Ransomware Top Stories

Guidebook: รับมือกับ Ransomware

จากกระแสของโปรแกรมเรียกค่าไถ่ หรือ Ransomware ที่กำลังมาแรง และสร้างความเดือดร้อนให้กับผู้ใช้ทั้งในระดับธุรกิจ และในระดับครัวเรือน โปรแกรมเรียกค่าไถ่หรือ Ransomware เป็นไวรัสที่มีความสามารถเข้ารหัส หรือล็อคไฟล์ไม่ให้เจ้าของไฟล์เปิด หรือใช้ไฟล์ได้ โดยมีเงื่อนไขเป็นการจ่ายเงินจำนวนหนึ่งเพื่อแลกกับรหัสปลดล็อคไฟล์ นี่ก็คือแนวคิดของ Ransomware

ทาง ESET จึงขอใช้โอกาสนี้ในการเขียนบทความที่รวบรวมวิธีเตรียมตัวรับมือกับ Ransomware ให้กับผู้อ่านได้ทราบกัน โดยพวกเราแบ่งวิธีปฏิบัติเป็น 3 สถานการณ์

เราจะเริ่มที่วิธีการป้องกัน Ransomware แทรกซึมเข้าสู่ระบบก่อน และค่อยคุยกันเรื่องวิธีการลดความเสียหายในกรณีที่โดนโปรแกรมเรียกค่าไถ่เล่นงาน

วิธีการป้องกัน Ransomware เข้าสู่ระบบ

สำรองข้อมูล

สิ่งที่ต้องทำไว้เผื่อเหตุฉุกเฉินหากถูกเล่นงานโดน Ransomware คือการสำรองข้อมูล มีโปรแกรมเรียกค่าไถ่หลายเจ้าที่มีความสามารถเข้ารหัสไฟล์ทั้งหมดในไดร์ฟ รวมถึงไดร์ฟที่ถอดเข้าถอดออกได้อย่าง USB หรือแม้กระทั่งเครือข่าย หรือ Cloud ที่คุณทำการเชื่อมต่อกับไดร์ฟของคุณ ดังนั้น Backup ที่คุณทำต้องไม่มีการเชื่อมต่อใดๆ กับเครือข่ายที่กำลังใช้อยู่

อัพเดทซอฟต์แวร์สม่ำเสมอ

แฮกเกอร์มักใช้ประโยชน์จากผู้ใช้ที่ไม่อัพเดทแอปพลิเคชัน หรือโปรแกรม เพราะอัพเดทมีเอาไว้แก้ไขช่องโหว่ของโปรแกรม หลายครั้งที่เราไม่อัพเดทโปรแกรมเพราะคิดว่า อัพเดทแล้วก็ไม่เห็นมีอะไรใหม่ แต่ที่จริงแล้วทางผู้พัฒนาต้องการที่จะปิดช่องโหว่ของแอปพลิเคชันของพวกเขาให้เร็วที่สุด ดังนั้นการเปิดอัพเดทอัตโนมัติ หรือเข้าเว็บไซต์ของผู้ผลิตเลยก็เป็นทางเลือกที่ดี เพราะหลายครั้งอาชญากรไซเบอร์ที่ทำการแจ้งเตือนให้อัพเดทแอปพลิเคชันปลอมขึ้นมา

ใช้ชุดโปรแกรมรักษาความปลอดภัยที่มีคุณภาพ

การเลือกใช้โปรแกรมรักษาความปลอดภัย กับไฟร์วอลล์ร่วมกันเป็นไอเดียที่ดีที่จะช่วยให้การตรวจจับภัยคุกคาม หรือสิ่งผิดปกติในระบบทำงานได้ดียิ่งขึ้น เพราะทุกวันนี้ผู้พัฒนามัลแวร์ก็กำลังหาวิธีหลีกเลี่ยงการตรวจจับของแอนตี้ไวรัส ดังนั้นการมีการป้องกันหลายชั้นย่อมเป็นไอเดียที่ดี ถ้าคุณเจอโปรแกรมเรียกค่าไถ่สายพันธุ์ที่ใช้เซิร์ฟเวอร์ C&C ออกคำสั่ง ไฟร์วอลล์สามารถตรวจจับ และป้องกันได้

ใช้ทฤษฎี Least Privilege

ทฤษฎี Least Privilege คือการจำกัดการเข้าถึงของผู้ท่ีไม่ได้รับอนุญาตให้มากที่สุด หรือจำกัดไว้ในส่วนที่พวกเขารับผิดชอบเท่านั้น และสิทธิในการเข้าถึงถูกจัดไว้ตามตำแหน่งของแต่ละบุคคล อย่างเช่นนักเรียนมีสิทธิในการเข้าถึงข้อมูลน้อยกว่าอาจารย์ และในกรณีที่มีอุปกรณ์อื่นๆเข้าใช้เครือข่ายจะต้องใช้มาตรการเดียวกันนี้ด้วย เท่านี้โปรแกรมเรียกค่าไถ่ก็จะห่างออกไปอีกขั้นนึงแล้ว

ให้ความรู้กับผู้ใช้

เมื่อมีเหตุการณ์เกิดขึ้น ผู้ใช้ทุกคนต้องทราบเกี่ยวกับเหตุการณ์ที่เกิดขึ้น เพราะเหตุการณ์เหล่านี้ไม่ได้เกิดขึ้นครั้งสองครั้งต่อปี แต่มีแนวโน้มเกิดขึ้นอย่างต่อเนื่อง ซึ่งรายละเอียดที่ผู้ใช้ควรทราบเกี่ยวกับเหตุการณ์ ก็คงหนีไม่พ้นความเสี่ยง และความเสียหายที่เกิดขึ้น พร้อมทั้งวิธีรับมือที่ช่วยให้คุณประคับประคองสถานการณ์

