วันจันทร์ที่ 15 พฤษภาคม พ.ศ. 2560

ด่วน! วิธีป้องกันการโจมตีและลบมัลแวร์ WannaCry Ransomware

ด่วน! วิธีป้องกันการโจมตีและลบมัลแวร์ WannaCry Ransomware

เมื่อ 2-3 วันที่ผ่านมา ดูจะเป็นข่าวครึกโครมบนสื่อต่างๆ ทั้งอินเตอร์เน็ต ทีวี โซเชียล เกี่ยวกับการโจมตีจากมัลแวร์ WannaCry Ransomware ทำให้บ้านเราเริ่มตื่นตัวเกี่ยวกับการป้องกันการโจมตีจากพวกไวรัส มัลแวร์ Ransomware มากยิ่งขึ้นนะครับ แต่ก่อนที่เราจะไปดูวิธีป้องกันการโจมตีจากมัลแวร์ WannaCry Ransomware เรามาทำความรู้จักกับเจ้ามัลแวร์ WannaCry Ransomware กันก่อนนะครับ (สำหรับใครที่ไม่อยากรู้จักมัน ก็ข้ามไปที่หัวข้อถัดไปได้เลยครับ)

WannaCry, WannaCryptor, WNCRY, Wana Decryptor, WanaCrypt0r หรือ Wana Decrypt0r คืออะไร

WannaCry เป็นชื่อเรียกมัลแวร์ประเภท Ransomware (มัลแวร์เรียกค่าไถ่) โดยชื่อ WannaCry, WannaCryptor, WNCRY, Wana Decryptor, WanaCrypt0r หรือ Wana Decrypt0r ต่างๆ เหล่านี้ เป็นชื่อเรียกตามคนที่พบเจอจะตั้งชื่อ แต่สรุปแล้ว หมายถึง WannaCry ทั้งสิ้น 

WannaCry ถูกสร้างขึ้นมาเพื่อเรียกค่าไถ่ ในเครื่องที่โดนโจมตีจะทำการเข้ารหัสไฟล์(encrypt file) โดยทำการเปลี่ยนนามสกุลไฟล์ที่ติดเชื้อเป็น .WNCRY เมื่อเราจะเปิดไฟล์ที่ถูกเข้ารหัสไว้ จะไม่สามารถเปิดได้ ต้องทำการจ่ายค่าไถ่ให้กับ hacker โดยจ่ายเป็น bitcoins เพื่อรับรหัสการถอดรหัสไฟล์ (decryption key) จึงจะสามารถเปิดไฟล์ที่ถูกเข้ารหัสไว้ก่อนหน้านั้นได้

หน้าจอโปรแกรมWanna Dedrypt0r สำหรับถอดรหัส Wannacry
โดยไฟล์ที่มีนามสกุล จะเป็นเป้าหมายในการเข้ารหัส ได้แก่
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

พอมาจัดกลุ่มเป็นประเภทของไฟล์จะได้แก่
  1. ไฟล์เอกสาร Office ทั่วไป (.ppt, .doc, .docx, .xlsx, .sxi).
  2. ไฟล์เอกสารอื่นๆ (.sxw, .odt, .hwp).
  3. ไฟล์บีบอัดข้อมูล ไฟล์มีเดียต่างๆ (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  4. ไฟล์อีเมล์และฐานข้อมูลโปรแรกมอีเมล์ (.eml, .msg, .ost, .pst, .edb).
  5. ไฟล์ฐานข้อมูล (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  6. ไฟล์งานโปรแกรมมิ่งต่างๆ (.php, .java, .cpp, .pas, .asm).
  7. ไฟล์พวก key หรือ cer ต่างๆ (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  8. ไฟล์งานกราฟฟิคดีไซน์ต่างๆ (.vsd, .odg, .raw, .nef, .svg, .psd).
  9. ไฟล์ VM ต่างๆ (.vmx, .vmdk, .vdi).
ซึ่งในปัจจุบัน มีเครื่องที่โดนมัลแวร์ตัวนี้เล่นงานถึง 155,000 ในกว่า 100 ประเทศทั่วโลก

รูปแสดงประเทศที่โดน wannacry เล่นงาน
เอาหล่ะ พอรู้เป็นข้อมูลเบื้องต้น ไว้คุยกับคนอื่นให้รู้เรื่องละ ต่อไปเรามาดูวิธีป้องกันการโจมตี และการลบมัลแวร์ WannaCry Ransomware ออกจากเครื่องกันต่อครับ

วิธีป้องกันการโจมตีจากมัลแวร์ WannaCry Ransomware

1. ใช้โปรแกรม wannacry_blocker
โดยโปรแกรมwannacry_blocker จะทำงานโดยการสร้าง Mutex ชื่อ
"MsWinZonesCacheCounterMutexA" แบบ global ที่สามารถเข้าถึงได้จากทุก process ขึ้นมาในระบบเพื่อหลอกไม่ให้ malware WannaCry / WannaDecryptOr ทำงาน

สามารถดาวน์โหลดโปรแกรม wannacry_blocker ได้ ที่นี่
ทั้งนี้ ตรวจสอบรุ่นอัพเดท ได้ ที่นี่

วิธีใช้งานโปรแกรม wannacry_blocker
  • เมื่อดาวน์โหลดโปรแกรม wannacry_blocker จากลิงค์ข้างต้นมาแล้ว ให้แตก zip ไฟล์
  • จากนั้นคลิกขวาที่ไฟล์ block_wannacry.exe แล้วเลือกเมนู Run as Administrator
  • โปรแกรมจะเปิดค้างไว้ (สามารถปิดได้ที่ tray icon)
  • ใส่โปรแกรมไว้ใน Startup Folder(เพื่อให้รันทุกครั้งที่เปิดเครื่อง) 
  • โปรแกรมสามารถ disable SMBv1 เพื่อป้องกันการแพร่ของ malware
** โปรแกรมนี้ไม่สามารถกำจัด malware ได้ ทำได้เพียงป้องกันไม่ให้ malware ทำงานเท่านั้น **

2. ปิดการทำงาน(disable SMBv1) ไปเลย
วิธีการนี้ เป็นการปิด SMB 1.0/CIFS File Sharing Support ซึ่งเป็นโปรโตคอลใน Windows เพื่อการแชร์ไฟล์หรือข้อมูลระหว่าง

วิธิการปิดการทำงาน(disable SMBv1) สามารถทำได้ดังนี้
  • ไปที่ Control Panel > เลือก Program(Program and Features) > กดเมนู Turn Windows on or off ตัวอย่าง ดังรูป 
  • จะปรากฏหน้าจอให้เลือก On/Off โปรแกรมหรือบริการต่างๆของ Windows เพิ่มเติม ให้เลือนลงไปหา SMB 1.0/CIFS File Sharing Support แล้วติ๊กเครื่องหมายถูกออก ตัวอย่าง ดังรูป
  • จากนั้นกดปุ่ม OK แล้วรีสตาร์ทเครื่อง
2 วิธีข้างต้น เป็นเพียงการป้องกันเท่านั้น แต่ยังมีความเสี่ยงที่จะโดนมัลแวร์ Ransomware โจมตีอยู่ ดังนั้น การ Backup ข้อมูลบ่อยๆ ถือเป็นตัวช่วยที่ดีที่สุดอย่างหนึ่ง และควร backup ข้อมูลไว้ภายนอก เช่น External Hard Drive, Cloud Drive อย่า backup ข้อมูลไว้ภายในเครื่อง เพราะถ้าเครื่องติดมัลแวร์ Ransomware ขึ้นมา สิ่งแรกที่มันจะทำก็คงหนีไม่พ้นข้อมูลที่ Backup ไว้ภายในเครื่องนั่นหล่ะครับ

วิธีลบมัลแวร์ WannaCry Ransomware

หากเครื่องติดมัลแวร์ WannaCry Ransomware แล้วละก็เป็นเรื่องยาก ที่เราจะได้ไฟล์กลับคืนมาเพราะถูกเข้ารหัสไว้แล้ว และยังไม่มีโปรแกรมถอดรหัส (ยกเว้นจะยอมจ่ายค่าไถ่) และเพื่อเป็นการป้องกันการแพร่กระจายของมัลแวร์ WannaCry ไปยังเครื่องอื่น ๆ  เราจะเป็นต้องลบมัลแวร์ WannaCry  ออกไปจากเครื่องเราด้วย

โปรแกรมสำหรับลบมัลแวร์ WannaCry Ransomware มีดังต่อไปนี้
1. ลบProcess มัลแวร์ใด ๆ ที่กำลังรันอยู่ ด้วยโปรแกรม RKill ดาวน์โหลดได้ ที่นี่
2. รันโปรแกรม emsisoft anti-malware เพื่อรันแสกนและลบ โดยดาวน์โหลดได้ ที่นี่
3. รันโปรแกรม malwarebytes anti-malware  เพื่อรันแสกนและลบ โดยดาวน์โหลดได้ ที่นี่

ลองนำวิธีป้องกันการโจมตีและลบมัลแวร์ WannaCry Ransomware ที่ได้แนะนำข้างต้น ไปลองใช้ดูนะครับ ติดปัญหา หรือสงสัย สามารถโพสต์คอมเม้นท์สอบถามได้ที่ด้านล่างนี้เลยครับ :)

ขอบคุณแหล่งที่มาข้อมูล
https://www.facebook.com/SUTAiyaraCluster/
https://www.bleepingcomputer.com/news/security/microsoft-releases-patch-for-older-windows-versions-to-protect-against-wana-decrypt0r/
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/