Modernine TV
ชื่อผู้แจ้ง : ชื้อผู้แจ้งข่าว admin     สถานีฯ admin      เวลาที่แจ้งข่าว แจ้งวันที่ : 28 พฤษภาคม 2560 เวลา 21:08:43      ถูกเปิดอ่านแล้ว 100 ครั้ง  100 / 0 ครั้ง   เพิ่มขนาดตัวอักษร เพิ่มขนาดตัวอักษร 
ประเภท : [ บทความ ]      คอมพิวเตอร์      ป้องกันไวรัส      ป้องกันไวรัส
ชื่อเรื่อง : วิธีรับมือ WannaCrypt ป้องกันมัลแวร์เรียกค่าไถ่ แบบเบื้องต้น


      เนื่องจากขณะนี้มัลแวร์ WannaCry Ransomware ได้ระบาดหนักไปมากกว่า 100 ประเทศทั่วโลก มีเครื่องติดมัลแวร์ตัวนี้แล้วไม่น้อยกว่า 155,000 เครื่อง บางท่านอาจจะบอกว่าไม่เป็นไรเครื่องเราลง Windows ใช้ Service Pack ตัวใหม่ก็ได้ แต่เครื่องเราก็อาจจะถูกใช้เป็นแหล่งกระจายมัลแวร์ต่อไปให้คนอื่นที่เขามีข้อมูลสำคัญก็ได้

WanaCrypt0r แพร่กระจายตัวอย่างไร
      MalwareHunterTeam ค้นพบ WanaCrypt0r ครั้งแรกเมื่อหลายสัปดาห์ก่อน แต่ยังไม่มีการเคลื่อนไหวแต่อย่างใด จนถึงเมื่อวานนี้ WanaCrypt0r ได้เริ่มแพร่ระบาดไปทั่วโลกผ่านทาง Exploit ที่ชื่อว่า “EternalBlue” ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่กลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers เอามาเผยแพร่ออนไลน์เมื่อกลางเดือนเมษายนที่ผ่านมา Exploit นี้จะเจาะเข้าระบบคอมพิวเตอร์จากระยะไกลผ่านทางโปรโตคอล SMBv1 ถึงแม้ว่า Microsoft จะออกแพทช์ MS17-010 เพื่ออุดช่องโหว่นี้ไปแล้ว แต่หลายคนทั่วโลกยังคงไม่ได้อัปเดตแพทช์

“Ransomware” หรือ “โปรแกรมเรียกค่าไถ่”

รูปแบบของโปรแกรมเรียกค่าไถ่ Ransomware มี 2 รูปแบบหลัก ๆ ด้วยกัน

1. Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ โปรแกรม Ransomware จะทำการใช้งานฟังก์ชัน Lock Screen ของระบบปฏิบัติการของอุปกรณ์ที่ติด Ransomware (ทั้งที่เป็น Computer และ Mobile) ทำให้เราไม่สามารถเข้าสู่ Interface ปกติของอุปกรณ์ เพื่อเรียกใช้ Application หรือเข้าถึงข้อมูลใด ๆ ได้ แต่ข้อมูลและ Application ไม่ได้ถูกแตะต้องแต่อย่างใด

       การเรียกค่าไถ่แบบที่ 1. นั้นสามารถถูกแก้ไข เพื่อ bypass การ lock screen ได้โดยผู้เชี่ยวชาญด้านคอมพิวเตอร์ โดยที่ไม่จำเป็นต้องจ่ายค่าไถ่แต่อย่างใด

2. Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานอุปกรณ์ได้ และใช้งาน application ได้ตามปกติ แต่ Ramsomware จะใช้วิธีการเข้ารหัสไฟล์ไว้ (ภาษาชาวบ้านคือ ล็อกไฟล์ไว้) ไม่ให้ผู้ใช้งานสามารถเข้าถึงไฟล์ของตัวเองได้

      สำหรับแบบที่ 2. นั้น ใน Ramsomware เวอร์ชั่นใหม่ ๆ (ที่โด่งดังก็มี CryptoWall, CryptoLocker, CryptoDefense และ TeslaCrypt)  ถูกพัฒนาให้ยากแก่การแก้ไข ทางที่ง่ายที่สุดที่จะได้วิธีถอดรหัสไฟล์ของเราคือการจ่ายเงินให้อาชญากร (การเรียกค่าไถ่เป็นอาชญากรรม) ที่ทำการเรียกค่าไถ่เรานั่นเอง ซึ่งหนึ่งในนั้นรวมไปถึง WannaCry ด้วย

