แจ้งข่าวการแพร่กระจายไวรัส Ransomware mssecsvc.exe ภายในมหาวิทยาลัย
วันที่ประกาศข่าว : 19 พฤศจิกายน 2560 แหล่่งที่มา : กลุ่มงานศูนย์เทคโนโลยีสารสนเทศ หน่วยงานที่ลงข่าว : กลุ่มงานศูนย์เทคโนโลยีสารสนเทศ
ประกาศ ransomware mssecsvc.exe ระบาดที่อาคาร 36 โดยหน่วยงานที่พบว่ามีการระบาดคือ หน่วยงานธุรการ, หน่วยงานการเงิน, หน่วยงานการเจ้าหน้าที่และนิติกร , หน่วยงานอาคารสถานที่และบริการ, หน่วยงานกองนโยบายและแผน, หน่วยงานสภามหาวิทยาลัย และหน่วยงานกองบริการการศึกษาซึ่งอยู่ในวง Network หรือเครือข่ายเดียวกัน
โดย ransomware mssecsvc.exe เป็นส่วนประกอบของ ransomware WanaCry (หรือที่เรียกว่า WannaDecryptor และวนา Decryptor 2.0) เมื่อเกิดการติดเชื้อ WanaDecyptor จะมีการวาง mssecsvc.exe ในโฟลเดอร์ C:Windows ติดคอมพิวเตอร์ เข้ารหัสไฟล์ และจากนั้นเป็นตัวบันทึกค่าไถ่เหยื่อจะจ่ายเงินกลับไฟล์ที่เรียกร้อง
ซึ่งการระบาดดังกล่าวเป็นเพียงแค่การติดเชื้อ mssecsvc.exe ยังไม่ถึงกับเป็นไวรัส WannaDecryptor แต่ถ้าปล่อยทิ้งไว้นานโดยที่ไม่มีการแก้ไขอาจจะพัฒนาไปเป็น WannaDecryptor ซึ่งทำให้ผู้ที่ตกเป็นเหยื่อไม่สามารถเปิดไฟล์ต่างๆ ในเครื่องคอมพิวเตอร์ได้ ไฟล์จะถูกเข้ารหัสไว้ และจะต้องจ่ายเงินไปให้ Hacker (ผู้ไม่ประสงค์ดี) เพื่อแลกกับรหัสเพื่อสำหรับใช้ในการเปิดไฟล์
การโจมตี
โดยที่ ransomware mssecsvc.exe สามารถกระจายตัวเองไปยังเครื่องต่างๆ ภายในเครือข่ายเดียวกันได้ โดยจะเลือกโจมตีเครื่องคอมพิวเตอร์ที่ใช้
1. Windows โดยที่ไม่มีการ Update ให้เป็นปัจจุบัน โดยทางบริษัท Microsoft ได้ทำการออก Patch ป้องกันสำหรับ ransomware ไว้แล้ว เพียงแค่ทำการ Update Windows ให้เป็นปัจจุบันก็จะสามารถป้องกันเจ้า ransomware ตัวนี้ได้
2. ใช้ Windows ที่ทาง Microsoft เลิกสนับสนุนแล้วเช่น Windows XP ซึ่งจะติดเชื้อได้ง่ายกว่า Windows ตัวอื่นๆ
อาการของเครื่องที่คาดว่าจะติดไวรัส
• Windows ค้างหน้าจอเป็นสีฟ้า (Blue Screen) และ Restart ตัวเอง
• Windows Restart ตัวเองอยู่บ่อยครั้งขณะทำงาน
วิธีการป้องกันและแก้ไข
1. ควรใช้งานระบบปฏิบัติการ Windows 10 เป็นอย่างน้อย ซึ่งมีความปลอดภัยต่อการใช้งาน
2. กรณีใช้งาน Windows xp , Window 7 และ Window 8.1 ควรมีการ Update Windows อย่างสม่ำเสมอ
3. กรณีเป็น Window 10 ควรมีการเปิดใช้งาน Window Defender ซึ่งเป็น Antivirus ที่มากับ Windows และ Updateให้เป็นปัจจุบัน แล้วลอง Scan เครื่องคอมพิวเตอร์โดยใช้ Full Scan Mode
4. ควรติดตั้ง Antivirus ไม่ว่าจะเป็นเสียเงินซื้อ หรือตัวฟรี แล้วทำการ Update ให้เป็นปัจจุบัน เพื่อให้กำจัด, กักกัน หรืออย่างน้อยก็ขึ้นแจ้งเตือนว่าโดนโจมตีอยู่
5. ไม่เปิดหรือดาวน์โหลดเอกสารจากอีเมลที่ไม่รู้จัก หรือเว็บไซต์ที่ไม่มีความน่าเชื่อถือ
เมื่อติด ransomware mssecsvc.exe แล้วควรทำอย่างไร
1. แจ้งกลุ่มงานศูนย์เทคโนโลยีสารสนเทศ (เบอร์โทรศัพท์ภายใน 23523, 10925, 10920) เพื่อทำการแก้ไข
2. หรือทดสอบแก้ไขเบื้องต้นด้วยตัวเองโดยดูข้อมูลจากเว็บไซต์ดังกล่าว http://www.2-remove-virus.com/th/how-to-eliminate-mssecsvc-exe/
การแก้ไขของศูนย์เทคโนโลยีสารสนเทศ
1. ขณะนี้ทางศูนย์เทคโนโลยีสารสนเทศได้ดำเนินการแก้ไข สำหรับเครื่องคอมพิวเตอร์ที่ได้รับการแจ้งว่ามีการติดเชื้อบางส่วนแล้ว แต่ก็ต้องดูว่ามีการติดเชื้อแพร่กระจายไปยังเครื่องอื่นๆ อีกหรือไม่ แต่ยังไม่แสดงอาการ
2. สำหรับหน่วยงานใดที่ได้รับการแก้ไขจนเสร็จสิ้นแล้ว ทางศูนย์เทคโนโลยีสารสนเทศจะดำเนินการแยกระบบเครือข่าย (Vlan) เพื่อให้เป็นเขตปลอดเชื้อ ransomware mssecsvc.exe เพื่อไม่ให้เครือข่ายที่ยังติดเชื้ออยู่เข้ามาโจมตีได้อีก