เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

ผู้เชี่ยวชาญแจกโปรแกรมป้องกัน Ransomware

Florian Roth นักวิจัยด้านความมั่นคงปลอดภัยได้ประยุกต์เอากลไกที่แรนซัมแวร์หลายตัวมักใช้มาใช้สร้างเป็นโปรแกรมที่เรียกได้ว่าเป็นวัคซีนป้องกันแรนซัมแวร์ที่ชื่อ ‘Raccine’

Credit: La1n/ShutterStock

ก่อนจะเข้าสู่เนื้อหาเราต้องรู้จักกับ Shadow Volume Copy Snapshot เสียก่อน ซึ่งมาจากฟีเจอร์ Shadow Volume Copies ตั้งแต่สมัย Vista ที่เปิดให้ทำ Snapshot หรือ Backup ไฟล์ โดยจะมีการพยายามสร้าง Snapshot ขึ้นทุกวันเพื่อใช้กู้คืนเอกสารในเวอร์ชันก่อนหน้าได้แม้จะถูกลบไปก็ตาม ทั้งนี้ก็คือเทคโนโลยีเดียวกันบน Windows System Restore นั่นเองที่เราใช้เพื่อกู้คืนข้อมูลกัน โดย Microsoft ได้มีเครื่องมือที่ชื่อ vssadmin.exe ให้แอดมินใช้บริหารจัดการเจ้า Shadow Volume Copies ได้

เคราะห์ร้ายที่คนร้ายแรนซัมแวร์หลายตัวรู้ทันว่าเราอาจจะกู้คืนไฟล์กลับมาได้ ดังนั้นแรนซัมแวร์เหล่านั้นเมื่อเริ่มต้นปฏิบัติการจึงใช้คำสั่งผ่าน vssadmin นี่แหละเข้าไปทำลาย Shadow Volume Copies ของเราเป็นอันดับแรกๆ ด้วยเหตุนี้เอง Roth จึงนำไอเดียมาขยายสร้างเป็นวัคซีนป้องกันที่ชื่อ Raccine

กลไกก็คือจะมีการลงทะเบียน raccine.exe ขอเป็น vssadmin debugger โดยใช้ Registry ที่ชื่อ Image File Execution Options ดังนั้นเมื่อ vssadmin จะปฏิบัติคำสั่ง raccine ก็สามารถไปหยุดโปรเซสที่พยายามทำร้าย Shadow Volume เสียก่อน

สิ่งที่ควรทราบ

  • raccine สามารถใช้ได้กับแรนซัมแวร์สายพันธ์ที่ใช้ vccadmin ทำลาย Shadow Volume เท่านั้น ซึ่งแม้ว่ามีอยู่หลายตัวแต่ก็ไม่สามารถป้องกันแรนซัมแวร์ที่ใช้กลไกอื่นได้
  • raccine อาจส่งผลกระทบต่อซอฟต์แวร์ Backup ที่ใช้ vssadmin เหมือนกัน แต่ผู้เขียนโปรแกรมก็เตรียมจะเพิ่มฟีเจอร์ Whitelist เข้ามาในเร็วๆ นี้เพื่ออนุญาตโปรแกรมดี ไม่ให้ได้รับผลกระทบ

ขั้นตอนการติดตั้ง

  1. ดาวน์โหลด Raccine.exe ได้ GitHub รวมถึงคู่มือต่างๆ พร้อมกับ Copy ด้วยสิทธิ์ระดับสูงไฟล์ไปไว้ใน C:\Windows 
  2. ดาวน์โหลด Registry ที่ชื่อ raccine-reg-patch ไปรันบนเครื่อง
  3. หากใช้แล้วไม่ถูกใจสามารถใช้ Registry raccine-reg-patch-uninstall.reg เพื่อถอนการติดตั้งและลบไฟล์ EXE ออก

ที่มา : https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

แฮ็กเกอร์เผยไอพีอุปกรณ์ Fortinet VPN กว่า 49,000 ตัวที่ยังไม่อุดช่องโหว่จากแพตช์เก่า

แฮ็กเกอร์ได้เผยแพร่ไอพีของอุปกรณ์ Fortinet กว่า 49,000 ตัวที่เปิดใช้ SSL VPN ที่ยังไม่ได้รับการแพตช์แก้ไขช่องโหว่เก่าเมื่อ 2 ปีก่อน

ผู้เชี่ยวชาญเตือนพบการสแกนหาไฟล์ ENV เพื่อลอบขโมยข้อมูลคอนฟิคผ่านอินเทอร์เน็ต

Greynoise ผู้เชี่ยวชาญด้าน Cybersecurity ได้ออกเตือนองค์กร ให้ระวังไฟล์ ENV ในระบบ เนื่องจากพบความพยายามสแกนหาไฟล์เหล่านี้อย่างเข้มข้นเมื่อเดือนที่ผ่านมา