Ingram SUSE

ผู้เชี่ยวชาญแจกโปรแกรมป้องกัน Ransomware

Florian Roth นักวิจัยด้านความมั่นคงปลอดภัยได้ประยุกต์เอากลไกที่แรนซัมแวร์หลายตัวมักใช้มาใช้สร้างเป็นโปรแกรมที่เรียกได้ว่าเป็นวัคซีนป้องกันแรนซัมแวร์ที่ชื่อ ‘Raccine’

Credit: La1n/ShutterStock

ก่อนจะเข้าสู่เนื้อหาเราต้องรู้จักกับ Shadow Volume Copy Snapshot เสียก่อน ซึ่งมาจากฟีเจอร์ Shadow Volume Copies ตั้งแต่สมัย Vista ที่เปิดให้ทำ Snapshot หรือ Backup ไฟล์ โดยจะมีการพยายามสร้าง Snapshot ขึ้นทุกวันเพื่อใช้กู้คืนเอกสารในเวอร์ชันก่อนหน้าได้แม้จะถูกลบไปก็ตาม ทั้งนี้ก็คือเทคโนโลยีเดียวกันบน Windows System Restore นั่นเองที่เราใช้เพื่อกู้คืนข้อมูลกัน โดย Microsoft ได้มีเครื่องมือที่ชื่อ vssadmin.exe ให้แอดมินใช้บริหารจัดการเจ้า Shadow Volume Copies ได้

เคราะห์ร้ายที่คนร้ายแรนซัมแวร์หลายตัวรู้ทันว่าเราอาจจะกู้คืนไฟล์กลับมาได้ ดังนั้นแรนซัมแวร์เหล่านั้นเมื่อเริ่มต้นปฏิบัติการจึงใช้คำสั่งผ่าน vssadmin นี่แหละเข้าไปทำลาย Shadow Volume Copies ของเราเป็นอันดับแรกๆ ด้วยเหตุนี้เอง Roth จึงนำไอเดียมาขยายสร้างเป็นวัคซีนป้องกันที่ชื่อ Raccine

กลไกก็คือจะมีการลงทะเบียน raccine.exe ขอเป็น vssadmin debugger โดยใช้ Registry ที่ชื่อ Image File Execution Options ดังนั้นเมื่อ vssadmin จะปฏิบัติคำสั่ง raccine ก็สามารถไปหยุดโปรเซสที่พยายามทำร้าย Shadow Volume เสียก่อน

สิ่งที่ควรทราบ

  • raccine สามารถใช้ได้กับแรนซัมแวร์สายพันธ์ที่ใช้ vccadmin ทำลาย Shadow Volume เท่านั้น ซึ่งแม้ว่ามีอยู่หลายตัวแต่ก็ไม่สามารถป้องกันแรนซัมแวร์ที่ใช้กลไกอื่นได้
  • raccine อาจส่งผลกระทบต่อซอฟต์แวร์ Backup ที่ใช้ vssadmin เหมือนกัน แต่ผู้เขียนโปรแกรมก็เตรียมจะเพิ่มฟีเจอร์ Whitelist เข้ามาในเร็วๆ นี้เพื่ออนุญาตโปรแกรมดี ไม่ให้ได้รับผลกระทบ

ขั้นตอนการติดตั้ง

  1. ดาวน์โหลด Raccine.exe ได้ GitHub รวมถึงคู่มือต่างๆ พร้อมกับ Copy ด้วยสิทธิ์ระดับสูงไฟล์ไปไว้ใน C:\Windows 
  2. ดาวน์โหลด Registry ที่ชื่อ raccine-reg-patch ไปรันบนเครื่อง
  3. หากใช้แล้วไม่ถูกใจสามารถใช้ Registry raccine-reg-patch-uninstall.reg เพื่อถอนการติดตั้งและลบไฟล์ EXE ออก

ที่มา : https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] หัวเว่ยเปิดตัวสายผลิตภัณฑ์โซลูชันอินเทอร์เน็ตอัจฉริยะ ช่วยเสริมโครงสร้างพื้นฐาน ไอซีทีของมหาวิทยาลัยไทยและภาคองค์กรธุรกิจให้พร้อมรับมือทุกสถานการณ์

เมื่อเร็วๆ นี้ หัวเว่ยจัดงาน Huawei Asia Pacific IP Club Carnival 2021 ภายใต้หัวข้อ “พร้อมรับการเปลี่ยนแปลงด้วยเทคโนโลยีอินเทอร์เน็ตอัจฉริยะเพื่อขับเคลื่อนอนาคตใหม่ให้วงการ” พร้อมเผยว่าโซลูชันด้านการสื่อสารและส่งข้อมูลจะช่วยเร่งการเปลี่ยนผ่านสู่ยุคดิจิทัลในภาคอุตสาหกรรมต่าง ๆ และจะช่วยกลุ่มองค์กรธุรกิจรวมถึงสถาบันการศึกษาในประเทศไทยให้สามารถสร้างเทคโนโลยีดิจิทัลที่มีความยืดหยุ่น …

CISA ออกเครื่องมือช่วยตรวจสอบกิจกรรมต้องสงสัยใน Microsoft 365

CISA ได้แจกเครื่องมือสำหรับองค์กรซึ่งสามารถช่วยตรวจสอบกิจกรรมแปลกๆที่เกิดขึ้นกับ Azure AD, Office 365 และ Microsoft 365 ที่อาจถูกแฮ็กเกอร์แฝงตัวอยู่