ต่อไปจะเป็นวิธีรับมือกับกระบวนการแทรกซึมของ Ransomware ตัวนี้ คำแนะนำเหล่านี้อาจจะไม่สามารถปกป้องคุณได้ 100% แต่ก็สามารถลดความเสี่ยงได้มากพอตัว และสามารถใช้ได้กับโปรแกรมเรียกค่าไถ่สายพันธุ์อื่นๆ ที่มีความสามารถเดียวกันได้อีกด้วย

วิธีป้องกันกระบวนการแทรกซึมของ Ransomware

ปิด Macros ของ Microsoft Office

คนทั่วไปมักไว้ใจในความปลอดภัยของ Microsoft Office แต่ Microsoft Office มี Script ที่มีความสามารถเริ่มการทำงานไฟล์โดยที่คุณยังไม่ต้องออกคำสั่ง ซึ่งคุณสามารถเปิด-ปิดระบบนี้ได้ เมื่อมีความจำเป็นต้องใช้

แสดงนามสกุลไฟล์

วิธีหนึ่งของอาชญากรไซเบอร์ก็คือ ใช้นามสกุลไฟล์ซ้อนสองชั้นอย่าง “.PDF.EXE” มุขนี้ใช้ประโยชน์ของการตั้งค่าพื้นฐานของ Windows และ OS X เพราะคนส่วนมากมักไม่เปลี่ยนกัน และถ้าหากคุณเปิดแสดงนามสกุลไฟล์ก็จะสังเกตเห็นได้ไม่ยาก

กรองไฟล์ EXE ในอีเมล์

ถ้าหากในองค์กรของคุณมีซอฟต์แวร์รักษาความปลอดภัย และมีฟังก์ชันกรองอีเมล์ ใช้กรองไฟล์ที่มีนามสกุล “.EXE” ยกตัวอย่างจากหัวข้อก่อนหน้า “ชื่อไฟล์.PDF.EXE” ถ้าหากแนบมาในอีเมล์ฟังก์ชัน Filter กรองจะทำงาน และคัดอีเมล์ที่มีไฟล์ “.EXE” ออกไป

ยกเลิกการทำงานอัตโนมัติจาก AppData/LocalAppData folders

คุณสามารถสั่งคำสั่งนี้ผ่าน Windows หรือ IPS ที่จะสามารถเลี่ยงพฤติกรรมที่ Ransomware มักใช้กันได้ นั่นคือการเริ่มทำงานไฟล์โฟร์เดอร์ App Data หรือ Local App Data แต่ถ้าคุณมีโปรแกรม หรือแอปพลิเคชันที่จำเป็นต้องเรียกไฟล์มาใช้ผ่านโฟร์เดอร์เหล่านี้ คุณก็สามารถเพิ่ม Exclusion ให้โปรแกรมเหล่านั้นได้

ปิดระบบรีโมท หรือ RDP

หลายครั้งที่ Ransomware เข้ามาทางระบบสั่งการระยะไกล หรือ Remote Desktop Protocal (RDP) ที่อนุญาตให้คุณสามารถเข้าถึงคอมพิวเตอร์จากระยะไกล และถ้าหากคุณไม่ได้ใช้มันอยู่แล้ว ทางเราก็ขอแนะนำให้ปิดมันไว้

ถ้าหากคุณพบว่าตัวเองตกเป็นเหยื่อของโปรแกรมเรียกค่าไถ่ไปแล้ว นั่นหมายความว่าทางเลือกของคุณมีจำกัด แต่ก็ยังมีสิ่งที่พอจะทำได้เพื่อบรรเทาความเสียหายที่จะเกิดขึ้นอยู่

วิธีลดความเสียหายจาก Ransomware

โปรแกรมถอดรหัส

หลายครั้งที่ผู้พัฒนา Ransomware ก็ทิ้งช่องโหว่เอาไว้เสียเอง จนทำให้เกิด โปรแกรมถอดรหัส หรืออาจจะเป็นเพราะความสำนึกผิดหรืออะไรก็ตามทำให้มีสิ่งเหล่านี้ขึ้นมา แต่คนที่กำลังได้รับความเดือดร้อนก็อย่ารีบดาวน์โหลดมาถ้ายังไม่ได้ตรวจสอบว่าโปรแกรมเหล่านั้นมาจากแหล่งที่น่าเชื่อถือหรือไม่

ปิดการเชื่อมต่อทุกทางกับเครื่องที่ติดโปรมแกรมเรียกค่าไถ่

ถ้าเกิดคุณบังเอิญเปิดไฟล์ที่อาจเป็น Ransomware แต่ยังไม่มีอะไรเกิดขึ้น ถ้าคุณรู้ตัวเร็วพอก็สามารถหยุดการทำงานมันจากเซิร์ฟเวอร์ C&C ได้เลย หรือพูดง่ายๆก็คือรีบถอดการเชื่อมกับอินเตอร์เน็ตก็สามารถหยุดการทำงานของมัน เพื่อลดจำนวนไฟล์ที่ถูกเข้ารหัสด้วย

ใช้ System Restore เพื่อกลับไปก่อนหน้าเหตุการณ์เกิด

ถ้าหากระบบ System Restore ยังคงใช้ได้อยู่ถือเป็นโอกาสดีของคุณที่จะย้อนระบบกลับไปยังจุดที่ทุกอย่างยังใช้งานได้ ถึงแม้ Ransomware มักจะปิดกั้นระบบนี้ แต่ก็ไม่เสียหายอะไรถ้าจะลอง

 

%d bloggers like this: