เมื่อประมาณกลางปี 2017 ไวรัส WannaCry โด่งดังไปทั่วโลก เพราะมีเครื่องคอมพิวเตอร์ติดไวรัสตัวนี้เยอะมาก หลังจากคอมพิวเตอร์เครื่องไหนติดไวรัสตัวนี้เข้าไฟล์ในฮาร์ดดิสก์จะถูกเข้ารหัส ซึ่งเจ้าของเครื่องเองจะไม่สามารถเรียกดูไฟล์เหล่านี้ได้ หากต้องการใช้งานไฟล์ก็ต้องเสียเงินค่าไถ่เพื่อปลดล็อกไฟล์
ไวรัส WannaCry โจมตีเข้าเครื่องเป้าหมายโดยอาศัยช่องโหว่ของ SMBv1 ที่ใช้ในการแชร์ไฟล์ระหว่างเครื่องพีซีผ่านระบบเน็ตเวิร์ก ซึ่งใช้งานมาตั้งแต่สมัย Windows 95/XP ปัจจุบันไมโครซอฟต์พัฒนาเป็น SMBv3 แล้ว โดยเครื่องที่เปิดใช้งาน SMBv1 มีโอกาสติดไวรัสตัวนี้ได้ทุกเครื่องหากนำคอมพิวเตอร์ของเราไปใช้ในเครือข่ายเน็ตเวิร์กที่ไวรัสกำลังระบาดอยู่ เช่น สนามบิน โรงแรม โรงพยาบาล หรือร้านกาแฟทั่วๆไป สถานการณ์ล่าสุดไวรัสอาจจะหยุดแพร่กระจายในวงกว้าง แต่ก็มีข่าวประปรายว่ายังระบาดและพัฒนาเป็นไวรัสตัวใหม่ๆอยู่ ดังนั้นเรามาหาวิธีป้องกันไวรัสกันเถอะ
โดยปรกติแล้วการติดต่อสื่อสารของคอมพิวเตอร์จะต้องทำผ่านพอร์ต (Port) ซึ่งเป็นเหมือนประตูเข้าออกของบ้านเรา ดังนั้นผมจะมาแนะนำโปรแกรมสำหรับตรวจสอบพอร์ตต่างๆของเครื่องคอมพิวเตอร์ว่าพอร์ตใดถูกเปิดหรือปิดอยู่ โดยใช้โปรแกรมชื่อ Port Query ซึ่งพัฒนาโดยไมโครซอฟต์ปัจจุบันเป็นเวอร์ชัน 2.0 สามารถดาวโหลดจากไมโครซอฟต์ได้ที่นี่ Microsoft Port Query หากดาวน์โหลดไม่ได้ก็สามารถดาวน์โหลดจากลิงค์สำรองนี้ Microsoft Port Query (สำรอง 62 KB.)
เมื่อดาวน์โหลดเรียบร้อยก็แตกไฟล์แล้วเปิดโปรแกม Windows PowerShell โดยคลิกขวาที่ไอคอน Windows ด้านล่างซ้ายมือแล้วเลือก Windows PowerShell (Admin)
เนื่องจากหากใช้โปรแกรม Command Prompt ธรรมดาบางครั้งอาจพบข้อความผิดพลาดแบบนี้
เรียกคำสั่ง portqry.exe /? เพื่อดูการใช้งานโปรแกรม จากนั้นเราก็มาดูว่าโปรโตคอล SMB ใช้งานพอร์ตอะไร? ซึ่งก็พบว่าใช้งานที่พอร์ต 445 เราก็ใช้คำสั่งตรวจสอบดังนี้
C:\Users\bsailom>portqry -n 192.168.0.10 -e 445
Querying target system called:
192.168.0.10
Attempting to resolve IP address to a name...
IP address resolved to BSAILOM
querying...
TCP port 445 (microsoft-ds service): LISTENINGผลลัพธ์แบบนี้แสดงว่าพอร์ตของ SMB เปิดอยู่เราจำเป็นต้องไปตรวจสอบว่าที่เปิดอยู่นี้เป็น SMBv1 หรือเปล่า? ถ้าใช่ก็ปิดมันซะ!
C:\Users\bsailom>portqry -n 192.168.0.10 -e 445
Querying target system called:
192.168.0.10
Attempting to resolve IP address to a name...
IP address resolved to BSAILOM
querying...
TCP port 445 (microsoft-ds service): NOT LISTENINGหากผลลัพธ์แบบนี้คือพอร์ตดังกล่าวไม่ได้ถูกเปิดใช้งานครับ นอกจากนี้ยังสามารถใช้โปรแกรม Microsoft Port Query ตรวจสอบเซิร์ฟเวอร์บนเครือข่ายอินเตอร์เน็ตได้ด้วย
C:\Users\bsailom>portqry -n microsoft.com -e 80
Querying target system called:
microsoft.com
Attempting to resolve name to IP address...
Name resolved to 104.43.195.251
querying...
TCP port 80 (http service): LISTENINGเราสามารถตรวจสอบว่าพอร์ตต่างๆใช้กับงานอะไรได้จากที่นี่
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
โอกาสหน้าจะมาอธิบายว่าเจ้า SMBv1, SMBv2, SMBv3 เปิด/ปิดการใช้งานอย่างไร?