posttoday

ไอยราคลัสเตอร์ พัฒนาโปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน

14 พฤษภาคม 2560

ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ ม.เทคโนโลยีสุรนารี พัฒนาโปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน

ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ ม.เทคโนโลยีสุรนารี พัฒนาโปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน

เฟซบุ๊ก ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ มหาวิทยาลัยเทคโนโลยีสุรนารี SUT Aiyara Cluster ได้เปิดให้ประชาชนดาวน์โหลดโปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน พร้อมระบุวิธีการใช้และลิงค์ในการดาวน์โหลดผ่านเฟซบุ๊กของ ห้องปฏิบัติการวิจัยดังนี้

โปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน เนื่องจากขณะนี้มัลแวร์ได้ระบาดหนักไปมากกว่า 100 ประเทศทั่วโลก มีเครื่องติดมัลแวร์ตัวนี้แล้วไม่น้อยกว่า 155,000 เครื่อง บางท่านอาจจะบอกว่าไม่เป็นไรเครื่องเราลง Windows ใหม่ก็ได้ แต่เครื่องเราก็อาจจะถูกใช้เป็นแหล่งกระจายมัลแวร์ต่อไปให้คนอื่นที่เขามีข้อมูลสำคัญก็ได้ครับ

==========================================

ดาวน์โหลด:

https://github.com/chanwit/wannacry_blocker/releases/download/v4/block_wannacry.zip

ตรวยสอบรุ่นอัพเดท : 

https://github.com/chanwit/wannacry_blocker/releases

==========================================

วิธีใช้:

*** แตก zip ไฟล์ แล้วดับเบิลคลิ๊กที่ไอคอนครับ

1. เปิดโปรแกรมค้างไว้ (ปิดได้ที่ tray icon)

2. ใส่โปรแกรมไว้ใน Startup Folder

3. โปรแกรมสามารถ disable SMB1 เพื่อป้องกันการแพร่ของ malware

(ต้องรันโปรแกรมแบบ Run as Administrator)

โปรแกรมทำงานโดยการสร้าง Mutex ชื่อ

"MsWinZonesCacheCounterMutexA"

แบบ global ที่สามารถเข้าถึงได้จากทุก process ขึ้นมาในระบบเพื่อหลอกไม่ให้ malware WannaCry / WannaDecryptOr ทำงาน

** โปรแกรมนี้ไม่สามารถกำจัด malware ได้ ทำได้เพียงป้องกันไม่ให้ malware ทำงาน **

มีนักวิเคราะห์ด้านความปลอดภัยพบว่า code ภายในของ malware ตัวนี้มีการตรวจสอบค่า Mutex ดังกล่าว ถ้าพบจะตัว malware จะไม่เริ่มทำงาน

อ้างอิง: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

พัฒนาโดย ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ มหาวิทยาลัยเทคโนโลยีสุรนารี

==========================

เพิ่มเติมข้อมูลจากเพจ : Hacking & Security Book นะครับ

สิ่งที่ดีที่สุดในการป้องกัน WannaCry หรือ WannaCrypt หรือ WannaCrypt0r ก็แล้วแต่คือ

1. Patch MS17-010 ถ้า patch ไม่ได้ไม่ว่าด้วยเหตุผลใดๆก็แล้วแต่ก็ไปข้อ 2 (แต่ยัง recommended ให้ patch หากทำได้นะครับ)

2. Disable SMBv1 โดยด่วน เพราะการกระทำของ MS17-010 จะโจมตีไปยัง SMBv1 ดังนั้นหากเราปิดมันก็กันได้เช่นกัน

3. Block 445 จากการเข้าถึงจากภายนอก ส่วนภายในก็พยายามกัน Server ให้ดีในการเข้าถึง อนุญาตการเข้าถึง server ต่างๆเฉพาะที่จำเป็นเท่านั้น

4. พยายามทำ Backup บ่อยๆ ถือเป็นไพ่ตาย และแน่นอนว่าการ Backup ดังกล่าวไม่ใช่การ backup ภายในเครื่อง เพราะถ้าติด Ransomware ขึ้นมา มันไล่ลบ Backup ทิ้งก่อนเลยนะครัชบอกให้

==========================

ภาพจาก : https://intel.malwaretech.com/botnet/wcrypt