หนทางเอาตัวรอดจาก มัลแวร์ตะมุตะมิ Wana decryptor / Ransomware สำหรับผู้ใช้งาน Microsoft Windows
 |
| ภาพประกอบจาก https://www.blognone.com/node/92435 |
Wana decryptor / Ransomware คงได้ยินติดหูมาหลายวันล่ะ เป็นมัลแวร์ตะมุตะมิ เข้ารหัสลับข้อมูลในคอมพิวเตอร์เพื่อเรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้ สิ่งที่ซิกเนเจอร์สําหรับมัลแวร์นี้คือ สามารถกระจายตัวเองจากไปเครื่องหนึ่งในเครือข่ายได้โดยอัตโนมัติ ผ่านช่องโหว่ระบบ SMB (Server Message Block) ของวินโดวส์
จริงๆปัญหาที่เกิดคือ มันมีช่องโหว่ที่อยู่ในโค้ดในไฟล์ของ Windows ดังนั้น การอัพเดทแพทช์ มันคือ วิธีแก้ที่ถูกต้องที่สุด วิธีอื่นอย่าไปสนใจเลย เสียเวลาฟรี
แต่จะอัพเดทแพทซ์ได้ วิธีเดียวที่ควรทำ คือ
ใช้ของแท้
ของแท้
ใช้ของแท้
รู้จักอัพเดทแพทซ์
อัพเดทแพทซ์
รู้จักอัพเดทแพทซ์
แค่นั้นแหล่ะ
สำหรับผู้ดูแลระบบ
1.ถ้าแชร์ข้อมูลผ่านเครือข่าย ตรวจสอบสิทธิ (Permission) ในการเข้าถึงข้อมูลให้ดี ให้สิทธิ์อ่านหรือแก้ไข หรืเขียน เฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ
2. ถ้าไม่มีความจำเป็นต้องใช้ SMBv1 แนะนำให้ผู้ดูแลระบบปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
2. ถ้าไม่มีความจำเป็นต้องใช้ SMBv1 แนะนำให้ผู้ดูแลระบบปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
3. กดติดตั้งอัพเดท Patch ล่าสุด MS17-010 หรือ KB4012598 จาก Windows อัพเดท ถ้าไม่สามารถอัพเดทได้ สามารถดาว์โหลดอัพเดท แพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft ของ Windows Server 2003 ถึง Windows Server 2008 ได้จาก http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
4. หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB อยู่ตลอดเวลา (TCP 137, 139 และ 445 UDP 137 และ 138) แต่อย่าลืมว่าการบล็อกพอร์ต SMB จะทำให้บางระบบที่ใช้งานพอร์ตพวกนี้ เช่น file sharing, domain, printer จะใช้งานไม่ได้ด้วย ดังนั้น ผู้ดูแลระบบควรตรวจสอบให้ดีก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา
สำหรับคนธรรมดาทั่วไป
1. อีเมลแปลกๆ ให้ลิ้งมา เว็บโหลดหนังโป๋ จิ้มทีป็อปอัพเป็นล้าน หรือโหลดโปรแกรมเถื่อน อย่าไปยุ่ง ถึงจะไม่มีแจ้ง แต่อาจมาหลังจากนี้ก็เป็นไป
2. รู้จักสำรองข้อมูล และควรสำรองข้อมูลกับอุปกรณ์ที่ไม่ได้เชื่อมกับคอมพิวเตอร์ หรืออินเตอร์เน็ต หรือเครือข่ายอื่นๆ เช่น Flash Drive, External HDD
3.จิ้ม Windows อัพเดทรัวๆ ใครยังปิดไว้อยู่
4. กดติดตั้งอัพเดท Patch ล่าสุด MS17-010 หรือ KB4012598 จาก Windows อัพเดท ถ้าไม่สามารถอัพเดทได้ ให้ดาว์โหลดอัพเดท แพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft ของWindows XP ถึง Windows 8 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
5. ถ้าไม่มีความจำเป็นต้องใช้ SMBv1 แนะนำให้ปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
สำหรับ Windows 10 และ Windows Server 2016 ไมโครซอร์ฟแจ้งว่า อัพเดทเรื่อยๆ มาตั้งแต่ 13 ธันวาคม 2559 ดังนั้นถ้ากดวินโด้อัพเดทแล้วอยู่ตลอดไม่ต้องกังวล
ถ้าติดแล้วต้องทำไง
Format HDD ลง Windows ใหม่ ใช้ของแท้ เพราะตอนนี้ไม่มีช่องทางที่กู้คืนไฟล์ที่ถูกเข้ารหัสกลับมาได้ แต่ถ้าจะโอนตังค์ก็ไม่มีอะไรมาการันตีว่า จะได้ข้อมูลกลับคืนมา นาจา
พึงระลึกไว้ว่า จนมาถึงตอนนี้ วิธีที่บอกไปก็ยังช่วยยับยั้งแบบชั่วคราวและกับกับมัลแวร์บางเวอร์ชันเท่านั้น ไม่สามารถป้องกันปัญหาได้แบบถาวร ถ้ายังไม่มีการอัปเดตแก้ไขช่องโหว่ เพราะเดี๋ยวรอสักพัก dev มัลแวร์ ก็ปล่อยเวอร์ชั่นใหม่มาให้สนุกกันได้อยู่ดี ดังนั้นระวังตัวให้เยอะๆ
สุดท้ายนี้ ฝากไว้ว่า
ใช้ของแท้
รู้จักอัพเดท
ใช้ของแท้
รู้จักอัพเดท
ขอให้โชคดี <3
Comments
Post a Comment