ผู้เชี่ยวชาญแจกโปรแกรมป้องกัน Ransomware

Florian Roth นักวิจัยด้านความมั่นคงปลอดภัยได้ประยุกต์เอากลไกที่แรนซัมแวร์หลายตัวมักใช้มาใช้สร้างเป็นโปรแกรมที่เรียกได้ว่าเป็นวัคซีนป้องกันแรนซัมแวร์ที่ชื่อ ‘Raccine’

Credit: La1n/ShutterStock

ก่อนจะเข้าสู่เนื้อหาเราต้องรู้จักกับ Shadow Volume Copy Snapshot เสียก่อน ซึ่งมาจากฟีเจอร์ Shadow Volume Copies ตั้งแต่สมัย Vista ที่เปิดให้ทำ Snapshot หรือ Backup ไฟล์ โดยจะมีการพยายามสร้าง Snapshot ขึ้นทุกวันเพื่อใช้กู้คืนเอกสารในเวอร์ชันก่อนหน้าได้แม้จะถูกลบไปก็ตาม ทั้งนี้ก็คือเทคโนโลยีเดียวกันบน Windows System Restore นั่นเองที่เราใช้เพื่อกู้คืนข้อมูลกัน โดย Microsoft ได้มีเครื่องมือที่ชื่อ vssadmin.exe ให้แอดมินใช้บริหารจัดการเจ้า Shadow Volume Copies ได้

เคราะห์ร้ายที่คนร้ายแรนซัมแวร์หลายตัวรู้ทันว่าเราอาจจะกู้คืนไฟล์กลับมาได้ ดังนั้นแรนซัมแวร์เหล่านั้นเมื่อเริ่มต้นปฏิบัติการจึงใช้คำสั่งผ่าน vssadmin นี่แหละเข้าไปทำลาย Shadow Volume Copies ของเราเป็นอันดับแรกๆ ด้วยเหตุนี้เอง Roth จึงนำไอเดียมาขยายสร้างเป็นวัคซีนป้องกันที่ชื่อ Raccine

กลไกก็คือจะมีการลงทะเบียน raccine.exe ขอเป็น vssadmin debugger โดยใช้ Registry ที่ชื่อ Image File Execution Options ดังนั้นเมื่อ vssadmin จะปฏิบัติคำสั่ง raccine ก็สามารถไปหยุดโปรเซสที่พยายามทำร้าย Shadow Volume เสียก่อน

สิ่งที่ควรทราบ

  • raccine สามารถใช้ได้กับแรนซัมแวร์สายพันธ์ที่ใช้ vccadmin ทำลาย Shadow Volume เท่านั้น ซึ่งแม้ว่ามีอยู่หลายตัวแต่ก็ไม่สามารถป้องกันแรนซัมแวร์ที่ใช้กลไกอื่นได้
  • raccine อาจส่งผลกระทบต่อซอฟต์แวร์ Backup ที่ใช้ vssadmin เหมือนกัน แต่ผู้เขียนโปรแกรมก็เตรียมจะเพิ่มฟีเจอร์ Whitelist เข้ามาในเร็วๆ นี้เพื่ออนุญาตโปรแกรมดี ไม่ให้ได้รับผลกระทบ

ขั้นตอนการติดตั้ง

  1. ดาวน์โหลด Raccine.exe ได้ GitHub รวมถึงคู่มือต่างๆ พร้อมกับ Copy ด้วยสิทธิ์ระดับสูงไฟล์ไปไว้ใน C:\Windows 
  2. ดาวน์โหลด Registry ที่ชื่อ raccine-reg-patch ไปรันบนเครื่อง
  3. หากใช้แล้วไม่ถูกใจสามารถใช้ Registry raccine-reg-patch-uninstall.reg เพื่อถอนการติดตั้งและลบไฟล์ EXE ออก

ที่มา : https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] สร้าง Data Security & Control บนระบบ Multi-Cloud อย่างไรให้มั่นคงปลอดภัย

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Entrust Webinar เรื่อง “สร้าง Data Security & Control บนระบบ Multi-Cloud อย่างไรให้มั่นคงปลอดภัย” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Application Experience คือจุดสูงสุด ตราบเท่าที่มีความมั่นคงปลอดภัย

ปัจจุบันนี้ ความต่อเนื่องของธุรกิจขึ้นกับว่าแอปพลิเคชันพร้อมใช้งานหรือไม่เป็นสำคัญ ซึ่งเป็นสิ่งที่ทั้งพนักงานและลูกค้าต่างเป็นกังวลไม่ต่างกัน ฝ่าย IT ถูกกดดันให้จัดเตรียมแอปพลิเคชันที่มีทั้ง Experience และ Security ที่ดี แต่ความซับซ้อนด้านโครงสร้างพื้นฐานที่เพิ่มขึ้น ณ Edge และ Cloud กลับสร้างภาระเพิ่มเติมให้แก่ผู้ดูแลระบบ ที่ต้องคอยจัดหาเครื่องมือและเทคโนโลยีมาสร้างสมดุลย์ให้แก่แอปพลิเคชันโดยไม่ให้ส่งผลกระทบต่อความมั่นคงปลอดภัย