ไทยเซิร์ตเตือนภัยมัลแวร์เรียกค่าไถ่ผ่านวินโดวส์ ขอให้รีบอัปเดตทันที

เว็ปไซด์ThaiCERT เผยแพร่บทความแจ้งเตือนภัยมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์ โดยระบุว่า บริษัท Avast ได้รายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ชื่อ WannaCry เพื่อเข้ารหัสลับข้อมูลในคอมพิวเตอร์เรียกค่าไถ่ หากไม่จ่ายเงินตามที่เรียกจะไม่สามารถเปิดไฟล์ได้ โดยมัลแวร์นี้สามารถในการกระจายตัวเองจากคอมพิวเตอร์เครื่องหนึ่งไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่ายได้โดยอัตโนมัติ ผ่านระบบ SMB (Server Message Block) ของวินโดวส์ ผู้ใช้งานที่ไม่อัปเดตระบบปฏิบัติการวินโดวส์มีความเสี่ยงที่จะติดมัลแวร์นี้ ซึ่งแม้ว่า Microsoft จะมีการแก้ไขแล้วแต่ก็ยังพบการโจมตีมากกว่า 500,000 เครื่อง ใน 99 ประเทศ

จากข้อมูลของ Microsoft ระบบปฏิบัติการที่มีช่องว่างในระบบ SMB เวอร์ชัน 1 ที่ถูกใช้ในการโจมตีโดยมัลแวร์นี้ มีตั้งแต่ Windows XP, Windows Server 2003 ไปจนถึง Windows 10 และ Windows Server 2016 แต่เมื่อเดือนมีนาคม 2560 ทาง Microsoft ไม่ได้แก้ไขให้กับ Windows XP และ Windows Server 2003 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนไปแล้ว แต่ยังมีคอมพิวเตอร์ที่ใช้งานระบบปฏิบัติการนี้อยู่ จึงทำให้ถูกโจมตีได้ Microsoft จึงต้องให้ผู้ใช้งานสามารถดาวน์โหลดอัปเดตได้จากเว็บไซต์ของ Microsoft

ข้อแนะนำในการป้องกันและแก้ไข

1. สำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ

2. อัปเดตระบบปฎิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ หากเป็นไปได้ควรหยุดใช้งานระบบปฏิบัติการ Windows XP, Windows Server 2003 และ Windows Vista เนื่องจากสิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยแล้ว หากยังจำเป็นต้องใช้งานไม่ควรใช้กับระบบที่มีข้อมูลสำคัญ

3. ติดตั้งแอนติไวรัสและอัปเดตฐานข้อมูลอย่างสม่ำเสมอ ปัจจุบันแอนติไวรัสส่วนใหญ่ (รวมถึง Windows Defender ของ Microsoft) สามารถตรวจจับมัลแวร์ WannaCry สายพันธุ์ที่กำลังมีการแพร่ระบาดได้แล้ว

4. ผู้ดูแลระบบอาจพิจารณาปิดการใช้งาน SMBv1 หากไม่จำเป็น โดยทำการบล็อก และเฝ้าระวังการเชื่อมต่อบริการ SMB (Port 137/TCP 138/TCP 139/TCP 445/TCP) จากเครือข่ายภายนอก [6]

5. ในกรณีที่จำเป็นต้องมีการใช้ SMBv1 ให้ติดตั้ง Security Update MS17-010 จาก Microsoft (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) เพื่อแก้ไขช่องว่าง

6. ตั้งค่า Firewall เพื่อบล็อกการเชื่อมต่อกับไอพีแอดเดรสปลายทางตามตารางที่ 1 เนื่องจากเป็นไอพีที่ถูกใช้ในการแพร่กระจายและควบคุมมัลแวร์

7. หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น

8. หากพบเหตุต้องสงสัยหรือต้องการคำแนะนำเพิ่มเติมในกรณีนี้ สามารถประสานกับไทยเซิร์ตได้ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212

..

( อ่านรายงานฉบับเต็มได้ที่ https://www.thaicert.or.th/alerts/user/2017/al2017us001.html) 

www.thaicert.or.th