วิธีปิด SMBv1 เพื่อป้องกันตัวเองจากมัลแวร์เรียกค่าไถ่ WannaCry (ทำเถอะ ไม่ถึง 5 นาที)

By BlackMiracle Writer on Tag: Security, Ransomware, Windows, WannaCrypt
Security

ขณะนี้มัลแวร์เรียกค่าไถ่ WannaCry / WannaCrypt กำลังระบาดหนักทั่วโลก มีคอมพิวเตอร์โดนโจมตีไปแล้วกว่า 200,000 เครื่องใน 99 ประเทศภายในเวลาเพียง 2 วันเท่านั้น

เรามีวิธีป้องกันตัวเองจากมัลแวร์ดังกล่าวอยู่ 2 อย่าง คือการอัพเดตวินโดวส์เพื่ออุดช่องโหว่ และอีกอย่างคือการปิดโปรโตคอล Server Message Block (SMB) ที่เป็นโปรโตคอลสำหรับการรับส่งไฟล์ระหว่างคอมพิวเตอร์ที่อยู่ในเครือข่ายเดียวกัน

ปัจจุบันโปรโตคอล SMB มี 3 เวอร์ชันด้วยกัน คือ SMBv1, SMBv2 และ SMBv3 โดย SMBv1 เป็นรุ่นเก่ามาก ออกมาเกือบ 30 ปีแล้ว ซึ่ง WannaCry ก็ใช้ช่องโหว่ของ SMBv1 นี่แหละ เป็นช่องทางแพร่ตัวเองเข้าโจมตีคอมพิวเตอร์เครื่องอื่นในเครือข่าย โดยที่เครื่องเป้าหมายไม่ต้องคลิกเปิดไฟล์อะไรด้วยซ้ำ (เปิดคอมต่อเน็ตอยู่ดีๆ ก็ติดเลย) ดังนั้น SMBv1 จึงไม่เหมาะสมที่จะใช้งานในยุคนี้แล้ว และควรปิดทิ้งไปเสีย

เมื่อขึ้นชื่อว่าเป็นการรับส่งข้อมูลหากัน จึงต้องมีฝั่งนึงเป็น Server และอีกฝั่งเป็น Client โดยสำหรับผู้ใช้ทั่วไป จะถือว่าตัวเองเป็น Client ซึ่งการปิดแบบ Client ก็เพียงพอแล้วต่อการป้องกันตนเองไม่ให้รับมัลแวร์เข้ามา

การปิด SMBv1 ฝั่ง Client

โชคดีที่ขั้นตอนการปิด SMBv1 ใน Windows 8.1, Windows 10, Windows Server 2012 R2 และ Windows Server 2016 นั้นง่ายมาก ไม่ต้องมีความรู้ทางเทคนิคเลยก็ทำได้ ใช้เวลาไม่ถึง 5 นาทีก็เสร็จแล้ว ดังนี้

  1. คลิก Start
  2. พิมพ์ในช่อง Search ว่า "turn windows features" แล้วคลิกที่ "Turn Windows features on or off" ตามภาพ

  3. หน้าต่าง Windows Features จะเปิดขึ้นมา ให้เลื่อนลงไปล่างๆ หาข้อความ "SMB 1.0/CIFS File Sharing Support" โดยฟีเจอร์นี้จะถูกเปิดไว้เป็นค่าเริ่มต้น

  4. ให้นำติ๊กถูกออกจากช่องสี่เหลี่ยม และกด OK

  5. สุดท้าย ให้รีสตาร์ทเครื่อง 1 รอบ ก็เป็นอันเสร็จสิ้น เพียงเท่านี้มัลแวร์ WannaCry ก็ไม่สามารถแพร่มาหาเราได้แล้ว

อย่างไรก็ตาม การปิด SMBv1 ฝั่ง Client ในระบบปฏิบัติการรุ่นเก่าอย่าง Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 และ Windows Server 2012 มีความยุ่งยากอยู่บ้าง เพราะต้องรันคำสั่งผ่าน Command Prompt ดังนี้

