มหาวิทยาลัยเทคโนโลยีสุรนารีเจ๋ง แจกโปรแกรมป้องกันไม่ให้มัลแวร์ WannaCry ทำงาน

*** แตก zip ไฟล์ แล้วดับเบิลคลิ๊กที่ไอคอนครับ

1. เปิดโปรแกรมค้างไว้ (ปิดได้ที่ tray icon)
2. ใส่โปรแกรมไว้ใน Startup Folder
3. โปรแกรมสามารถ disable SMB1 เพื่อป้องกันการแพร่ของ malware
(ต้องรันโปรแกรมแบบ Run as Administrator)

โปรแกรมทำงานโดยการสร้าง Mutex ชื่อ
“MsWinZonesCacheCounterMutexA”
แบบ global ที่สามารถเข้าถึงได้จากทุก process ขึ้นมาในระบบเพื่อหลอกไม่ให้ malware WannaCry / WannaDecryptOr ทำงาน

** โปรแกรมนี้ไม่สามารถกำจัด malware ได้ ทำได้เพียงป้องกันไม่ให้ malware ทำงาน **

มีนักวิเคราะห์ด้านความปลอดภัยพบว่า code ภายในของ malware ตัวนี้มีการตรวจสอบค่า Mutex ดังกล่าว ถ้าพบจะตัว malware จะไม่เริ่มทำงาน
อ้างอิง:
https://securelist.com/…/wannacry-ransomware-used-in-wides…/

พัฒนาโดย ห้องปฏิบัติการวิจัยไอยราคลัสเตอร์
มหาวิทยาลัยเทคโนโลยีสุรนารี
==========================
เพิ่มเติมข้อมูลจากเพจ : Hacking & Security Book นะครับ
สิ่งที่ดีที่สุดในการป้องกัน WannaCry หรือ WannaCrypt หรือ WannaCrypt0r ก็แล้วแต่คือ
1. Patch MS17-010 ถ้า patch ไม่ได้ไม่ว่าด้วยเหตุผลใดๆก็แล้วแต่ก็ไปข้อ 2 (แต่ยัง recommended ให้ patch หากทำได้นะครับ)
2. Disable SMBv1 โดยด่วน เพราะการกระทำของ MS17-010 จะโจมตีไปยัง SMBv1 ดังนั้นหากเราปิดมันก็กันได้เช่นกัน
3. Block 445 จากการเข้าถึงจากภายนอก ส่วนภายในก็พยายามกัน Server ให้ดีในการเข้าถึง อนุญาตการเข้าถึง server ต่างๆเฉพาะที่จำเป็นเท่านั้น
4. พยายามทำ Backup บ่อยๆ ถือเป็นไพ่ตาย และแน่นอนว่าการ Backup ดังกล่าวไม่ใช่การ backup ภายในเครื่อง เพราะถ้าติด Ransomware ขึ้นมา มันไล่ลบ Backup ทิ้งก่อนเลยนะครัชบอกให้