Microsoft Azure by Ingram Micro (Thailand)

ผู้เชี่ยวชาญแจกโปรแกรมป้องกัน Ransomware

Florian Roth นักวิจัยด้านความมั่นคงปลอดภัยได้ประยุกต์เอากลไกที่แรนซัมแวร์หลายตัวมักใช้มาใช้สร้างเป็นโปรแกรมที่เรียกได้ว่าเป็นวัคซีนป้องกันแรนซัมแวร์ที่ชื่อ ‘Raccine’

Credit: La1n/ShutterStock

ก่อนจะเข้าสู่เนื้อหาเราต้องรู้จักกับ Shadow Volume Copy Snapshot เสียก่อน ซึ่งมาจากฟีเจอร์ Shadow Volume Copies ตั้งแต่สมัย Vista ที่เปิดให้ทำ Snapshot หรือ Backup ไฟล์ โดยจะมีการพยายามสร้าง Snapshot ขึ้นทุกวันเพื่อใช้กู้คืนเอกสารในเวอร์ชันก่อนหน้าได้แม้จะถูกลบไปก็ตาม ทั้งนี้ก็คือเทคโนโลยีเดียวกันบน Windows System Restore นั่นเองที่เราใช้เพื่อกู้คืนข้อมูลกัน โดย Microsoft ได้มีเครื่องมือที่ชื่อ vssadmin.exe ให้แอดมินใช้บริหารจัดการเจ้า Shadow Volume Copies ได้

เคราะห์ร้ายที่คนร้ายแรนซัมแวร์หลายตัวรู้ทันว่าเราอาจจะกู้คืนไฟล์กลับมาได้ ดังนั้นแรนซัมแวร์เหล่านั้นเมื่อเริ่มต้นปฏิบัติการจึงใช้คำสั่งผ่าน vssadmin นี่แหละเข้าไปทำลาย Shadow Volume Copies ของเราเป็นอันดับแรกๆ ด้วยเหตุนี้เอง Roth จึงนำไอเดียมาขยายสร้างเป็นวัคซีนป้องกันที่ชื่อ Raccine

กลไกก็คือจะมีการลงทะเบียน raccine.exe ขอเป็น vssadmin debugger โดยใช้ Registry ที่ชื่อ Image File Execution Options ดังนั้นเมื่อ vssadmin จะปฏิบัติคำสั่ง raccine ก็สามารถไปหยุดโปรเซสที่พยายามทำร้าย Shadow Volume เสียก่อน

สิ่งที่ควรทราบ

  • raccine สามารถใช้ได้กับแรนซัมแวร์สายพันธ์ที่ใช้ vccadmin ทำลาย Shadow Volume เท่านั้น ซึ่งแม้ว่ามีอยู่หลายตัวแต่ก็ไม่สามารถป้องกันแรนซัมแวร์ที่ใช้กลไกอื่นได้
  • raccine อาจส่งผลกระทบต่อซอฟต์แวร์ Backup ที่ใช้ vssadmin เหมือนกัน แต่ผู้เขียนโปรแกรมก็เตรียมจะเพิ่มฟีเจอร์ Whitelist เข้ามาในเร็วๆ นี้เพื่ออนุญาตโปรแกรมดี ไม่ให้ได้รับผลกระทบ

ขั้นตอนการติดตั้ง

  1. ดาวน์โหลด Raccine.exe ได้ GitHub รวมถึงคู่มือต่างๆ พร้อมกับ Copy ด้วยสิทธิ์ระดับสูงไฟล์ไปไว้ใน C:\Windows 
  2. ดาวน์โหลด Registry ที่ชื่อ raccine-reg-patch ไปรันบนเครื่อง
  3. หากใช้แล้วไม่ถูกใจสามารถใช้ Registry raccine-reg-patch-uninstall.reg เพื่อถอนการติดตั้งและลบไฟล์ EXE ออก

ที่มา : https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย