ສະຖານະການການໂຈມຕີ
ເມື່ອວັນທີ 12 ພຶດສະພາ 2017 ບໍລິສັດ Avast ໄດ້ລາຍງານການແຜ່ລະບາດຂອງມັນແວ (Malware) ຮຽກຄ່າໄຖ່ WannaCry ຊຶ່ງມັນແວດັ່ງກ່າວມີຈຸດປະສົງຫຼັກເພື່ອເຂົ້າລະຫັດຂໍ້ມູນໃນຄອມພິວເຕີເພື່ອຮຽກຄ່າໄຖ່ ຫາກບໍ່ຈ່າຍເງິນຕາມທີ່ຮຽກຈະບໍ່ສາມາດເປີດໄຟລ໌ໄດ້.
ສິ່ງທີ່ໜ້າກັງວົນເປັນພິເສດສໍາລັບມັນແວນີ້ ຄືຄວາມສາມາດໃນການກະຈາຍຕົນເອງຈາກເຄື່ອງຄອມພິວເຕີໜຶ່ງໄປຍັງເຄື່ອງຄອມພິວເຕີອື່ນໆ ໃນເຄືອຂ່າຍໄດ້ໂດຍອັດຕະໂນມັດ ຜ່ານຊ່ອງໂຫວ່ລະບົບ SMB (Server Message Block) ຂອງວິນໂດ ຜູ້ໃຊ້ງານທີ່ບໍ່ອັບເດດລະບົບປະຕິບັດການວິນໂດມີຄວາມສ່ຽງທີ່ຈະຕິດມັນແວນີ້.
ຊ່ອງໂຫວ່ທີ່ຖືກໃຊ້ໃນການແຜ່ກະຈາຍມັນແວ ເປັນຊ່ອງໂຫວ່ທີ່ຖືກເປີດເຜີຍສູ່ສາທາລະນະຕັ້ງແຕ່ລະຫວ່າງເດືອນ ເມສາ 2017 ແລະ ເຖິງແມ່ນວ່າທາງ Microsoft ຈະເຜີຍແຜ່ອັບເດດແກ້ໄຂຊ່ອງໂຫວ່ດັ່ງກ່າວຕັ້ງແຕ່ວັນທີ 14 ມີນາ 2017 ແລ້ວ ແຕ່ກໍ່ຍັງພົບວ່າປັດຈຸບັນມີເຄື່ອງຄອມພິວເຕີທີ່ຍັງບໍ່ໄດ້ອັບເດດແພັດ (Patch) ດັ່ງກ່າວ ແລະ ຖືກໂຈມຕີຈາກມັນແວນີ້ຫຼາຍກວ່າ 500,000 ເຄື່ອງ ໃນ 99 ປະເທດ ໂດຍສະເພາະເຮັດໃຫ້ເກີດຜົນກະທົບສູງຕໍ່ຫນ່ວຍງານສາທາລະນະສຸກຂອງປະເທດ ອັງກິດ.
ຈາກຂໍ້ມູນຂອງ Microsoft ລະບົບປະຕິບັດການທີ່ມີຊ່ອງໂຫວ່ໃນລະບົບ SMB ເວີຊັ່ນ 1 ທີ່ຖືກໃຊ້ໃນການໂຈມຕີໂດຍມັນແວນີ້ ມີຕັ້ງແຕ່ Windows XP, Windows Server 2003 ໄປຈົນເຖິງ Windows 10 ແລະ Windows Server 2016 ແຕ່ໃນເດືອນມີນາ 2017 ທາງ Microsoft ບໍ່ໄດ້ອອກອັບເດດແກ້ໄຂຊ່ອງໂຫວ່ນີ້ໃຫ້ກັບ Windows XP ແລະ Windows Server 2003 ເນື່ອງຈາກສີ້ນສຸດໄລຍະເວລາສະໜັບສະໜູນແລ້ວ ຢ່າງໃດກໍ່ຕາມ ເນື່ອງຈາກປັດຈຸບັນຍັງມີເຄື່ອງຄອມພິວເຕີທີ່ໃຊ້ງານສອງລະບົບປະຕິບັດການດັ່ງກ່າວ ແລະ ຍັງເຊື່ອມຕໍ່ກັບອິນເຕີເນັດຢູ່ ຈຶ່ງເຮັດໃຫ້ຖືກໂຈມຕີໄດ້, Microsoft ຈຶ່ງອອກອັບເດດສຸກເສີນມາເພື່ອແກ້ໄຂບັນຫານີ້ ໂດຍຜູ້ໃຊ້ສາມາດດາວໂຫຼດອັບເດດດັ່ງກ່າວໄດ້ຈາກເວັບໄຊຂອງ Microsoft.
