทำงานโดยการสร้าง Mutex ชื่อ
“MsWinZonesCacheCounterMutexA”
แบบ global ที่สามารถเข้าถึงได้จากทุก process ขึ้นมาในระบบเพื่อหลอกไม่ให้ malware WannaCry / WannaDecryptOr ทำงาน
** โปรแกรมนี้ไม่สามารถกำจัด malware ได้ ทำได้เพียงป้องกันไม่ให้ malware ทำงาน **
มีนักวิเคราะห์ด้านความปลอดภัยพบว่า code ภายในของ malware ตัวนี้มีการตรวจสอบค่า Mutex ดังกล่าว ถ้าพบจะตัว malware จะไม่เริ่มทำงาน
เพิ่มเติมข้อมูลจากเพจ : Hacking & Security Book
สิ่งที่ดีที่สุดในการป้องกัน WannaCry หรือ WannaCrypt หรือ WannaCrypt0r ก็แล้วแต่คือ
1. Patch MS17-010 ถ้า patch ไม่ได้ไม่ว่าด้วยเหตุผลใดๆก็แล้วแต่ก็ไปข้อ 2 (แต่ยัง recommended ให้ patch หากทำได้นะครับ)
2. Disable SMBv1 โดยด่วน เพราะการกระทำของ MS17-010 จะโจมตีไปยัง SMBv1 ดังนั้นหากเราปิดมันก็กันได้เช่นกัน
3. Block 445 จากการเข้าถึงจากภายนอก ส่วนภายในก็พยายามกัน Server ให้ดีในการเข้าถึง อนุญาตการเข้าถึง server ต่างๆเฉพาะที่จำเป็นเท่านั้น
4. พยายามทำ Backup บ่อยๆ ถือเป็นไพ่ตาย และแน่นอนว่าการ Backup ดังกล่าวไม่ใช่การ backup ภายในเครื่อง เพราะถ้าติด Ransomware ขึ้นมา มันไล่ลบ Backup ทิ้งก่อนเลยนะครัชบอกให้