เมื่อคอมพิวเตอร์ของคุณติด Ransomware

       มัลแวร์ได้จับไฟล์ข้อมูลในคอมที่สำคัญ และจับคอมพิวเตอร์ของเราเป็นตัวประกัน แล้วส่งจดหมายทางอีเมลเรียกค่าไถ่ ขึ้นข้อความเตือนว่าคุณต้องจ่ายเงินถ้าไม่จ่ายก็จะเปิดไฟล์ไม่ออก ไม่สามารถใช้ไฟล์นั้นได้ เท่านั้นยังไม่พอ หากคุณต่อเน็ต หรือเสียบ Extranal Harddisk หรือ USB Flash Drive เข้ากับคอมที่ติด Ransomware ละก็ ไฟล์ในหน่วยความจำพกพาของคุณก็จะถูกล็อคเข้ารหัสด้วย ซึ่งต้องจ่ายเงินด้วยสกุล BITCOIN โดยส่วนใหญ่จะเรียกเงินไม่ต่ำกว่า 15000 บาท 

สาเหตุที่ติดมัลแวร์ Ransomware

      ส่วนใหญ่จะมาทางอีเมลหลอกลวงที่แนบไฟล์ Ransomware อยู่ มัลแวร์นี้มุ่งโจมตีคอมพิวเตอร์ระบบปฏิบัติการ Windows และอาจอยู่บนแพลตฟอร์มยอดฮิตๆ เช่น MAC , Android , iOS  โดยจะทิ้งไฟล์ไฟล์นึงไว้ในโฟลเดอร์ที่ติดมัลแวร์ ransomwear ที่มีการเข้ารหัสไว้ เมลล์ของ Ransomware นี้ มาในรูปแบบที่หลากหลาย เช่น

    -  มาแบบแจ้งเตือนว่า มีของมาส่งถึงคุณ…. เช่น FedEx , DHL ปลอมหน้าจดหมายเหมือนของจริง จนแยกไม่ออก เมื่อคลิกไฟล์แนบของอีเมลนั้น หรือคลิกที่ลิงค์ มันจะดาวน์โหลดไฟล์ exe ที่มีมัลแวร์ติดตั้งทันที

    -  บัญชีคุณโดนล็อค , Accounts Suspended !


วิธีป้องกัน
    - อัปเดต Patch MS17-010 ซึ่งเป็นการแก้ไขปัญหาที่ตรงจุด (แนะนำ)
    - Disable SMBv1 ซึ่งเป็นช่องทางป้องกันการโจมตี
    - Block 445 เพื่อป้องกันการเข้าถึงจากภายนอก
    - Backup ข้อมูลสม่ำเสมอ (เป็นสิ่งที่ควรทำอยู่แล้ว)






วิธีปิด SMBv1 และ v2 ป้องกันมัลแวร์เรียกค่าไถ่ และแนะนำห้ามใช้งานโปรแกรมป้องกัน USB





ไวรัสเรียกค่าไถ่ 2017 WannaCry อธิบาย และวิธีป้องกัน

ข้อมูลเพิ่มเติม (update 15/5/2017)
  - แก้ไข เรียกผิด SMB ที่ถูกต้องคือ Server Message Block ครับ
  - โปรแกรมป้องกันไวรัสทุกยี่ห้อกำลังทยอยอัพเดตฐานข้อมูลไวรัสกันเพิ่มเติม อย่าลืม update ให้เป็นล่าสุดอยู่ตลอดด้วยครับ
  - การปิด SMB v1 ด้วยตัวเอง เป็นแค่ workaround (แก้ไขชั่วคราว เฉพาะหน้า) ทางที่ดีควร update Windows โดยเร็วที่สุดครับ

สารบัญ
00:30 อธิบายไวรัสเรียกค่าไถ่ ransomware
01:45 อธิบาย wannacrypt (wannacry wannacrypt0r)
02:05 อธิบายช่องโหว่ที่ wannacry ใช้
04:35 วิธีป้องกัน
05:38 Windows XP
05:58 Windows Vista, 7, 8
06:52 Windows 8.1, 10
07:20 คำแนะนำเพิ่มเติม

วิธีป้องกัน
- ใครใช้ Windows แท้ ถูกลิขสิทธิ์อยู่แล้ว ก็ให้อัพเดตเป็นเวอร์ชั่นล่าสุด แล้วโอเคเลย สบายมาก
- ถ้าไม่สะดวกอัพเดตวินโดวส์ มีวิธีป้องกันไวรัสเรียกค่าไถ่ wannacry ดังนี้

วิธีปิด SMB v1

Windows XP
เห็นมี patch update ออกมา น่าจะต้องใช้วิธีการอัพเดทอย่างเดียว เรื่องนี้ไม่แน่ใจ ถ้ามีความคืบหน้าจะมาเขียนในคำอธิบายใต้วิดีโอนะครับ

+++++++++++++++++++++++++++++++++++++++++++++

Windows Vista, 7, 8
- กดปุ่ม start แล้วพิมพ์ cmd จากนั้นคลิกขวาที่โปรแกรม cmd.exe เลือก run as administrator
- Copy คำสั่ง 2 คำสั่งนี้ ไป paste ใน cmd (Command Prompt) ทำทีละคำสั่ง เลือก paste แล้วกดปุ่ม Enter ที่คีย์บอร์ด

     sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

     sc.exe config mrxsmb10 start= disabled

- คำสั่งต่อไปให้เปลี่ยนโปรแกรม ให้ใช้ powershell กดปุ่ม start พิมพ์หาโปรแกรม PowerShell เลือก run as administrator
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

- restart เครื่อง

+++++++++++++++++++++++++++++++++++++++++++++

Windows 8.1, 10 ขึ้นไป
- กดปุ่ม start พิมพ์ Turn Windows Features On or Off เลือกโปรแกรมตัวที่ค้นหา
- หาตัวที่เขียนว่า SMB 1.0/CIFS File Sharing Support เอาเครื่องหมายถูกหน้าข้อออก แล้วกด ok
- restart เครื่อง

+++++++++++++++++++++++++++++++++++++++++++++

ถ้าปิด SMB v1 แล้วมีปัญหาในการทำงาน สามารถเปิดกลับได้ด้วยวิธีนี้ (อย่าลืมว่า เปิดกลับก็มีความเสี่ยง ถ้ายังไม่อัพเดต Windows ให้เป็นล่าสุดนะครับ ทางที่ดีควรรีบอัพเดตทันทีครับ)

วิธีเปิดคืน Windows Vista, 7, 8
- เปิด cmd โดย run as administrator แล้ว copy 2 คำสั่งนี้ครับ ทำทีละคำสั่งเหมือนเดิม

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 

sc.exe config mrxsmb10 start= auto

- restart เครื่อง

+++++++++++++++++++++++++++++++++++++++++++++

วิธีเปิดคืน Windows 8.1, 10 ขึ้นไป
เข้าโปรแกรม Turn Windows Features On or Off หาตัวที่เขียนว่า SMB 1.0/CIFS File Sharing Support ทำเครื่องหมายติ๊กถูก แล้วกด ok จากนั้น restart เครื่อง

+++++++++++++++++++++++++++++++++++++++++++++

เอกสารอ้างอิง วิธีปิด SMB v1
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server

วิธีปิด SMB v1 ภาษาไทย
https://www.blognone.com/node/92410

ตัว update ของ Windows (แก้ปัญหานี้)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

การโจมตีของ Wanna Cry
https://en.wikipedia.org/wiki/WannaCry_cyber_attack





สำหรับการปิด SMBv1 ฝั่ง Client ในระบบปฏิบัติการรุ่นเก่าอย่าง Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 และ Windows Server 2012 จะต้องรันคำสั่งผ่าน Command Prompt โดยมีวิธีดังนี้

วิธีป้องกันไวรัส WannaCry

ทำการเปิด elevated command prompt โดยการคลิกขวาที่ Command Prompt แล้วคลิก Run as administrator

จากนั้นให้พิมพ์คำสั่งตามนี้ทีละบรรทัด  และทำการรีสตาร์ทเครื่อง

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

นับเป็นวิธีการป้องกันตัวเองเบื้องต้นสำหรับผู้ใช้งานทั่วไป





ให้พิมพ์คำสั่งตามนี้ ทีละบรรทัด  

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

และทำการรีสตาร์ทเครื่อง






คลิกที่รูปเพื่อดูรูปใหญ่



Patch ป้องกัน Ransomware WannaCryptr ที่กำลังระบาด ป้องกันก่อนที่ไฟล์จะถูก Lock

ดาวน์โหลด   [ มีไฟล์แนบ book1495984538.rar ] [ ขนาดไฟล์ 6.70 MByte ]



จัดทำโดย คณะเจ้าหน้าที่บริษัท อสมท จำกัด ( มหาชน ) ผู้มีโอกาสเข้าร่วมอบรมเทคโนโลยีดิจิตอล ณ ประเทศญี่ปุ่น