ພຶດຕິກຳຂອງມັນແວ WannaCry
ປັດຈຸບັນພົບເຫັນຂໍ້ມູນລາຍງານການກວດສອບມັນແວຈາກເວັບໄຊ Hybrid Analysis ຊຶ່ງໃຫ້ບໍລິການວິເຄາະມັນແວ ມີຜົນໄດ້ຮັບຂອງການວິເຄາະໄຟລ໌ຕ້ອງສົງໄສ ຊຶ່ງຜູ້ໃຊ້ງານຕັ້ງຊື່ວ່າ wannacry.exe ຜົນໄດ້ຮັບສະແດງໃຫ້ເຫັນວ່າເປັນມັນແວປະເພດ Ransomware ແລະ ມີສາຍພັນສອດຄ້ອງກັບມັນແວ WannaCry ທີ່ແຜ່ລະບາດຢູ່ໃນປັດຈຸບັນ ຊຶ່ງມີຟັງຊັ່ນ (Function) ທີ່ພົບເຫັນເລື່ອງການເຂົ້າລະຫັດຂໍ້ມູນໄຟລ໌ເອກະສານໃນເຄື່ອງຄອມພິວເຕີ, ການສະແດງຜົນຂໍ້ຄວາມຮຽກຄ່າໄຖ່ ເປັນຕົ້ນ. ໃນລາຍງານກ່າວເຖິງການເຊື່ອມໂຍງຂໍ້ມູນກັບໄອພີ (IP Address) ຈາກຕ່າງປະເທດຕາມຕາຕະລາງດ້ານລຸ່ມ ຊຶ່ງຄາດວ່າເປັນໄອພີຂອງຜູ້ບໍ່ປະສົງດີທີ່ໃຊ້ໃນການຄວບຄຸມ ແລະ ສັ່ງການ.
ຕາຕະລາງທີ 1 ສະແດງການເຊື່ອມຕໍ່ຈາກເຄື່ອງຄອມພິວເຕີທີ່ຕິດມັນແວ WannaCry
ໄອພີປາຍທາງ ພອດ (Port) ປາຍທາງ ປະເທດ
213.61.66.116 9003/TCP Germany
171.25.193.9 80/TCP Sweden
163.172.35.247 443/TCP United Kingdom
128.31.0.39 9101/TCP United States
185.97.32.18 9001/TCP Sweden
178.62.173.203 9001/TCP European Union
136.243.176.148 443/TCP Germany
217.172.190.251 443/TCP Germany
94.23.173.93 443/TCP France
50.7.151.47 443/TCP United States
83.162.202.182 9001/TCP Netherlands
163.172.185.132 443/TCP United Kingdom
163.172.153.12 9001/TCP United Kingdom
62.138.7.231 9001/TCP Germany
ນອກຈາກນີ້ຍັງເຫັນວ່າມີຜູ້ຮວບຮວມຂໍ້ມູນກ່ຽວກັບພຶດຕິກຳຂອງມັນແວ WannaCry ໄວ້ໃນເວັບໄຊ Github ລວມເຖິງໄຟລ໌ມັນແວຕົວຢ່າງ ຊຶ່ງທາງສູນລາວເຊິດ ກຳລັງຢູ່ໃນລະຫວ່າງການນຳໄຟລ໌ດັ່ງກ່າວມາເຂົ້າກະບວນການກວດວິເຄາະຕໍ່ໄປ.
