ในสัปดาห์ที่ผ่านมาเริ่มมีรายงานเกี่ยวกับ Ransomware หรือ มัลแวร์เรียกค่าไถ่ WannaCry แพร่ระบาดในอังกฤษ โดยพุ่งเป้าโจมตีคอมพิวเตอร์ตามโรงพยาบาลกว่า 10 แห่ง และติดมัลแวร์ไปแล้วมากกว่า 100,000 เครื่อง ก่อนลุกลามไปยังประเทศอื่นๆ รวมถึงในประเทศไทยก็เริ่มได้รับรายงานการแพร่ระบาดแล้ว
WannaCry อาศัยช่องโหว่ของระบบ SMB (Server Message Block) บนระบบปฏิบัติการ Windows XP, Windows Server 2003, Windows Server 2016 หรือแม้แต่เวอร์ชั่นใหม่อย่าง Windows 10 อย่างไรก็ตาม Microsoft ได้ออก Patch มาป้องกันแล้ว ซึ่งรวมถึงเวอร์ชั่นที่หยุดสนับสนุนไปแล้วอย่าง Windows XP และ Windows Server 2003 ซึ่งยังมีผู้ใช้งานจำนวนมาก แต่ถึงอย่างนั้นแฮกเกอร์ก็ยังปล่อย WannaCry เวอร์ชั่นใหม่ตามออกมาอีก
สำหรับคอมพิวเตอร์ที่ถูก WannaCry เล่นงาน จะถูกเข้ารหัสไฟล์เอกสาร ทำให้เจ้าของคอมพิวเตอร์ไม่สามารถเข้าถึงได้ และจะแสดงข้อความเรียกค่าไถ่ เพื่อเรียกร้องให้จ่ายเงิน หากต้องการให้คอมพิวเตอร์กลับมาใช้งานได้ตามเดิม ซึ่งไม่สามารถรับประกันได้ว่า เมื่อจ่ายเงินไปแล้ว จะทำให้คอมพิวเตอร์กลับมาทำงานได้ตามปกติหรือไม่ ดังนั้น ก่อนที่จะถูก WannaCry โจมตี ควรหาทางรับมือไว้ก่อนจะดีที่สุด
แนวทางในการป้องกันมัลแวร์เรียกค่าไถ่ WannaCry
ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft โดย Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดอัปเดตได้จาก https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ส่วน Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จาก https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
หากไม่สามารถติดตั้งอัปเดตได้ เนื่องจากมัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ SMBv1 ซึ่งถูกใช้ใน Windows เวอร์ชันเก่า เช่น Windows XP, Windows Server 2003 หรือระบบเซิร์ฟเวอร์บางรุ่น หากใช้งาน Windows เวอร์ชันใหม่และไม่มีความจำเป็นต้องใช้ SMBv1 ผู้ดูแลระบบอาจพิจารณาปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การบล็อกพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา [6]
ตั้งค่า Firewall เพื่อบล็อกการเชื่อมต่อกับไอพีแอดเดรสปลายทางตามตารางที่ 1 เนื่องจากเป็นไอพีที่ถูกใช้ในการแพร่กระจายและควบคุมมัลแวร์
อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นได้ได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ
ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสส่วนใหญ่ (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ WannaCry สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว
ที่มา – ThaiCERT
http://www.flashfly.net/wp/?p=182787
