ขณะนี้มัลแวร์เรียกค่าไถ่ WannaCry / WannaCrypt กำลังระบาดหนักทั่วโลก มีคอมพิวเตอร์โดนโจมตีไปแล้วกว่า 200,000 เครื่องใน 99 ประเทศภายในเวลาเพียง 2 วันเท่านั้น เรามีวิธีป้องกันตัวเองจากมัลแวร์ดังกล่าวอยู่ 2 อย่าง คือการอัพเดตวินโดวส์เพื่ออุดช่องโหว่ และอีกอย่างคือการปิดโปรโตคอล Server Message Block (SMB) ที่เป็นโปรโตคอลสำหรับการรับส่งไฟล์ระหว่างคอมพิวเตอร์ที่อยู่ในเครือข่ายเดียวกัน ปัจจุบันโปรโตคอล SMB มี 3 เวอร์ชันด้วยกัน คือ SMBv1, SMBv2 และ SMBv3 โดย SMBv1 เป็นรุ่นเก่ามาก ออกมาเกือบ 30 ปีแล้ว ซึ่ง WannaCry ก็ใช้ช่องโหว่ของ SMBv1 นี่แหละ เป็นช่องทางแพร่ตัวเองเข้าโจมตีคอมพิวเตอร์เครื่องอื่นในเครือข่าย โดยที่เครื่องเป้าหมายไม่ต้องคลิกเปิดไฟล์อะไรด้วยซ้ำ (เปิดคอมต่อเน็ตอยู่ดีๆ ก็ติดเลย) ดังนั้น SMBv1 จึงไม่เหมาะสมที่จะใช้งานในยุคนี้แล้ว และควรปิดทิ้งไปเสีย เมื่อขึ้นชื่อว่าเป็นการรับส่งข้อมูลหากัน จึงต้องมีฝั่งนึงเป็น Server และอีกฝั่งเป็น Client โดยสำหรับผู้ใช้ทั่วไป จะถือว่าตัวเองเป็น Client ซึ่งการปิดแบบ Client ก็เพียงพอแล้วต่อการป้องกันตนเองไม่ให้รับมัลแวร์เข้ามา การปิด SMBv1 ฝั่ง Client โชคดีที่ขั้นตอนการปิด SMBv1 ใน Windows 8.1, Windows 10, Windows 2012 R2 และ Windows Server 2016 นั้นง่ายมาก ไม่ต้องมีความรู้ทางเทคนิคเลยก็ทำได้ ใช้เวลาไม่ถึง 5 นาทีก็เสร็จแล้ว ดังนี้ คลิก Start พิมพ์ในช่อง Search ว่า "turn windows features" แล้วคลิกที่ "Turn Windows features on or off" ตามภาพ หน้าต่าง Windows Features จะเปิดขึ้นมา ให้เลื่อนลงไปล่างๆ หาข้อความ "SMB 1.0/CIFS File Sharing Support" โดยฟีเจอร์นี้จะถูกเปิดไว้เป็นค่าเริ่มต้น ให้นำติ๊กถูกออกจากช่องสี่เหลี่ยม และกด OK สุดท้าย ให้รีสตาร์ทเครื่อง 1 รอบ ก็เป็นอันเสร็จสิ้น เพียงเท่านี้มัลแวร์ WannaCry ก็ไม่สามารถแพร่มาหาเราได้แล้ว อย่างไรก็ตาม การปิด SMBv1 ฝั่ง Client ในระบบปฏิบัติการรุ่นเก่าอย่าง Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 และ Windows Server 2012 มีความยุ่งยากอยู่บ้าง เพราะต้องรันคำสั่งผ่าน Command Prompt ดังนี้ เปิด elevated command prompt โดยการคลิกขวาที่ Command Prompt แล้วคลิก Run as administrator พิมพ์คำสั่งด้านล่าง ทีละคำสั่ง sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled รีสตาร์ทเครื่อง การปิด SMBv1 ฝั่ง Server สำหรับฝั่ง Server ที่ใช้ระบบปฏิบัติการ Windows 2012 R2 และ Windows Server 2016 ก็ให้เปิด Server Manager และไปที่ Dashboard จากนั้นก็นำติ๊กถูกออกตามภาพ ส่วนการปิด SMBv1 ฝั่งเซิฟเวอร์ในระบบปฏิบัติการรุ่นเก่า อย่าง Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista และ Windows Server 2008 มีความซับซ้อนมาก จึงจะไม่นำมาสอนในบทความนี้ ขอให้ผู้ดูแลระบบเข้าไปทำตามวิธีที่ไมโครซอฟท์สอนไว้จากลิงค์อ้างอิงท้ายบทความนะครับ สุดท้าย เราขอแนะนำให้ทุกท่านอัพเดตระบบปฏิบัติการ รวมถึงซอฟต์แวร์ต่างๆ ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และใช้ซอฟต์แวร์ลิขสิทธิ์กันเถิดครับ อย่าง Windows 10 แบบ OEM ในปัจจุบันก็ราคาเพียง 3,990 บาทเท่านั้น สามารถใช้งานได้อย่างสบายใจ (และภูมิใจ) พร้อมรับแพตช์ล่าสุดตลอดเวลา ขอให้มี awareness ระหว่างการใช้งานให้มาก เพราะการโจมตีไซเบอร์สมัยนี้มันโหดร้ายกว่าแต่ก่อนเยอะครับ อ้างอิง - How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server Topics: SecurityRansomwareWindows