ຂໍ້ແນະນຳໃນການປ້ອງກັນ
ຕິດຕັ້ງແພັດ (Patch) ແກ້ໄຂຊ່ອງໂຫວ່ SMBv1 ຈາກ Microsoft ຊຶ່ງ Windows Vista, Windows Server 2008 ເຖິງ Windows 10 ແລະ Windows Server 2016 ດາວໂຫຼດອັບເດດໄດ້ຈາກ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ສ່ວນ Windows XP ແລະ Windows Server 2003 ດາວໂຫຼດອັບເດດໄດ້ຈາກ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
ຖ້າຫາກວ່າບໍ່ສາມາດຕິດຕັ້ງອັບເດດໄດ້ ເນື່ອງຈາກມັນແວຮຽກຄ່າໄຖ່ WannaCry ແຜ່ກະຈາຍຜ່ານທາງຊ່ອງໂຫວ່ SMBv1 ຊຶ່ງຖືກໃຊ້ໃນ Windows ເວີຊັ່ນເກົ່າ ເຊັ່ນ Windows XP, Windows Server 2003 ຫຼື ລະບົບເຊິເວີບາງລຸ້ນ ຖ້າຫາກໃຊ້ງານ Windows ເວີຊັ່ນໃໝ່ ແລະ ບໍ່ມີຄວາມຈຳເປັນຕ້ອງໃຊ້ SMBv1 ຜູ້ເບິ່ງແຍງລະບົບອາດພິຈາລະນາປິດການໃຊ້ງານ SMBv1 ໂດຍເບິ່ງວິທີການປິດໄດ້ຈາກ https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
ຫາກບໍ່ສາມາດຕິດຕັ້ງອັບເດດໄດ້ ຜູ້ເບິ່ງແຍງລະບົບຄວນຕິດຕາມ ແລະ ປ້ອງກັນການເຊື່ອມຕໍ່ພອດ (Port) SMB (TCP 137, 139 ແລະ 445 UDP 137 ແລະ 138) ຈາກເຄືອຂ່າຍພາຍນອກ ຢ່າງໃດກໍ່ຕາມ ການບລັອກ (Block) ພອດ SMB ອາດມີຜົນກະທົບກັບບາງລະບົບທີ່ຈຳເປັນຕ້ອງໃຊ້ງານພອດເຫຼົ່ານີ້ ເຊັ່ນ file sharing, domain, printer ຜູ້ເບິ່ງແຍງລະບົບຄວນກວດສອບກ່ອນບລັອກພອດເພື່ອປ້ອງກັນບໍ່ໃຫ້ເກີດບັນຫາ.
ຕັ້ງຄ່າ Firewall ເພື່ອບລັອກການເຊື່ອມຕໍ່ກັບໄອພີປາຍທາງຕາມຕາຕະລາງທີ 1 ເນື່ອງຈາກເປັນໄອພີທີ່ຖືກໃຊ້ໃນການແຜ່ກະຈາຍ ແລະ ຄວບຄຸມມັນແວ.
ອັບເດດລະບົບປະຕິບັດການໃຫ້ເປັນເວີຊັ່ນລ່າສຸດຢູ່ສະເໝີ ຫາກເປັນໄດ້ໄດ້ຄວນຢຸດໃຊ້ງານລະບົບປະຕິບັດການ Windows XP, Windows Server 2003 ແລະ Windows Vista ເນື່ອງຈາກສີ້ນສຸດໄລຍະເວລາສະໜັບສະໜູນດ້ານຄວາມໝັ້ນຄົງປອດໄພແລ້ວ ຫາກຍັງຈຳເປັນຕ້ອງໃຊ້ງານບໍ່ຄວນໃຊ້ກັບລະບົບທີ່ມີຂໍ້ມູນສຳຄັນ.
ຕິດຕັ້ງໂປແກຣມປ້ອງກັນໄວຣັສ (Antivirus) ແລະ ອັບເດດ (Update) ຖານຂໍ້ມູນຢ່າງສະໝ່ຳສະເໝີ ປັດຈຸບັນໂປຣແກຣມປ້ອງກັນໄວຣັສສ່ວນໃຫຍ່ (ລວມເຖິງ Windows Defender ຂອງ Microsoft) ສາມາດກວດຈັບມັນແວ WannaCry ສາຍພັນທີ່ກຳລັງມີການແຜ່ລະບາດໄດ້ແລ້ວ.
ຂໍ້ແນະນຳອື່ນໆ
ປັດຈຸບັນຍັງບໍ່ພົບຊ່ອງທາງທີ່ສາມາດກູ້ຄືນໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດຈາກມັນແວຮຽກຄ່າໄຖ່ WannaCry ໄດ້ໂດຍບໍ່ຈ່າຍເງິນ ແຕ່ການຈ່າຍເງິນກໍ່ມີຄວາມສ່ຽງເນື່ອງຈາກບໍ່ສາມາດໝັ່ນໃຈໄດ້ວ່າຈະໄດ້ຂໍ້ມູນກັບຄືນມາ.
ຈາກທີ່ມີການເຜີຍແຜ່ຂ່າວສານວ່າສາມາດຢຸດຢັ້ງການເຮັດວຽກຂອງມັນແວ WannaCry ໄດ້ນັ້ນ ກວດສອບແລ້ວເປັນພຽງແຕ່ການຢຸດຢັ້ງແບບຊົ່ວຄາວ ໂດຍມີຜົນສະເພາະກັບມັນແວບາງເວີຊັ່ນເທົ່ານັ້ນ ບໍ່ສາມາດປ້ອງກັນບັນຫາໄດ້ແບບຖາວອນ ໂດຍທີ່ຍັງບໍ່ມີການອັບເດດແກ້ໄຂຊ່ອງໂຫວ່ ເນື່ອງຈາກຜູ້ພັດທະນາມັນແວສາມາດເຜີຍແຜ່ເວີຊັ່ນໃໝ່ທີ່ຫຼົບຫຼີກການປ້ອງກັນໄດ້.
ມັນແວຮຽກຄ່າໄຖ່ WannaCry ເວີຊັ່ນທີ່ມີການແຜ່ລະບາດຢູ່ໃນປັດຈຸບັນ ຍັງບໍ່ພົບວ່າມີການແຜ່ກະຈາຍຜ່ານອີເມວ ຢ່າງໃດກໍ່ຕາມ ອາດມີການແຜ່ກະຈາຍຜ່ານອີເມວໃນອະນາຄົດ ຜູ້ໃຊ້ຄວນເອົາໃຈໃສ່ເຖິງຄວາມສ່ຽງຂອງການເປີດໄຟລ໌ແນບໃນອີເມວທີ່ໜ້າສົງໄສ.
ຄວນສຳຮອງຂໍ້ມູນໃນເຄື່ອງຄອມພິວເຕີທີ່ໃຊ້ງານຢ່າງສະໝ່ຳສະເໝີ ແລະ ຫາກເປັນໄປໄດ້ໃຫ້ເກັບຂໍ້ມູນສຳຮອງໄວ້ໃນອຸປະກອນທີ່ບໍ່ມີການເຊື່ອມຕໍ່ກັບຄອມພິວເຕີ ຫຼື ລະບົບເຄືອຂ່າຍອື່ນໆ.
ຖ້າຫາກມີການແຊຣ໌ (Share) ຂໍ້ມູນຮ່ວມກັນຜ່ານລະບົບເຄືອຂ່າຍ ໃຫ້ກວດສອບສິດທິໃນການເຂົ້າເຖິງຂໍ້ມູນແຕ່ລະສ່ວນ ແລະ ກຳນົດສິດໃຫ້ຜູ້ໃຊ້ມີສິດອ່ານ ຫຼື ແກ້ໄຂສະເພາະໄຟລ໌ທີ່ມີຄວາມຈຳເປັນຕ້ອງໃຊ້ສິດທິເຫຼົ່ານັ້ນ
ຫາກພົບເຫດການທີ່ໜ້າສົງໄສ ຫຼື ຕ້ອງການຄຳແນະນຳເພີ່ມເຕີມໃນກໍລະນີນີ້ ສາມາດປະສານກັບ ສູນສະກັດກັ້ນ ແລະ ແກ້ໄຂເຫດສຸກເສີນທາງຄອມພິວເຕີ (ສກຄ) ຫຼື Lao Computer Emergency Response Team (LaoCERT) ໄດ້ທາງອີເມວ [email protected] ຫຼື ໂທລະສັບ +856-30-5764222.
Source: https://www.laocert.gov.la/News-79–WannaCry-Windows