  1. เปิด elevated command prompt โดยการคลิกขวาที่ Command Prompt แล้วคลิก Run as administrator

  2. พิมพ์คำสั่งด้านล่าง ทีละบรรทัด
    3. sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
  3. รีสตาร์ทเครื่อง

การปิด SMBv1 ฝั่ง Server

สำหรับฝั่ง Server ที่ใช้ระบบปฏิบัติการ Windows Server 2012 R2 และ Windows Server 2016 ก็ให้เปิด Server Manager และไปที่ Dashboard จากนั้นก็นำติ๊กถูกออกตามภาพ

ส่วนการปิด SMBv1 ฝั่งเซิฟเวอร์ในระบบปฏิบัติการรุ่นเก่า อย่าง Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista และ Windows Server 2008 มีความซับซ้อนมาก จึงจะไม่นำมาสอนในบทความนี้ ขอให้ผู้ดูแลระบบเข้าไปทำตามวิธีที่ไมโครซอฟท์สอนไว้จากลิงค์อ้างอิงท้ายบทความนะครับ

สุดท้าย เราขอแนะนำให้ทุกท่านอัพเดตระบบปฏิบัติการ รวมถึงซอฟต์แวร์ต่างๆ ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และใช้ซอฟต์แวร์ลิขสิทธิ์กันเถิดครับ อย่าง Windows 10 แบบ OEM ในปัจจุบันก็ราคาเพียง 3,990 บาทเท่านั้น สามารถใช้งานได้อย่างสบายใจ (และภูมิใจ) พร้อมรับแพตช์ล่าสุดตลอดเวลา ขอให้มี awareness ระหว่างการใช้งานให้มาก เพราะการโจมตีไซเบอร์สมัยนี้มันโหดร้ายกว่าแต่ก่อนเยอะครับ

อ้างอิง - How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

LagSeeN Sun, 14/05/2017 - 09:32

SMBv1 นี้นี้มันเปิดเป็นค่าเริ่มต้นหรือเปล่าครับ

BlackMiracle Sun, 14/05/2017 - 09:34

หน้าต่าง Windows Features จะเปิดขึ้นมา ให้เลื่อนลงไปล่างๆ หาข้อความ "SMB 1.0/CIFS File Sharing Support" โดยฟีเจอร์นี้จะถูกเปิดไว้เป็นค่าเริ่มต้น

Meow-Meow Sun, 14/05/2017 - 10:30

กับการใช้งาน FileShare, Print Service ใน OS รุ่นเก่ามากอย่าง Windows 2003/R2 ครับ แล้วก็พวก File Share ที่เป็น appliance รุ่นเก่าๆครับ ซึ่งบางที่มีใช้งานอยู่ค่อนข้างเยอะ

hs0wkc Sun, 14/05/2017 - 09:44

ปิดแล้ว จะทำให้ใช้งานฟังก์ชันไหนใช้งานไม่ได้บ้างครับ
ถ้าไม่ปิด แต่อัพเดทแพตช์ล่าสุดไว้แล้ว จะปลอดภัยไหมครับ
ปล. Windows 10 build 1511 on Surface Pro 3

BlackMiracle Sun, 14/05/2017 - 09:49

ปัจจุบัน SMBv1 แทบไม่มีความจำเป็นแล้วครับ เพราะเค้าไปใช้ v2, v3 กันหมดแล้ว ถ้าไม่ได้ใช้ฮาร์ดแวร์/ซอฟต์แวร์อะไรที่เก่าและเฉพาะทางมากๆ ก็ไม่มีผลอะไรครับ

