มหาวิทยาลัยเทคโนโลยีสุรนารีปล่อยซอฟต์แวร์ป้องกัน WannaCry ชั่วคราว เปิดให้โหลดใช้งานได้ฟรี

ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ มหาวิทยาลัยเทคโนโลยีสุรนารี ได้พัฒนาโปรแกรมป้องกันการทำงานของ WannaCry ซึ่งเป็น Ransomware ที่ระบาดอย่างหนักเกินกว่า 100 ประเทศทั่วโลกในเวลานี้ และเปิดให้โหลดไปใช้งานกันได้ฟรีๆ แล้ว

ตัวชุดซอฟต์แวร์ป้องกัน WannaCry นั้น ในเวลานี้ยังสามารถใช้ป้องกันได้ชั่วคราวเท่านั้นจนกว่าจะมี WannaCry Ransomware รุ่นใหม่ออกมา และไม่ได้รับประกันว่าจะปลอดภัย 100% แต่ก็สามารถลดความเสี่ยงลงได้บางส่วน และเปิดให้โหลดฟรีที่ https://github.com/chanwit/wannacry_blocker/releases/download/v4/block_wannacry.zip และสามารถติดตามอัปเดตใหม่ๆ ที่จะออกมาในอนาคตได้ที่ https://github.com/chanwit/wannacry_blocker/releases ทันทีครับเผื่อจะมีการป้องกันที่รัดกุมขึ้นและรองรับการโจมตีของ WannaCry Ransomware รุ่นใหม่ๆ ที่ออกมาได้ครับ โดยทีมงานไอยราคลัสเตอร์ได้เขียนระบุวิธีการใช้งานเป็นภาษาไทยเอาไว้ดังนี้

“โปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน เนื่องจากขณะนี้มัลแวร์ได้ระบาดหนักไปมากกว่า 100 ประเทศทั่วโลก มีเครื่องติดมัลแวร์ตัวนี้แล้วไม่น้อยกว่า 155,000 เครื่อง บางท่านอาจจะบอกว่าไม่เป็นไรเครื่องเราลง Windows ใหม่ก็ได้ แต่เครื่องเราก็อาจจะถูกใช้เป็นแหล่งกระจายมัลแวร์ต่อไปให้คนอื่นที่เขามีข้อมูลสำคัญก็ได้ครับ “

วิธีใช้ :
*** แตก zip ไฟล์ แล้วดับเบิลคลิ๊กที่ไอคอนครับ
1. เปิดโปรแกรมค้างไว้ (ปิดได้ที่ tray icon)
2. ใส่โปรแกรมไว้ใน Startup Folder
3. โปรแกรมสามารถ disable SMB1 เพื่อป้องกันการแพร่ของ malware
(ต้องรันโปรแกรมแบบ Run as Administrator)
โปรแกรมทำงานโดยการสร้าง Mutex ชื่อ “MsWinZonesCacheCounterMutexA” แบบ global ที่สามารถเข้าถึงได้จากทุก process ขึ้นมาในระบบเพื่อหลอกไม่ให้ malware WannaCry / WannaDecryptOr ทำงาน

** โปรแกรมนี้ไม่สามารถกำจัด malware ได้ ทำได้เพียงป้องกันไม่ให้ malware ทำงาน **
มีนักวิเคราะห์ด้านความปลอดภัยพบว่า code ภายในของ malware ตัวนี้มีการตรวจสอบค่า Mutex ดังกล่าว ถ้าพบจะตัว malware จะไม่เริ่มทำงาน

ถือเป็นผลงานดีๆ ของคนไทยที่น่าชื่นชมและน่าสนับสนุนครับ เหมาะสำหรับคนที่มีปัญหาเรื่องการอัปเดตแพทช์ หรือไม่สามารถปิดการใช้ SMBv1 หรือพอร์ต 445 ด้วยตนเอง และต้องการแก้ปัญหาแบบชั่วคราวไปก่อน ใครสนใจติดตามผลงานของห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ ก็ติดตามได้ที่ https://www.facebook.com/SUTAiyaraCluster/

การแก้ไขระยะยาวคือการอัปเดต Patch ให้ปลอดภัยจาก Microsoft โดยตรง

ส่วนรายละเอียดและวิธีการแก้ไขแบบระยะยาวที่ปลอดภัยกว่าอยู่ในข่าว https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/ นะครับ โดยคร่าวๆ คือแนะนำให้อัปเดต Patch จากทาง Microsoft โดยตรงสำหรับ Windows ทุกๆ รุ่น และหากไม่สะดวกที่จะอัปเดต Patch ก็ควรปิด SMBv1 หรือปิดพอร์ต 445 แทนไปก่อนครับ ส่วนสำหรับผู้ใช้งาน Windows XP, Windows 8 และ Windows Server 2003 สามารถโหลด Patch ได้ตามข่าวนี้ครับ https://www.techtalkthai.com/microsoft-releases-patches-to-protect-from-wannacrypt-ransomware-for-windows-xp-8-and-windows-server-2003/

ทั้งนี้การ Backup ข้อมูลไว้ภายนอกเครื่องซึ่งเป็นวิธีการมาตรฐานในการรับมือกับ Ransomware เองก็ถือเป็นสิ่งที่ควรทำอย่างสม่ำเสมอเช่นกัน

แหล่งข้อมูล : TechTalk
ภาพประกอบ : MALWAREINT