Ransomware

School Ransomware : ภัยคุกคามที่ควรระวัง

เรายังคงพบ Ransomware ในองค์กร โรงพยาบาล โรงเรียน หรือรัฐวิสาหกิจต่างๆ อย่างโรงพยาบาลเป็นสถานที่ชีวิตคนแขวนอยู่บนเส้นด้าย ดังนั้นการเข้าถึงข้อมูลของผู้ป่วยให้เร็วที่สุดจึงเป็นสิ่งสำคัญ

การยอมจ่ายค่าไถ่นั้นไม่ใช่เรื่องดี ถึงแม้ว่าจะเป็นทางออกที่ง่าย และรวดเร็วที่สุด เพราะอาชญากรไซเบอร์ไม่ได้มีภาระผูกพันที่จะต้องถอดรหัสให้เครื่องของเรา และมีหลายครั้งที่รหัสใช้ไม่ได้ หรือข้อความเรียกค่าไถ่ไม่ปรากฎ ดังนั้นเราอาจจะสรุปได้ว่าอาชญากรไซเบอร์ไม่มีใจดูแลลูกค้าของพวกเขาเท่าไหร่นัก

วิธีหลีกเลี่ยง Ransomware มีเยอะแยะมากมาย และมีอีกหลายวิธีที่จะลดทอนความเสียหายที่อาจเกิดขึ้นได้เช่นกัน ดังนั้นคุณอาจไม่ต้องจ่ายค่าไถ่ก็เป็นได้

ทำไมถึงต้อง School Ransomware ล่ะ?

โรงเรียนเปรียบเสมือนเมืองเล็กๆเมืองหนึ่ง นั่นหมายความว่าภายในโรงเรียนหรือสถานศึกษาย่อมมี คลีนิค ร้านค้า ร้านอาหาร หรือแม้กระทั่งธนาคาร เพราะฉะนั้นโรงเรียนจึงมีข้อมูลมากมาย อย่างข้อมูลการเงิน ข้อมูลทางการแพทย์ บันทึกของนักเรียน และบุคลากร ที่มีความสำคัญต่อบุคคลภายใน และมีความสามารถในการทำเงินให้กับอาชญากร

โปรแกรมเรียกค่าไถ่เป็นมัลแวร์ที่มีความพิเศษ เพราะมันไม่จำเป็นต้องนำข้อมูลออกจากเครื่องของเหยื่อเลย เพียงแต่ใช้การขัดขวางการเข้าถึงแทน ยิ่งถ้าเกิดเหตุการณ์ที่ต้องใช้ข้อมูลด่วน ความวุ่นวายก็คงไม่ต่างกับที่โรงพยาบาลสักเท่าไหร่

ในขณะที่โรงพยาบาลส่วนใหญ่มักจำกัดจำนวนอุปกรณ์ที่เชื่อมต่อเข้าสู่เครือข่าย แต่โรงเรียนกลับทำตรงกันข้าม คือแนะนำให้ผู้ใช้นำอุปกรณ์ของตัวเองมา นั่นทำให้การบริหารจัดการยากยิ่งขึ้น และไม่สามารถบอกได้ว่าในแต่ละวันมีจำนวนอุปกรณ์ที่ทำการเชื่อมต่อได้มากน้อยแค่ไหน ซึ่งจริงๆมันก็ทำได้แต่ขั้นตอนจะยุ่งยากมาก

วิธีการจัดการกับ School Ransomware

เราจะเริ่มที่วิธีการป้องกัน Ransomware แทรกซึมเข้าสู่ระบบก่อน และค่อยคุยกันเรื่องวิธีการลดความเสียหายในกรณีที่โดนโปรแกรมเรียกค่าไถ่เล่นงาน

สำรองข้อมูล

สิ่งที่ต้องทำไว้เผื่อเหตุฉุกเฉินหากถูกเล่นงานโดน Ransomware คือการสำรองข้อมูล มีโปรแกรมเรียกค่าไถ่หลายเจ้าที่มีความสามารถเข้ารหัสไฟล์ทั้งหมดในไดร์ฟ รวมถึงไดร์ฟที่ถอดเข้าถอดออกได้อย่าง USB หรือแม้กระทั่งเครือข่าย หรือ Cloud ที่คุณทำการเชื่อมต่อกับไดร์ฟของคุณ ดังนั้น Backup ที่คุณทำต้องไม่มีการเชื่อมต่อใดๆ กับเครือข่ายที่กำลังใช้อยู่