ขนาดพนักงานไมโครซอฟท์ยังเขียนบล็อกบอกให้เลิกใช้ได้แล้วครับ อ้างอิง

Ford AntiTrust Mon, 15/05/2017 - 11:19

ง่ายๆ คือ

  1. SMBv1 ทำงานบน Windows XP หรือ Windows Server 2003 ก็เช็คๆ ก่อนว่ามีระบบที่เกี่ยวข้องยังใช้ Windows XP หรือ Windows Server 2003 อยู่หรือไม่
  2. ยังใช้งานพวก Network Neighborhood อยู่หรือเปล่า
  3. NAS, เครื่องพิมพ์ และพวก multi-function printers บางรุ่นใช้ SMBv1 หากปิดไปจะใช้งานพวกนี้ไม่ได้

qo Sun, 14/05/2017 - 18:03

ผมใช้งาน network file sharing บน Windows 10 ไม่ได้ครับ

ถ้าแบบนี้จะทำยังไงต่อครับ ถ้าเกิดจำเป็นต้องใช้จริงๆ
ปล Update Windows ล่าสุดแล้ว

Virusfowl Sun, 14/05/2017 - 10:01

สงสัยครับ ถ้าอัพเดตวินโดส์แล้ว การปิดฟีเจอร์นี้ยังต้องทำอยู่หรือเปล่าครับ หรือทำสองอย่างเลยก็ชัวร์กว่าไรงี้...

Thaitop_BN Sun, 14/05/2017 - 13:49

สำหรับตอนนี้ผมว่าอัพเดตวินโดวส์ก็เพียงพอแล้วนะ ส่วนบทความนี้ผมว่าเป็นการป้องเผื่อช่องโหว่ที่จะมีอีกในอนาคตมากกว่า ซึ่งปิดไว้ตั้งแต่ตอนนี้เลยก็ดี จะได้ไม่ต้องมานั่งกังวลทีหลัง

azzendix Sun, 14/05/2017 - 13:36

Edit: แก้ไขข้อความบางส่วน

หมายถึงโพสนี้จากเพจ SUT Aiyara Cluster ใช่มั้ย?
เท่าที่ตามอ่านคือ สำหรับคนที่อัพเดตได้ปกติ ไม่มีความจำเป็นใดๆที่จะต้องลงโปรแกรมนี้เลย

1.แค่อัพเดต Windows ล่าสุดก็ป้องกันได้แล้ว

2.กรณีที่มี WannaCrypt เวอร์ชันใหม่ออกมาในอนาคต ไม่มีใครการันตีได้ว่าโปรแกรมดังกล่าวจะยังป้องกันได้อยู่
ถ้าโปรแกรมมีการออกรุ่นใหม่ออกมา ผู้ใช้ต้องไปตามโหลดจาก github
ถามว่า User บ้านๆ จะไปรู้มั้ยว่าตอนไหนมีเวอร์ชันใหม่แล้ว?

ดังนั้น ไม่ควรแนะนำให้ใครใช้โปรแกรมดังกล่าว ถ้ามีทางเลือกอื่น

Pichai_C Sun, 14/05/2017 - 15:49

+1

เห็นด้วยครับ ผมเกรงว่าสุดท้ายโปรแกรมนี้จะกลายเป็น Anti Autorun (สีเขียวๆ) ที่บุคคลทั่วไปจะเข้าใจว่าเป็นยาวิเศษแก้ปัญหาทุก Virus ในโลก

jokerxsi Sun, 14/05/2017 - 11:41

ถ้าผมจำไม่ผิด win10 FFP ซึ่งย้ายเครื่องได้จะแพงกว่า OEM แค่ 500 บาท มันดูเหมือนจะคุ้มกว่านะผมว่า

KuLiKo Sun, 14/05/2017 - 12:49

สรุปมันชื่อ WannaCry หรือ WannaCrypt กันแน่ครับ อ่านไปอ่านมาชักงง

ตอนแรกเข้าใจว่า WannaCry เป็นความรู้สึกหลังโดนเฉยๆ

KA Sun, 14/05/2017 - 14:48

ใช้ Window10 pro10(upgrade จาก Window7) - ลองปิดค่า SMVB1 - ตอนนี้เข้า PC-line ไม่ได้ ครับ//

KA Sun, 14/05/2017 - 14:52

โปรแกรมline แจ้งเตือนว่าอาจเกิดจากเครื่องเจอไวรัส หรือเจอCrank -- ยังไงก่อนลองBack Up ข้อมูลสำคัญไว้ด้วย

mrrung Mon, 15/05/2017 - 08:43

สำหรับ windows server2008 r2 ถ้ารัน 2 บรรทัดด้านล่างนี้แล้วรีสตาร์ทแล้วระบบ network จะใช้งานได้ไหมครับ
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

muay5157 Mon, 15/05/2017 - 09:50

ผมทำตามแล้ว ไม่สามารถเชื่อมต่อเข้า network ที่ทำการ map drive ได้ครับ กรณีออฟฟิศผมคือ share file ผ่าน nas ไม่สามารถ access ได้เลย

Ford AntiTrust Mon, 15/05/2017 - 11:18

การปิด SMBv1 มีผลกระทบดังนี้

  1. SMBv1 ทำงานบน Windows XP หรือ Windows Server 2003 ก็เช็คๆ ก่อนว่ามีระบบที่เกี่ยวข้องยังใช้ Windows XP หรือ Windows Server 2003 อยู่หรือไม่
  2. ยังใช้งานพวก Network Neighborhood อยู่หรือเปล่า
  3. NAS, เครื่องพิมพ์ และพวก multi-function printers บางรุ่นใช้ SMBv1 หากปิดไปจะใช้งานพวกนี้ไม่ได้

rjack Mon, 15/05/2017 - 13:23

ยังเลยครับ ในเครื่องที่ทำไปทั้งหมดมี Win7 อยู่เครื่องนึง แก้ได้แค่เครื่องนี้เครื่องเดียว
นอกนั้นที่เป็น XP ทำอะไรไม่ได้เลยครับ

rjack Mon, 15/05/2017 - 15:09

ขอบคุณครับ
ส่วนผมใช้วิธี แก้ registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation แล้วลบค่าใน DependOnService ออก
ขอให้เครดิตคุณ โทษทีมีเม็ดเดียว จาก pantip ด้วยครับ

kakmanaes Mon, 15/05/2017 - 15:43

ลองทำตามข้างบนหมดแล้ว ก็ยังไม่ได้ของผมเป็น win Server 2008 r2 นะครับ
รบกวนผู้รู้ช้วยผมด้วย ผมไม่อยากลงใหม่ (พลาดตรงไม่เก้บโกสไว้ T_T)

hisoft Tue, 16/05/2017 - 11:36

ผมเพิ่งเห็นว่า server 2008 ไม่ได้ใช้ remove role ตอนเอาออกครับ แต่ที่มาท้ายข่าวมีวิธีทั้งเปิดและปิด SMB v1, 2, 3 ไว้ให้นะครับ ตามในนั้น

https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

pusukae Tue, 16/05/2017 - 11:47

ขอบคุณค่ะ เราทำตามนี้แล้ว แต่เหมือนมันมีปัญหาที่ connect กับเครื่อง scan โดยปกติต่อผ่าน port SMB ตอนนี้มัน scan ไม่ผ่าน น่าจะเกี่ยวกับตอนปิด SMB แต่รัน commands เปิด SMB แล้ว ยังไม่ได้ค่ะ แถม windows xp ยังเข้าพวก file server ไม่ได้อีก :(

newbie Tue, 16/05/2017 - 16:13

มีปัญหากับเครื่อง Win 8 เหมือนกันครับ คล้ายๆ ว่าตอนปิดไปแล้วมาเปิดใหม่แต่เข้าพวก file sharing ของเครื่องเก่าๆ ที่ใช้ SMB v1 ไม่ได้แล้ว ใครพอมีวิธีแนะนำ รบกวนด้วยนะครับ

kakmanaes Wed, 17/05/2017 - 14:38

ผมทำได้แล้วแล้วนะครับ
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Note When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled. This behavior occurs because these protocols share the same stack.
To disable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
To enable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
To disable SMBv2 and SMBv3 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
To enable SMBv2 and SMBv3 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

