ก่อนหน้านี้ทาง MalwareTech ผู้ที่เป็นเจ้าแรกๆที่ได้มีการวิเคราะห์ WannaCrypt0r หรือ WannaCry Ransomware พบ Kill Switch ของ Ransomware เจ้าปัญหานี้ว่าจะมีการตรวจสอบว่าสามารถไปยัง “www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com” ได้หรือไม่ ถ้าได้ก็จะหยุดทำงาน ซึ่งทำให้มีบางคนคิดว่ารอดพ้นจากการติด Ransomware แล้วแต่หารู้ไม่ว่ามันเป็นแค่การชะลอการแพร่กระจายเท่านั้น

ล่าสุดทาง Kaspersky พบ WannaCry เวอร์ชั่นที่ไม่มีการตรวจสอบ domain หรือก็คือการตัด feature “KillSwitch” ออกไปเสียแล้วนั่นเอง ทำให้ WannaCry เริ่มกลับมาระบาดต่ออีกครั้งอย่างรวดเร็ว(ไม่เกิน 24 ชม.)

Demo การรัน WannaCry version ที่ตัด Kill Switch ออก

ดังนั้นเราหันกลับมาป้องกันที่ตัวเราเองจะดีกว่าครับ โดยวิธีที่ดีที่สุดในการป้องกัน WannaCry คือ

1. Patch MS17-010 ถ้า patch ไม่ได้ไม่ว่าด้วยเหตุผลใดๆก็แล้วแต่ก็ให้กระทำตามข้อ 2 (แต่ยัง recommended ให้ patch หากทำได้นะครับ)
2. Disable SMBv1 โดยด่วน เพราะการกระทำของ MS17-010 จะโจมตีไปยัง SMBv1 ดังนั้นหากเราปิดมันก็กันได้เช่นกัน หากทำไม่ได้อีกให้ไปข้อ 3
3. Block 445 จากการเข้าถึงจากภายนอก ส่วนภายในก็พยายามกัน Server ให้ดีในการเข้าถึง อนุญาตการเข้าถึง server ต่างๆเฉพาะที่จำเป็นเท่านั้น
4. พยายามทำ Backup บ่อยๆ ถือเป็นไพ่ตาย และแน่นอนว่าการ Backup ดังกล่าวไม่ใช่การ backup ภายในเครื่อง เพราะถ้าติด Ransomware ขึ้นมา มันไล่ลบ Backup ทิ้งก่อนเลยนะครัชบอกให้

Source:: TheHackerNews