อัพเดทซอฟต์แวร์สม่ำเสมอ

แฮกเกอร์มักใช้ประโยชน์จากผู้ใช้ที่ไม่อัพเดทแอปพลิเคชัน หรือโปรแกรม เพราะอัพเดทมีเอาไว้แก้ไขช่องโหว่ของโปรแกรม หลายครั้งที่เราไม่อัพเดทโปรแกรมเพราะคิดว่า อัพเดทแล้วก็ไม่เห็นมีอะไรใหม่ แต่ที่จริงแล้วทางผู้พัฒนาต้องการที่จะปิดช่องโหว่ของแอปพลิเคชันของพวกเขาให้เร็วที่สุด ดังนั้นการเปิดอัพเดทอัตโนมัติ หรือเข้าเว็บไซต์ของผู้ผลิตเลยก็เป็นทางเลือกที่ดี เพราะหลายครั้งอาชญากรไซเบอร์ที่ทำการแจ้งเตือนให้อัพเดทแอปพลิเคชันปลอมขึ้นมา

ใช้ชุดโปรแกรมรักษาความปลอดภัยที่มีคุณภาพ

การเลือกใช้โปรแกรมรักษาความปลอดภัย กับไฟร์วอลล์ร่วมกันเป็นไอเดียที่ดีที่จะช่วยให้การตรวจจับภัยคุกคาม หรือสิ่งผิดปกติในระบบทำงานได้ดียิ่งขึ้น เพราะทุกวันนี้ผู้พัฒนามัลแวร์ก็กำลังหาวิธีหลีกเลี่ยงการตรวจจับของแอนตี้ไวรัส ดังนั้นการมีการป้องกันหลายชั้นย่อมเป็นไอเดียที่ดี ถ้าคุณเจอโปรแกรมเรียกค่าไถ่สายพันธุ์ที่ใช้เซิร์ฟเวอร์ C&C ออกคำสั่ง ไฟร์วอลล์สามารถตรวจจับ และป้องกันได้

ใช้ทฤษฎี Least Privilege

ทฤษฎี Least Privilege คือการจำกัดการเข้าถึงของผู้ท่ีไม่ได้รับอนุญาตให้มากที่สุด หรือจำกัดไว้ในส่วนที่พวกเขารับผิดชอบเท่านั้น และสิทธิในการเข้าถึงถูกจัดไว้ตามตำแหน่งของแต่ละบุคคล อย่างเช่นนักเรียนมีสิทธิในการเข้าถึงข้อมูลน้อยกว่าอาจารย์ และในกรณีที่มีอุปกรณ์อื่นๆเข้าใช้เครือข่ายจะต้องใช้มาตรการเดียวกันนี้ด้วย เท่านี้โปรแกรมเรียกค่าไถ่ก็จะห่างออกไปอีกขั้นนึงแล้ว

ให้ความรู้กับผู้ใช้

เมื่อมีเหตุการณ์เกิดขึ้น ผู้ใช้ทุกคนต้องทราบเกี่ยวกับเหตุการณ์ที่เกิดขึ้น เพราะเหตุการณ์เหล่านี้ไม่ได้เกิดขึ้นครั้งสองครั้งต่อปี แต่มีแนวโน้มเกิดขึ้นอย่างต่อเนื่อง ซึ่งรายละเอียดที่ผู้ใช้ควรทราบเกี่ยวกับเหตุการณ์ ก็คงหนีไม่พ้นความเสี่ยง และความเสียหายที่เกิดขึ้น พร้อมทั้งวิธีรับมือที่ช่วยให้คุณประคับประคองสถานการณ์

ต่อไปจะเป็นวิธีรับมือกับกระบวนการแทรกซึมของ Ransomware ตัวนี้ คำแนะนำเหล่านี้อาจจะไม่สามารถปกป้องคุณได้ 100% แต่ก็สามารถลดความเสี่ยงได้มากพอตัว และสามารถใช้ได้กับโปรแกรมเรียกค่าไถ่สายพันธุ์อื่นๆ ที่มีความสามารถเดียวกันได้อีกด้วย

ปิด Macros ของ Microsoft Office

คนทั่วไปมักไว้ใจในความปลอดภัยของ Microsoft Office แต่ Microsoft Office มี Script ที่มีความสามารถเริ่มการทำงานไฟล์โดยที่คุณยังไม่ต้องออกคำสั่ง ซึ่งคุณสามารถเปิด-ปิดระบบนี้ได้ เมื่อมีความจำเป็นต้องใช้

แสดงนามสกุลไฟล์

วิธีหนึ่งของอาชญากรไซเบอร์ก็คือ ใช้นามสกุลไฟล์ซ้อนสองชั้นอย่าง “.PDF.EXE” มุขนี้ใช้ประโยชน์ของการตั้งค่าพื้นฐานของ Windows และ OS X เพราะคนส่วนมากมักไม่เปลี่ยนกัน และถ้าหากคุณเปิดแสดงนามสกุลไฟล์ก็จะสังเกตเห็นได้ไม่ยาก