ตามท่านข้างบนเลยครับ

ปล. 1.รัน cmd โหมดแอดมินินะครับอันนี้สำคัญมาก
2.แนะนำให้ก๊อปปี้ไปวางนะครับบางทีพิมพ์เองแล้วผิด ๆ ถูก ๆ หรือตกหล่นอะไรมันจะไม่ได้ครับ
3.ข้อสุฃังเกตุสำคัญคือถ้า Enter แล้วมันจะขึ้นเตือนว่า success นะครับอันนี้ถือว่าผ่านแต่ถ้าขึ้นหตัวหนังสืออื่น ๆเยอะ ๆ แสดงว่าไม่ผ่าน
4.แต่ด้วยผมทำทุกอย่างจากที่แนะนำด้านบนพร้อม ๆ กันทั้งหมด ผมเลยไม่รู้ว่าวิธีไหนถึงแก้ได้ถ้าจะเอาง่ายคือทำทุกอย่างไปเลยครับ

ลองทำดูนะครับ ^_^

Greatpot Mon, 15/05/2017 - 09:55

ขอเสริมนิดหน่อยนะครับ รบกวนคุณ BlackMiracle หรือ Mod เพิ่มแท็ก WannaCrypt ในบทวามนี้ทีครับ เผื่ออนาคตมีการค้นหาบทความที่เกี่ยวข้อง

ถ้าเห็นว่าเหมาะสมก็รบกวนด้วยนะครับ ขอบคุณครับ

konjohnjud Mon, 15/05/2017 - 11:57

ของผมเป็น windows7 ใช้งานในบริษัท พอทำแล้วเข้าระบบ public drive ของบริษัทไม่ได้เลยครับ อยากให้กลับไปเหมือนเดิมได้ไหม แล้วผมจะให้ทาง IT เข้ามาจัดการเอง

ขอแนวทางด้วยครับ ขอบคุณครับ

phongneng Mon, 15/05/2017 - 17:42

สอบถามหน่อยครับ เครื่อง PC ที่บ้านไม่มีแชร์ไดร์เลยไม่มีปัญหา
เลยมาลองกับ PC ที่ออฟฟิศ ปิดแล้วเข้าแชร์ไดร์บาง Server ไม่ได้แต่ถ้าติ๊กกลับมาใช้งานเข้าได้ปกติ

ขอโทษครับ พอดีอ่านไม่ครบทุก comment พึ่งเจอว่า Share Files ผ่าน Windows Server 2003 ไม่สามารถเข้าได้ ขอบคุณครับ

Ford AntiTrust Wed, 17/05/2017 - 12:26

อยากให้เจ้าของผู้เขียนบทความเขียนคำแนะนำเพิ่มเติมว่าการปิด SMBv1 จะมีผลอะไรบ้าง เช่น

  1. SMBv1 ทำงานบน Windows XP หรือ Windows Server 2003 ก็เช็คๆ ก่อนว่ามีระบบที่เกี่ยวข้องยังใช้ Windows XP หรือ Windows Server 2003 อยู่หรือไม่
  2. ยังใช้งานพวก Network Neighborhood อยู่หรือเปล่า
  3. NAS, เครื่องพิมพ์ และพวก multi-function printers บางรุ่นใช้ SMBv1 หากปิดไปจะใช้งานพวกนี้ไม่ได้

พร้อมแนะนำการเปิดกลับมาหลังจาก update patch เสร็จแล้ว เพื่อให้สามารถใช้งานได้ดังเดิมครับ