หมวดหมู่ Antivirus

logo block wannacry v5 โปรแกรมป้องกันมัลแวร์ WannaCry

ดาวน์โหลด block wannacry v5 โปรแกรมป้องกันมัลแวร์ WannaCry

May 15,2017 : Author PopFanta Teerawat

โปรแกรมป้องกันไม่ให้ มัลแวร์เรียกค่าไถ่ WannaCry ทำงาน มหาวิทยาลัยเทคโนโลยีสุรนารีปล่อยซอฟต์แวร์ป้องกัน WannaCry ชั่วคราว เปิดให้โหลดใช้งานได้ฟรี เนื่องจากขณะนี้มัลแวร์ได้ระบาดหนักไปทั่วโลก มีเครื่องติดมัลแวร์ตัวนี้แล้วไม่น้อยกว่า 500,000 เครื่องในประเทศไทยพบผู้ติดมัลแวร์ตัวนี้อยู่บ้างแล้ว แต่ยังไม่พบการแพร่กระจายในวงกว้าง บางคนอาจจะคิดว่าเราไม่ใช่คอมแบบตามบริษัทเราแค่เล่นคอมที่บ้านถ้าติดก็ลง windows ใหม่ก็จบไม่เห็นต้องกลัวเลย แต่เครื่องเราก็อาจจะเป็นตัวแพร่กระจายมัลแวร์ไปให้คนอื่นที่เขามีข้อมูลสำคัญๆก็ได้ ดาวน์โหลดโปรแกรมป้องกันมัลแวร์ WannaCry เพื่อป้องกันไว้ดีกว่านะ

ตรวจสอบรุ่นอัพเดท:
https://github.com/chanwit/wannacry_blocker/releases

 

จากข้อมูลของ Microsoft ระบบปฏิบัติการที่มีช่องโหว่ในระบบ SMB เวอร์ชัน 1 ที่ถูกใช้ในการโจมตีโดยมัลแวร์นี้ มีตั้งแต่ Windows XP, Windows Server 2003 ไปจนถึง Windows 10 และ Windows Server 2016 แต่เมื่อเดือนมีนาคม 2560 ทาง Microsoft ไม่ได้ออกอัปเดตแก้ไขช่องโหว่นี้ให้กับ Windows XP และ Windows Server 2003 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนไปแล้ว

วิธีใช้:

*** แตก zip ไฟล์ แล้วดับเบิลคลิ๊กที่ไอคอนครับ

1. เปิดโปรแกรมค้างไว้ (ปิดได้ที่ tray icon)
2. ใส่โปรแกรมไว้ใน Startup Folder 
3. โปรแกรมสามารถ disable SMB1 เพื่อป้องกันการแพร่ของ malware 
(ต้องรันโปรแกรมแบบ Run as Administrator)

โปรแกรมทำงานโดยการสร้าง Mutex ชื่อ
"MsWinZonesCacheCounterMutexA"
แบบ global ที่สามารถเข้าถึงได้จากทุก process ขึ้นมาในระบบเพื่อหลอกไม่ให้ malware WannaCry / WannaDecryptOr ทำงาน

** โปรแกรมนี้ไม่สามารถกำจัด malware ได้ ทำได้เพียงป้องกันไม่ให้ malware ทำงาน **

มีนักวิเคราะห์ด้านความปลอดภัยพบว่า code ภายในของ malware ตัวนี้มีการตรวจสอบค่า Mutex ดังกล่าว ถ้าพบจะตัว malware จะไม่เริ่มทำงาน
--- Update version 5 --
- เพิ่ม Mutex สำหรับเข้าไปอีกตัวนึง
- เพิ่มตัวตรวจสอบช่องโหว่ให้สามารถเช็คเครื่องตัวเองและเครื่องอื่น ๆ (ใช้ IPv4)

 

ข้อแนะนำในการป้องกัน

 

  • ติดตั้งแพตช์แก้ไขช่องโหว่ SMBv1 จาก Microsoft โดย Windows Vista, Windows Server 2008 ถึง Windows 10 และ Windows Server 2016 ดาวน์โหลดอัปเดตได้จาก https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ส่วน Windows XP และ Windows Server 2003 ดาวน์โหลดอัปเดตได้จาก https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  • หากไม่สามารถติดตั้งอัปเดตได้ เนื่องจากมัลแวร์เรียกค่าไถ่ WannaCry แพร่กระจายผ่านช่องโหว่ SMBv1 ซึ่งถูกใช้ใน Windows เวอร์ชันเก่า เช่น Windows XP, Windows Server 2003 หรืออุปกรณ์เครือข่ายบางรุ่น หากใช้งาน Windows เวอร์ชันใหม่และไม่มีความจำเป็นต้องใช้ SMBv1 ผู้ดูแลระบบอาจพิจารณาปิดการใช้งาน SMBv1 โดยดูวิธีการปิดได้จาก https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
  • หากไม่สามารถติดตั้งอัปเดตได้ ผู้ดูแลระบบควรติดตามและป้องกันการเชื่อมต่อพอร์ต SMB (TCP 137, 139 และ 445 UDP 137 และ 138) จากเครือข่ายภายนอก อย่างไรก็ตาม การบล็อกพอร์ต SMB อาจมีผลกระทบกับบางระบบที่จำเป็นต้องใช้งานพอร์ตเหล่านี้ เช่น file sharing, domain, printer ผู้ดูแลระบบควรตรวจสอบก่อนบล็อกพอร์ตเพื่อป้องกันไม่ให้เกิดปัญหา [6]
  • ตั้งค่า Firewall เพื่อบล็อกการเชื่อมต่อกับไอพีแอดเดรสปลายทางตามตารางที่ 1 เนื่องจากเป็นไอพีที่ถูกใช้ในการแพร่กระจายและควบคุมมัลแวร์
    อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นได้ได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ
  • ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสส่วนใหญ่ (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ WannaCry สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว

 

 

ข้อแนะนำในการแก้ไขหากตกเป็นเหยื่อ

 

  1. หากพบว่าเครื่องคอมพิวเตอร์ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ WannaCry ให้ตัดการเชื่อมต่อเครือข่าย (ถอดสาย LAN, ปิด Wi-Fi) และปิดเครื่องทันที
  2. ใช้เครื่องคอมพิวเตอร์ที่ไม่ได้ติดมัลแวร์ ดาวน์โหลดไฟล์อัปเดตฐานข้อมูล (Definition) ล่าสุดของโปรแกรมแอนติไวรัสที่ติดตั้งในเครื่อง เพื่อนำมาอัปเดตแบบ offline หากใช้งาน Windows Defender สามารถดาวน์โหลดฐานข้อมูลล่าสุดได้จากเว็บไซต์ Microsoft https://www.microsoft.com/en-us/security/portal/definitions/adl.aspx
  3. รีสตาร์ทเครื่องเข้า Safe Mode
  4. อัปเดตฐานข้อมูลแอนติไวรัส และสั่งสแกนเพื่อลบมัลแวร์

ข้อแนะนำอื่นๆ

  • ปัจจุบันยังไม่พบช่องทางที่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ WannaCry ได้โดยไม่จ่ายเงิน แต่การจ่ายเงินก็มีความเสี่ยงเนื่องจากไม่สามารถมั่นใจได้ว่าจะได้ข้อมูลกลับคืนมา
  • จากที่มีการเผยแพร่ข่าวสารว่าสามารถยับยั้งการทำงานของมัลแวร์ WannaCry ได้นั้น ตรวจสอบแล้วเป็นเพียงการยับยั้งแบบชั่วคราว โดยมีผลเฉพาะกับมัลแวร์บางเวอร์ชันเท่านั้น ไม่สามารถป้องกันปัญหาได้แบบถาวรตราบใดที่ยังไม่มีการอัปเดตแก้ไขช่องโหว่ เนื่องจากผู้พัฒนามัลแวร์สามารถเผยแพร่เวอร์ชันใหม่ที่หลบเลี่ยงการป้องกันได้
  • มัลแวร์เรียกค่าไถ่ WannaCry เวอร์ชันที่มีการแพร่ระบาดอยู่ในปัจจุบัน ยังไม่พบว่ามีการแพร่กระจายผ่านอีเมล อย่างไรก็ตาม อาจมีการแพร่กระจายผ่านอีเมลในอนาคต ผู้ใช้ควรตระหนักถึงความเสี่ยงของการเปิดไฟล์แนบในอีเมลที่น่าสงสัย
  • ควรสำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
  • หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
  • หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212

อ้างอิง

  1. https://www.thaicert.or.th/newsbite/2017-04-24-01.html
  2. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  3. อ้างอิง:
    https://securelist.com/…/wannacry-ransomware-used-in-wides…/

  4.  

    https://www.facebook.com/SUTAiyaraCluster/

    พัฒนาโดย ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์
    มหาวิทยาลัยเทคโนโลยีสุรนารี

Clear

ดาวน์โหลดโปรแกรม : block wannacry v5 โปรแกรมป้องกันมัลแวร์ WannaCry

แจ้งลิงค์เสีย

โปรแกรมในหมวดเดียวกัน

  • ComboFix 17.8.4.1 ลบมัลแวร์แบบฝังรากลึกได้ 

    ComboFix 17.8.4.1 ล่าสุด ลบมัลแวร์แบบฝังรากลึกได้ โปรแกรมกำจัดมัลแวร์ในคอมพิวเตอร์ที่สามารถจับค้นหาได้ทุกส่วนทั้งไวรัสมัลแวร์ต่างๆ มันจะทำการกำจัดให้อัตโนมัติโดยที่เราไม่ต้องทำอะไรเลยเพ

  • Avira Free Antivirus 15.0.29.32

    Avira Free Antivirus 15.0.29.32  เป็นโปรแกรมที่ช่วยป้องกันไวรัสชั้นนำ ช่วยปกป้องข้อมูลส่วนบุคคลของคุณและช่วยให้คอมพิวเตอร์ของคุณปราศจากมัลแวร์ Avira Free Antivirus สำหรับเครื่องพีซ

  • AdwCleaner 7.010

    AdwCleaner 7.010  โปรแกรมกำจัดไวรัสแฝง แอดแวร์ ,สปายแวร์ ทูลบาร์ หรือเวลาที่ลงโปรแกรมแล้วติดมาด้วยแบบไม่ตั้งใจซึงอาจจะเป็นไวรัสภายในคอมพิวเตอร์ของคุณได้ เจ้า AdwCleaner ตัวนี้สามารถกำจั

  • ComboFix 17.7.7.1

    ComboFix 17.7.7.1 ล่าสุด ลบมัลแวร์แบบฝังรากลึกได้ โปรแกรมกำจัดมัลแวร์ในคอมพิวเตอร์ที่สามารถจับค้นหาได้ทุกส่วนทั้งไวรัสมัลแวร์ต่างๆ มันจะทำการกำจัดให้อัตโนมัติโดยที่เราไม่ต้องทำอะไรเลยเพ

  • Avira Free Antivirus 15.0.28.28

    Avira Free Antivirus 15.0.28.28  เป็นโปรแกรมที่ช่วยป้องกันไวรัสชั้นนำ ช่วยปกป้องข้อมูลส่วนบุคคลของคุณและช่วยให้คอมพิวเตอร์ของคุณปราศจากมัลแวร์ Avira Free Antivirus สำหรับเครื่