จะป้องกันตัวเองจากแรนซัมแวร์ WannaCry ได้อย่างไร?

เบ็ดเตล็ดDec 20, 2021
click fraud protection

แรนซัมแวร์ WannaCry คือการระบาดใหญ่ทางไซเบอร์รูปแบบใหม่และแพร่หลายซึ่งจับเครื่องคอมพิวเตอร์ไปแล้วกว่า 230,000 เครื่องแล้ว ด้วยปริมาณการแพร่กระจายในปัจจุบัน WannaCry กำลังเข้าใกล้ระดับของภัยคุกคามทางไซเบอร์ที่น่าอับอายอื่นๆ เช่น Cerber หรือ Locky

อย่างไรก็ตามสิ่งที่แตกต่าง WCry จากปรสิตที่อันตรายที่สุดของปีที่แล้ว 2 ตัวนี้คือการใช้เทคนิคการกระจายแบบใหม่ที่ทำ ไม่ต้องการให้เหยื่อคลิกที่ลิงค์ที่ติดไวรัสหรือมีส่วนร่วมในการรับแรนซัมแวร์ในที่อื่น ทาง.

ภาพของแรนซัมแวร์ WannaCrypt

มัลแวร์ใช้แนวทางปฏิบัติและเครื่องมือที่ใช้โดยหน่วยข่าวกรองของสหรัฐอเมริกาเพื่อเจาะเข้าไปในคอมพิวเตอร์และเรียกใช้สคริปต์ที่เป็นอันตรายเพื่อทำให้ข้อมูลของผู้ใช้ไม่สามารถเข้าถึงได้ โดยเฉพาะอย่างยิ่ง แรนซัมแวร์ใช้ช่องโหว่ EternalBlue เพื่อกำหนดเป้าหมายอุปกรณ์ Windows ที่มีช่องโหว่ MS17-010 ที่ไม่ได้รับการแก้ไข ช่องว่างด้านความปลอดภัยนี้เปิดอยู่ในเวอร์ชัน Windows ซึ่งไม่ได้รับการสนับสนุนอีกต่อไปและไม่ได้รับการอัปเดตด้านความปลอดภัย

โชคดีที่เหตุการณ์ล่าสุด Microsoft ได้ออกแพตช์ฉุกเฉินสำหรับ Windows XP, Windows Server 2003, Windows 8 และระบบปฏิบัติการที่ล้าสมัยอื่นๆ อีกสองสามตัว แต่ถึงแม้การอัปเดตซอฟต์แวร์อาจไม่เพียงพอต่อการป้องกันการโจมตีของแรนซัมแวร์

ด้านล่างนี้ เราจะให้คำแนะนำวิธีปิดใช้งานฟังก์ชัน SMB (Server Message Block) ซึ่งใช้ในการปรับใช้โปรแกรมที่เป็นอันตราย WanaCrypt0r ไฟล์บนคอมพิวเตอร์ แต่ก่อนที่เราจะไปที่บทช่วยสอน เราต้องการให้คำจำกัดความสั้น ๆ ของมัลแวร์และลักษณะการทำงานบนคอมพิวเตอร์ที่ติดไวรัส เพื่อช่วยให้คุณจดจำได้ง่ายขึ้น

Wannacry ใช้นามสกุลที่แตกต่างกันเพื่อทำเครื่องหมายไฟล์ที่เข้ารหัส

อย่างที่คุณอาจสังเกตเห็น ในย่อหน้าก่อนหน้านี้ เราได้ใช้ชื่อต่างๆ เพื่ออ้างถึงไวรัส WannaCry แท้จริงแล้วเป็นเพราะไวรัสเดินทางไปมาในรูปทรงและรูปแบบต่างๆ ที่หลากหลาย ซึ่งมักจะยากกว่าที่จะจดจำและยุติ

การวิจัยพบว่าขณะนี้ไวรัสใช้นามสกุล .wncry, .wncrytt, .wcry หรือ .wncryt เพื่อทำเครื่องหมายไฟล์ที่เข้ารหัส แต่เราสามารถคาดหวังรูปแบบอื่น ๆ ได้มากขึ้นเมื่อ ransomware หยิบขึ้นมา ความเร็ว. หากต้องการลบส่วนขยายเหล่านี้และกู้คืนไฟล์ ผู้ใช้จะต้องจ่ายเงินให้กับนักกรรโชกสูงถึง 600 ดอลลาร์ใน Bitcoin; มิฉะนั้น ข้อมูลที่เข้ารหัสจะถูกทำลาย @[ป้องกันอีเมล] หน้าต่างจะเปิดตัวจับเวลาซึ่งนับถอยหลังเวลาจนกว่าข้อมูลจะถูกทำลาย ขออภัย ขณะนี้ไม่มีซอฟต์แวร์ถอดรหัสฟรีที่สามารถช่วยกู้คืนข้อมูลที่เข้ารหัสได้ฟรี

ดังนั้น เมื่อคุณติดเชื้อแล้ว ไม่มีอะไรมากที่คุณสามารถทำได้เพื่อย้อนกลับผลที่ตามมาจากการโจมตี ดังนั้น การดำเนินการและปกป้องอุปกรณ์ของคุณจึงสำคัญกว่ามาก ก่อนที่ไวรัสใดๆ จะเข้ามาเหยียบระบบของคุณ นี่คือขั้นตอนบางส่วนที่คุณควรดำเนินการเพื่อป้องกันการแทรกซึมของ WannaCry

จะปิดการใช้งาน SMB และป้องกันการโจมตีของ WannaCry ได้อย่างไร?

ฟังก์ชัน SMB (Server Message Block) เป็นช่องโหว่หลักที่ทำให้แรนซัมแวร์สามารถแพร่ระบาดในคอมพิวเตอร์ได้ เนื่องจากคุณสมบัตินี้เปิดใช้งานบน Windows โดยค่าเริ่มต้น นักกรรโชกจึงสามารถใช้เพื่อโจมตีได้อย่างง่ายดาย ดังนั้น เราขอแนะนำอย่างยิ่งให้ปิดการใช้งานหากคุณไม่ได้ใช้งาน มันง่ายมากและคุณสามารถทำได้ในสามขั้นตอนพื้นฐาน:

  1. คลิกโลโก้ Windows ที่มุมซ้ายล่างของหน้าจอ แล้วพิมพ์ “Windows Features” ในแถบค้นหา
  2. เปิดหน้าต่างคุณสมบัติและไปที่การตั้งค่าและค้นหารายการ SMB เลิกทำเครื่องหมายแล้วคลิกตกลง
  3. รีสตาร์ทคอมพิวเตอร์

คุณยังสามารถปิดใช้งาน SMB ผ่าน PowerShell ได้อีกด้วย สิ่งที่คุณต้องทำคือพิมพ์ “Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol” หลังจากที่ปิดใช้งานคุณลักษณะนี้แล้ว เราขอแนะนำให้รีบูตเครื่องคอมพิวเตอร์