แจ้งเตือนการแพร่กระจาย และวิธีการป้องกัน การเรียกค่าไถ่ไฟล์ WannaDEcryptor 2.0, WannaCrypt

Created: 15 May 2017

แจ้งเตือนการแพร่กระจาย การเรียกค่าไถ่ไฟล์ WannaDEcryptor 2.0, WannaCrypt (สำคัญ) (อัพเดทและสำรองข้อมูล)

เนื่องจากวันที่ 13 พฤษภาคม 2559 ได้มีการระบาดการติดเชื้อไฟล์เรียกค่าไถ่ตัวใหม่ WannaDEcryptor 2.0 ซึ่งได้แพร่กระจายไปแล้วทั่วโลกภายใน 24 ชม. ในกว่า 100 ประเทศและได้เข้าในประเทศไทยแล้ว

โดยถูกพัฒนาจากการขโมยเครื่องมือของ "Eternal Blue" NSA สหรัฐอเมริกา ( https://goo.gl/3paVCE ) โดยใช้รหัสการแพร่เชื้อนามสกุล .WCRY .WNCRY ทางเราจึงขอแจ้งให้ท่านลูกค้าทุกท่าน ทำการอัพเดทระบบปฏิบัติการ Windows Vista, 7, 10, Server 2003, 2008,2012, 2016 เพื่ออุดช่องโหว่ Zero-Day อย่างทันที โดยช่องโหว่นี้ทำให้ Malware ยกระดับสิทธิเท่าเทียม Admin และสามารถสั่งปิด/หยุดการทำงานระบบความปลอดภัยได้ทั้งหมด รวมถึงไฟล์สำรองบางนามสกุลที่สำรองบนหน่วยความจำเดียวกัน

- อัพเดท Windows Patch MS17-010 สำหรับ Windows Vista, 7, 10, Server 2003, 2008,2012, 2016 ( https://technet.microsoft.com/en-us/library/security/ms17-010.aspx )

- เปิด Firewall เพื่อ ปิดกั้น (กรณีไม่ได้ใช้งานฐานข้อมูล), ตรวจสอบ (กรณีใช้ Personal Firewall และ 'จำเป็น' ต้องใช้) พอร์ต 139 และ 445

- ปิด Service SMBv1 ( https://goo.gl/oZ6hZF ) ( https://goo.gl/N2Vq3n )

- ติดตั้งโปรแกรมหยุดการทำงาน WannaCrypt จากห้องปฏิบัติการวิจัยไอยราคลัสเตอร์ มหาวิทยาลัยเทคโนโลยีสุรนารี ( https://www.techtalkthai.com/sut-aiyara-cluster-releases-free-wanncry-protection-program/ )

- สำรองข้อมูลทั้งหมด Clone เป็นประจำ อย่างน้อย 2 ครั้งต่อเดือนเป็นเวลาอย่างน้อย 3 เดือน หรือใช้ระบบ Storage Cloud ที่เชื่อถือได้ นอกเหนือจากการทำ Mirror และจัดเก็บข้อมูลสำรองแยกส่วนไม่ให้เชื่อมต่อขึ้นบนเครือข่ายเดียวกับข้อมูลหลัก หากพบว่าติด Malware ดังกล่าวแล้ว ให้แยกการเชื่อมต่อออกจากระบบส่วนกลาง ตัดการเชื่อมต่อทางอินเทอเนตทั้งหมด รวมถึงอีเมลล์ ห้ามอนุญาต UAC ใดๆทั้งสิ้น เพื่อไม่ให้การทำงานนั้นครอบคลุมทั้งหมด

- จำต้องทราบว่าตอนนี้ยังไม่มีวิธีการถอดรหัสหรือกู้คืนไฟล์โดยไม่ต้องใช้ไฟล์สำรอง จึงทำได้เพียงหยุดยั้งการแพร่กระจายในระบบเครือข่ายภายในเท่านั้น

- ระมัดระวังการเชื่อมต่อระบบสำรองใดๆก็ตามในเครื่องที่ติดเชื้อ โดยแนะนำให้ล้างเครื่องหรือกำจัดไฟล์ติดเชื้อทั้งหมดที่แฝงตัวอยู่ ( https://www.youtube.com/watch?v=wg44hFvsqyE )

- ตรวจสอบด้วย Antivirus เพื่อตรวจสอบสิ่งแปลกปลอม (ควรทำหลังจากหยุดการแฝงตัวของ Malware แล้ว) ควรทำอย่างเร่งด่วน โดยมุ่งไปที่หน่วยงานขนาดกลาง-ใหญ่ซึ่งสามารถแพร่กระจายต่อไปได้อีก ทุกหน่วยงานจึงควรทำการอัพเดทระบบความปลอดภัยระบบปฏิบัติการณ์โดยด่วน

WannaCrypt Live Monitor ( https://intel.malwaretech.com/WannaCrypt.html )
WannaCrypt Tracker and Statistic ( https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all )

Pace To Company Limited.
support @ paceto.co.th
02 950 1410, 091 076 8044

ติดตามอัพเดทข่าวสารได้ทาง Facebook.com/Antivirussoftcom