TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Florian Roth นักวิจัยด้านความมั่นคงปลอดภัยได้ประยุกต์เอากลไกที่แรนซัมแวร์หลายตัวมักใช้มาใช้สร้างเป็นโปรแกรมที่เรียกได้ว่าเป็นวัคซีนป้องกันแรนซัมแวร์ที่ชื่อ ‘Raccine’
ก่อนจะเข้าสู่เนื้อหาเราต้องรู้จักกับ Shadow Volume Copy Snapshot เสียก่อน ซึ่งมาจากฟีเจอร์ Shadow Volume Copies ตั้งแต่สมัย Vista ที่เปิดให้ทำ Snapshot หรือ Backup ไฟล์ โดยจะมีการพยายามสร้าง Snapshot ขึ้นทุกวันเพื่อใช้กู้คืนเอกสารในเวอร์ชันก่อนหน้าได้แม้จะถูกลบไปก็ตาม ทั้งนี้ก็คือเทคโนโลยีเดียวกันบน Windows System Restore นั่นเองที่เราใช้เพื่อกู้คืนข้อมูลกัน โดย Microsoft ได้มีเครื่องมือที่ชื่อ vssadmin.exe ให้แอดมินใช้บริหารจัดการเจ้า Shadow Volume Copies ได้
เคราะห์ร้ายที่คนร้ายแรนซัมแวร์หลายตัวรู้ทันว่าเราอาจจะกู้คืนไฟล์กลับมาได้ ดังนั้นแรนซัมแวร์เหล่านั้นเมื่อเริ่มต้นปฏิบัติการจึงใช้คำสั่งผ่าน vssadmin นี่แหละเข้าไปทำลาย Shadow Volume Copies ของเราเป็นอันดับแรกๆ ด้วยเหตุนี้เอง Roth จึงนำไอเดียมาขยายสร้างเป็นวัคซีนป้องกันที่ชื่อ Raccine
กลไกก็คือจะมีการลงทะเบียน raccine.exe ขอเป็น vssadmin debugger โดยใช้ Registry ที่ชื่อ Image File Execution Options ดังนั้นเมื่อ vssadmin จะปฏิบัติคำสั่ง raccine ก็สามารถไปหยุดโปรเซสที่พยายามทำร้าย Shadow Volume เสียก่อน
สิ่งที่ควรทราบ
- raccine สามารถใช้ได้กับแรนซัมแวร์สายพันธ์ที่ใช้ vccadmin ทำลาย Shadow Volume เท่านั้น ซึ่งแม้ว่ามีอยู่หลายตัวแต่ก็ไม่สามารถป้องกันแรนซัมแวร์ที่ใช้กลไกอื่นได้
- raccine อาจส่งผลกระทบต่อซอฟต์แวร์ Backup ที่ใช้ vssadmin เหมือนกัน แต่ผู้เขียนโปรแกรมก็เตรียมจะเพิ่มฟีเจอร์ Whitelist เข้ามาในเร็วๆ นี้เพื่ออนุญาตโปรแกรมดี ไม่ให้ได้รับผลกระทบ
ขั้นตอนการติดตั้ง
- ดาวน์โหลด Raccine.exe ได้ GitHub รวมถึงคู่มือต่างๆ พร้อมกับ Copy ด้วยสิทธิ์ระดับสูงไฟล์ไปไว้ใน C:\Windows
- ดาวน์โหลด Registry ที่ชื่อ raccine-reg-patch ไปรันบนเครื่อง
- หากใช้แล้วไม่ถูกใจสามารถใช้ Registry raccine-reg-patch-uninstall.reg เพื่อถอนการติดตั้งและลบไฟล์ EXE ออก
