WannaCry Ransomeware สรุปสิ่งที่เรารู้

สามบรรทัดแรก สรุปเหตุการณ์ที่เรารู้เกี่ยวกับการระบาดของ WannaCry ครับ คือ 1.Day1.มีการระบาดไวรัสเรียกค่าไถ่กว่า 90000เครื่องใน 99 ประเทศ 2. Day2.มีการค้นพบKill switch ทำให้การระบาดลดลง 3. Day3. มีการประกาศการระบาดของ WannaCry2.0และเพื่อนๆรุ่นใหม่ที่ไม่มี Kill Switch รวมถึง WannaCry4.0 ที่มีภาษาไทยมาถึงวันนี้ เราคงพอรู้คร่าวๆเกี่ยวกับ Malware ตัวนี้ WannaCry Ransomeware (มัลแวร์เรียกค่าไถ่) ซึ่งตอนนี้ว่ากันว่า มีการติดกว่า 2 แสนเครื่องทั่วโลก โดยลักษณะการ Attack ของมัน ได้กล่าวไว้ในข่าว รู้จัก WannaCry ไวรัสเรียกค่าไถ่ ตอนแรก

การระบาดสิ้นสุดลงหรือยัง? คำตอบคือ ยัง จะมีการระบาดรอบใหม่ เนื่องจากมีการค้นพบ ชนิดของ Malware แบบนี้ เพิ่มขึ้นอีก จาก Karpersky lab นั่นเอง ยิ่งกว่านั้น ในเวอร์ชั่น 2 นี้ เชื่อว่า เกิดจากแฮคเกอร์กลุ่มใหม่ อีกกลุ่ม จากบทความนี้ WannaCry2 เนื่องจากการเล็ดรอดของ โค๊ดนี้จาก NSA (ผ่านทาง Vault 7 ของ wikileaks คลิกอ่านบทความ) ทำให้มันตกไปอยู่ในมือ แฮคเกอร์อีกจำนวนมาก โค๊ดที่ว่านี้ พัฒนามาจาก CIA ใช้ในการสอดแนม ซึ่ง ทางไมโครซอฟท์ Brad Smith ประธานกลุ่ม MSได้กล่าวตำหนิหน่วยงาน NSA และ CIA ของสหรัฐว่าเป็นผู้ก่อให้เกิดความผิดพลาดรั่วไหลขึ้น ของ zero-days

มาตรการป้องกันในองค์กร

เนื่องจากมัลแวร์ตัวนี้ ใช้จุดอ่อนของ SMBV1 การแชร์ข้อมูลผ่านเนตเวิร์คของ windows เมื่อมีการติดเชื้อในเครื่องหนึ่ง มันจะสแกนหาเครื่องที่มีจุดอ่อนในวงเน็ตเวิร์ค และส่งต่อมาติดเครื่องอื่นๆได้ ดังนั้น เราต้องมีมาตรการในการดำเนินการดังนี้คือ

  1. หมั่นอัพเดตวินโดวส์ของคุณ
  2. Patch SMB หรือปิดกั้นเสีย
  3. ยกเลิกการใช้งาน SMB
  4. ใช้ไฟล์วอลล์ ปิดพอร์ตที่ใช้ SMB TCP ports 137, 139, 445, and over UDP ports 137 ,138.
  5. ใช้โปรแกรมแอนตี้ไวรัส
  6. ระมัดระวังการใช้ app, email และเว็บไซต์ หรือไฟล์ที่น่าสงสัย
  7. หมั่นแบคอัพและแบคอัพนอกเครื่องเสีย
comment