กรองไฟล์ EXE ในอีเมล์

ถ้าหากในองค์กรของคุณมีซอฟต์แวร์รักษาความปลอดภัย และมีฟังก์ชันกรองอีเมล์ ใช้กรองไฟล์ที่มีนามสกุล “.EXE” ยกตัวอย่างจากหัวข้อก่อนหน้า “ชื่อไฟล์.PDF.EXE” ถ้าหากแนบมาในอีเมล์ฟังก์ชัน Filter กรองจะทำงาน และคัดอีเมล์ที่มีไฟล์ “.EXE” ออกไป

ยกเลิกการทำงานอัตโนมัติจาก AppData/LocalAppData folders

คุณสามารถสั่งคำสั่งนี้ผ่าน Windows หรือ IPS ที่จะสามารถเลี่ยงพฤติกรรมที่ Ransomware มักใช้กันได้ นั่นคือการเริ่มทำงานไฟล์โฟร์เดอร์ App Data หรือ Local App Data แต่ถ้าคุณมีโปรแกรม หรือแอปพลิเคชันที่จำเป็นต้องเรียกไฟล์มาใช้ผ่านโฟร์เดอร์เหล่านี้ คุณก็สามารถเพิ่ม Exclusion ให้โปรแกรมเหล่านั้นได้

ปิดระบบรีโมท หรือ RDP

หลายครั้งที่ Ransomware เข้ามาทางระบบสั่งการระยะไกล หรือ Remote Desktop Protocal (RDP) ที่อนุญาตให้คุณสามารถเข้าถึงคอมพิวเตอร์จากระยะไกล และถ้าหากคุณไม่ได้ใช้มันอยู่แล้ว ทางเราก็ขอแนะนำให้ปิดมันไว้

ถ้าหากคุณพบว่าตัวเองตกเป็นเหยื่อของโปรแกรมเรียกค่าไถ่ไปแล้ว นั่นหมายความว่าทางเลือกของคุณมีจำกัด แต่ก็ยังมีสิ่งที่พอจะทำได้เพื่อบรรเทาความเสียหายที่จะเกิดขึ้นอยู่

โปรแกรมถอดรหัส

หลายครั้งที่ผู้พัฒนา Ransomware ก็ทิ้งช่องโหว่เอาไว้เสียเอง จนทำให้เกิด โปรแกรมถอดรหัส หรืออาจจะเป็นเพราะความสำนึกผิดหรืออะไรก็ตามทำให้มีสิ่งเหล่านี้ขึ้นมา แต่คนที่กำลังได้รับความเดือดร้อนก็อย่ารีบดาวน์โหลดมาถ้ายังไม่ได้ตรวจสอบว่าโปรแกรมเหล่านั้นมาจากแหล่งที่น่าเชื่อถือหรือไม่

ปิดการเชื่อมต่อทุกทางกับเครื่องที่ติดโปรมแกรมเรียกค่าไถ่

ถ้าเกิดคุณบังเอิญเปิดไฟล์ที่อาจเป็น Ransomware แต่ยังไม่มีอะไรเกิดขึ้น ถ้าคุณรู้ตัวเร็วพอก็สามารถหยุดการทำงานมันจากเซิร์ฟเวอร์ C&C ได้เลย หรือพูดง่ายๆก็คือรีบถอดการเชื่อมกับอินเตอร์เน็ตก็สามารถหยุดการทำงานของมัน เพื่อลดจำนวนไฟล์ที่ถูกเข้ารหัสด้วย

ใช้ System Restore เพื่อกลับไปก่อนหน้าเหตุการณ์เกิด

ถ้าหากระบบ System Restore ยังคงใช้ได้อยู่ถือเป็นโอกาสดีของคุณที่จะย้อนระบบกลับไปยังจุดที่ทุกอย่างยังใช้งานได้ ถึงแม้ Ransomware มักจะปิดกั้นระบบนี้ แต่ก็ไม่เสียหายอะไรถ้าจะลอง

อาชญากรไซเบอร์รู้ดีว่าข้อมูลในสถานศึกษามีความสำคัญสำหรับทั้งตัวนักเรียน และบุคลากรในสถานศึกษา พวกเขาจึงเป็นเป้าหมายอย่างดี และเมื่อที่อาชญากรทำสำเร็จเรื่องแปลกก็คือ พวกเขาจะกลับมา ดังนั้นเราจึงต้องระมัดระวังตัวเป็นพิเศษ

%d bloggers like this: