สร้างความตกใจให้ผู้ใช้คอมพิวเตอร์ระบบ Windows ไม่น้อย สำหรับข่าวการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ (Ransomware) ที่ชื่อ WannaCry หรือ WannaCrypt ที่มีรายงานว่าได้โจมตีระบบคอมพิวเตอร์ของรัฐบาลและเอกชนในหลาย 100 ประเทศ (ปัจจุบันมีรายงานการโจมตีขึ้นในบ้านเราแล้ว) บทความนี้จึงขอนำวิธีการป้องกันไวรัสเรียกค่าไถ่ WannaCry นี้ มาฝากกันครับ
รู้จัก WannaCry หรือ WannaCrypt
WannaCry หรือ WannaCrypt หรือที่ไมโครซอฟท์เรียกว่า Ransom: Win32/WannaCrypt เป็นมัลแวร์เรียกค่าไถ่หรือ Ransomware โดยมันจะทำการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์ระบบ Windows ด้วยรหัสลับทำให้เปิดไฟล์เหล่านั้นไม่ได้ ถ้าหากต้องการเปิดไลฟ์ที่ถูกเข้ารหัสก็จะต้องจ่ายเงินให้กับเจ้าของโปรแกรมมัลแวร์จำนวน $300 หรือคิดเป็นเงินประมาณ 10,500 บาท โดยต้องจ่ายผ่านทางบิทคอยน์ (Bitcoin) เท่านั้น และจำนวนเงินค่าไถ่จะเพิ่มขึ้นเรื่อยถ้าหากจ่ายค่าไถ่ช้า
ทั้งนี้ มีรายงานว่ามัลแวร์ WannaCry ได้โจมตีระบบคอมพิวเตอร์ทั้งของรัฐบาลและเอกชนในหลาย 100 10ประเทศ รวมถึงระบบคอมพิวเตอร์ของโรงพยาบาลทั่วประเทศอังกฤษ โดยในขณะที่เขียนเรื่องนี้ (14 พ.ค. 60) รายงานการโจมตีคอมพิวเตอร์ในประเทศไทยแล้วเช่นกัน)
สนใจรายละเอียดเพิ่มเติม เข้าไปอ่านได้ที่ Ransom: Win32/WannaCrypt
วิธีการระบาด
โดยเริ่มต้น WannaCrypt จะแฝงมากับไฟล์แนบทางอีเมล จากนั้นจะแพร่ระบาดโดยการกระจายตัวเองจากเครื่องคอมพิวเตอร์หนึ่งไปยังเครื่องคอมพิวเตอร์อื่น ๆ ในเครือข่ายผ่านช่องโหว่ในโปรโตคอล Server Message Block เวอร์ชัน 1 ( SMBv1) ของ Windows ความอันตรายของมัลแวร์ WannaCry คือมันมีความสามารถในแพร่ระบาดตัวเองโดยอัตโนมัติ ทำให้เครื่องคอมพิวเตอร์ที่ไม่ติดตั้งอัพเดต MS17-010 จะมีความเสี่ยงสูงที่จะติดมัลแวร์ WannaCry นี้ โดยเฉพาะผู้ใช้ Windows XP, Windows 8 และ Windows Server 2003
สำหรับช่องโหว่ใน SMBv1 ที่มัลแวร์ WannaCry ใช้ในการแพร่ระบาดนั้น มีผลกระทบกับ Windows ทุกเวอร์ชันตั้งแต่ Windows XP ไปถึง Windows 10 และ Windows Server 2003 ไปถึง Windows Server 2016 โดยไมโครซอฟท์ได้ออกอัพเดต MS17-010 เพื่อปิดช่องโหว่ตั้งแต่วันที่ 14 เดือนมีนาคมที่ผ่านมา
หมายเหตุ: ไมโครซอฟท์ระบุว่าผู้ใช้ Windows 10 ไม่มีความเสี่ยงจากการโจมตีจากมัลแวร์ WannaCry
การป้องกันคอมพิวเตอร์จากมัลแวร์เรียกค่าไถ่ WannaCry
วิธีการป้องกันคอมพิวเตอร์จากมัลแวร์เรียกค่าไถ่ WannaCry นั้น สำหรับผู้ใช้ Windows ที่ทำการอัพเดตระบบเป็นประจำทุกเดือน คุณไม่เสี่ยงต่อการโดนจู่โจมจากมัลแวร์เรียกค่าไถ่ตัวนี้ (ควรทำการตรวจสอบให้แน่ใจว่า Windows อัพเดตล่าสุดแน่นอน) อย่างไรก็ตามคุณอาจจะยังจำเป็นที่จะทำการปิด SMBv1 เพื่อป้องกันการรบกวนระบบ
สำหรับคนที่ไม่ได้อัพเดต Windows มาตั้งแต่เดือนมีนาคมหรือนานกว่านั้น ให้คุณทำการอัพเดต https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ในทันที โดยอาจใช้ Windows Update* หรือดาวน์โหลดไฟล์อัพเดตโดยตรงจากเว็บไซต์ Microsoft (เลือกดาวน์โหลดอัพเดตตามเวอร์ชัน Windows ที่ใช้งานครับ)
จากนั้นให้คุณทำการอัพเดตฐานข้อมูลโปรแกรม Antivirus ให้เป็นปัจจุบัน สำหรับ Windows Defender ได้รับการอัพเดตให้สามารถตรวจจับมัลแวร์ WannaCry ได้ตั้งแต่วันที่ 12 พฤษภาคม ที่ผ่านมา
สุดท้ายให้ทำการปิด SMBv1 เพราะถึงแม้ว่าจะทำการติดตั้งอัพเดต MS17-010 เสร็จเรียบร้อยแล้ว อาจยังมีปัญหาการโดนรบกวนจากมัลแวร์ WannaCry ได้ วิธีการที่จะป้องกันไม่ให้โดนรบกวนทำได้โดยการปิด SMBv1
วิธีการคือให้คุณเข้าไปที่หน้า Turn Windows feature on or off จากนั้นทำการยกเลิกการติ๊กเลือก SMB 1.0/CFS File Sharing Support จากนั้นคลิก OK รอจนระบบทำงานแล้วเสร็จ แล้วทำการรีสตาร์ทเครื่องเพื่อให้การปิด SMBv1 เสร็จสมบูรณ์
ข้อควรทราบ: การปิด SMB v1 จะทำให้ไม่สามารถใช้บริการบางอย่าง เช่น File sharing และ Printer เป็นต้น ได้
*วิธีการเปิด Windows Update บน Windows 7, 8.1 และ 10
Windows 7: คลิก Start แล้วเข้าไปที่ Control Panel > Windows Update (View by: Small icons) จากนั้นคลิก Check for updates
Windows 8.1: คลิกขวา Start แล้วเข้าไปที่ Control Panel > Windows Update (View by: Small icons) จากนั้นคลิก Check for updates
Windows 10: คลิก Start แล้วเข้าไปที่ Settings > Update & security > Windows Update จากนั้นคลิก Check for updates
แหล่งอ้างอิง
ThaiCERT
Microsoft
ZDNet
ประวัติการปรับปรุง
15 พฤษภาคม 2560: แก้ไขคำผิด
14 พฤษภาคม 2560: เผยแพร่ครั้งแรก
