နောက်ဆုံးဆိုက်ဘာတိုက်ခိုက်မှုတစ်ခုအနေဖြင့် “WannaCry” အမည်ရှိ Ransomware အမျိုးအစား ဗိုင်းရပ်စ်တစ်ခု ပျံ့နှံ့ခဲ့ပြီး နိုင်ငံပေါင်း ၉၉ နိုင်ငံခန့် တိုက်ခိုက်မှုခံခဲ့ရကြောင်း တွေ့ရှိရသည်။ (Ransomware - ဆိုသည်မှာ ကူးစက်ခံရသည့် ကွန်ပျူတာ ရှိ ဖိုင်များအား ပုံမှန်အတိုင်း အသုံးပြုကြည့်ရှူခွင့်မရစေရန် ပိတ်ပင်မှုပြုလုပ်ပြီး ငွေတောင်းခံသည့် ဗိုင်းရပ်စ်အနွယ်ဝင် နှောင့်ယှက်ပရိုဂရမ်တစ်ခုဖြစ်ပါသည်။) ယခုပျံ့နှံ့ခဲ့သည့် WannaCry Ransomware သည်လည်း ဖိုင်များအား အသုံးပြုခွင့် မရအောင် encrypt ပြုလုပ်ခဲ့ပြီး၊ ပုံမှန်အတိုင်း (Decrypt) ပြန်လည်ပြုလုပ်ရန်အတွက် အမေရိကန်ဒေါ်လာ ၆၀၀ နှင့်ညီမျှသည့် Bitcoin အား ပေးပို့ရန် တောင်းခံခဲ့သည်။ ၎င်း Ransomware သည် ၂၀၁၇ ခုနှစ် ဧပြီလအတွင်း အမေရိကန် အမျိုးသားလုံခြုံရေး အေဂျင်စီ NSA မှ တွေ့ရှိခဲ့သည့် ShadowBrokers အမည်ရှိ ဟက်ကာအဖွဲ့၏ “ETERNALBLUE” ခေါ် exploit tool ကို အသုံးပြုကာ တိုက်ခိုက်ခဲ့ခြင်းဖြစ် နိုင်ကြောင်း တွေ့ရှိရသည်။ ကွန်ပျူတာ အတွင်းပျံ့နှံ့စေရန်အတွက် Windows OS မှ SMB service ၏ အားနည်းချက်ကို အသုံး ပြုခဲ့သည်။ ထို SMB service အား disable ပြုလုပ်ကာ ဗိုင်းရပ်စ်ထပ်မံ ပျံ့နှံ့မှုနှင့် ဝင်ရောက်နှောင့်ယှက်မှုအား ကာကွယ်နိုင် ကြောင်း တွေ့ရှိရပါသည်။

မှက်ချက်။ အောက်ပါနည်းလမ်းများအတိုင်း SMB disable မပြုလုပ်မီ မိမိကွန်ပျူတာအား Backup ပြုလုပ်ထားသင့် ကြောင်း အကြံပြုလိုပါသည်။ Windows Registry ဆိုင်ရာ ပြင်ဆင်မှုများ ပြုလုပ်ရမည်ဖြစ်သောကြောင့် အဆင့် အလိုက် သေချာစွာဖတ်ရှု၍ ဂရုတစိုက်လုပ်ဆောင်ပေးရန် မေတ္တာရပ်ခံပါသည်။

အောက်ပါ နည်းလမ်းများထဲမှ မိမိနှင့် သင့်လျော်ရာ တစ်နည်းကိုသာလျှင် လုပ်ဆောင်ပေးရန်

    For Windows 10

Windows 10 အသုံးပြုသူဖြစ်ပါက အောက်ပါအတိုင်း လွယ်ကူစွာ Disable ပြုလုပ်နိုင်ပါသည်။

အဆင့်(၁)။ Search နေရာတွင် windows feature ဟု ရေးပါ၊ result list ထဲတွင် Turn Windows Feature on and off အားရွေးချယ်ပါ။

အဆင့်(၂)။ ပွင့်လာမည့် Windows box တွင် အောက်ပါပုံအတိုင်း SMB အား အမှန်ခြစ်ကာ Service enable ပြုလုပ်ထား သည်ကို တွေ့ရမည်ဖြစ်သည်။ ၎င်း အမှန်ခြစ်နေရာအား Click လုပ်ကာ အမှန်ခြစ်ပြန်ဖြုတ် (uncheck) ပြုလုပ်ပါ။

Windows 10 အသုံးပြုသူများအတွက် အထက်ပါအဆင့်(၂)ဆင့်ဖြင့် SMB service အလွယ်တကူ ပိတ်နိုင်ပါသည်။  

 

 PowerShell အသုံးပြု၍ SMB service ပိတ်ခြင်း

အဆင့်(၁)။ Keyboard မှ Windows button ကိုနှိပ်ကာ PowerShell ဟု ရေး၍ရှာပါက အောက်ပါပုံအတိုင်း result ထဲမှ Windows PowerShell ကို တွေ့ရမည်ဖြစ်သည်။

အဆင့်(၂)။ ၎င်း Windows PowerShell ပေါ်တွင် Right-Click ပြုလုပ်ပြီး၊ Run As Administrator ကို နှိပ်၍ဖွင့်ပါ။

အဆင့်(၃)။ ပွင့်လာသည့် PowerShell တွင် SMB v1 service ပိတ်ရန်အတွက် အောက်ပါ command အား ရေး၍ Enter နှိပ်ပါ။

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Value 0 –Force

Image: PowerShell command to disable SMB1

အဆင့်(၄)။ SMB v2 service ပိတ်ရန်အတွက် အောက်ပါ command အား ရေး၍ Enter နှိပ်ပါ။

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Value 0 –Force

 Image: PowerShell command to disable SMB2

အထက်ဖော်ပြပါအဆင့်(၄)ဆင့်သည် PowerShell အသုံးပြုကာ Registry Key ဖန်တီးသည့် command များ ဖြစ်ပါသည်။ စာလုံး လွဲချော်ခြင်း (space bar ခြားသည်မှအစ) လွဲခဲ့ပါက command များ အလုပ်မလုပ်နိုင်ပါ။ အခြားနည်းလမ်းအသုံးပြုလိုပါက registry ထဲဝင်၍ တိုက်ရိုက်ပြုလုပ်နိုင်ပါသည်။  

 

Registry အသုံးပြု၍ SMB service ပိတ်ခြင်း

အဆင့်(၁)။ Search တွင် regedit ဟုရေးပြီး Enter နှိပ်ပါ။

အဆင့်(၂)။ ဘယ်ဘက်ရှိ D-tree menu မှ မြားကိုနှိပ်ပြီး အောက်ပါအတိုင်း အဆင့်အဆင့်ရှာသွားပါ။

HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters 

အဆင့်(၃)။ အထက်ဖော်ပြပါပုံအတိုင်း Parameters ကို နှိပ်ပြီးပါက ညာဘက်အကွက်လွတ်နေရာတွင် Right-Click ပြုလုပ်ပြီး၊ New – String Value ကို ရွေးချယ်ပါ။

အဆင့်(၄)။ အသစ်ပြုလုပ်လိုက်သည့် New Value #1 ဆိုသည့် အမည်နေရာတွင် SMB1 ဟု ပြောင်းရေးပါ။ ထို String ကို Double-Click နှိပ်ပါ။ Value နေရာတွင် 0 (Zero) ထည့်ပါ။

အဆင့်(၄)။ ထိုပုံစံအတိုင်း နောက်ထပ် String အသစ်တစ်ခု ထပ်လုပ်ပါ။ SMB2 ဟု အမည်ပေးပါ။ ထို String ကို Double-Click နှိပ်ပါ။ Value နေရာတွင် 0 (Zero) ထည့်ပါ။

 

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012 တို့အတွက် အောက်ပါ command များကို PowerShell တွင် ထပ်မံထည့်သွင်း သင့်ပါသည်။ Disables the SMBv1 on the SMB client အတွက် sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled Disables the SMBv2 and SMBv3 on the SMB client အတွက်: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled  

WannaCry ransomware အား ကာကွယ်ရန် SMB service ပိတ်ခြင်းနည်းလမ်းအပြင်၊ Windows Update ပြုလုပ်ပေးခြင်း၊ မိမိကွန်ပျူတာအတွင်း ransomware ရှိမရှိစစ်ဆေးခြင်းနှင့်၊ ကူးစက်ခံရပြီး encrypt ပြုလုပ်ခံထားရသည့်ဖိုင်များ ရှိပါက Decrypt ပြန်လည်ပြုလုပ်နိုင်ရန် အောက်ပါလင့်များဖြင့် ဖော်ပြအပ်ပါသည်။  

ဆောင်းပါးမူရင်းလင့် -

http://www.vinransomware.com/blog/how-to-disable-smb-on-windows-machines-to-prevent-wannacry-ransomware

Download Windows Update patch:

http://www.catalog.update.microsoft.com/Search.aspx?q=kb4019265

Download Ransomware Detector Tool:

http://www.vinransomware.com/free-ransomware-detector-tool

Download Free Decryptor Tool:

http://www.vinransomware.com/free-jigsaw-ransomware-decryptor-tool    

 

 

18.5.2017 (02:22 PM)