Ransomware คืออะไร ? ป้องกันและแก้ไขอย่างไร ?

 1,266 total views

Ransomware หรือ มัลแวร์เรียกค่าไถ่ ชื่อที่หลายคนอาจจะเคยได้ยินมาบ้าง หรือแม้กระทั่งบางคนเคยโดนภัย Ransomware มากับตัวเอง โดยพฤติกรรมของ Ransomware มักจะทำการ Lock file หรือ encryption file เพื่อไม่ให้เหยื่อเข้าใช้งานไฟล์ที่ถูก Lock ไว้ได้ จากนั้นจะมีข้อความเพื่อทำการเรียกค่าไถ่ข้อมูลที่ได้ Lock ไว้ หากเหยื่อยินยอมจ่ายค่าไถ่แฮกเกอร์ก็จะปลดล็อคให้ แต่ในระยะหลังเริ่มมีการขู่ว่าจะปล่อยข้อมูลสู่สาธารณะดังเช่น ในข่าว ขู่ปล่อยข้อมูล Ransomware ที่ทำมากกว่ามัลแวร์เรียกค่าไถ่หรือนำไปประมูลขาย เช่น ข่าว DoppelPaymer อ้างเข้าถึงข้อมูลบริษัทผู้ดูแลระบบไอทีให้กับ NASA ได้ เป็นต้น

โดยส่วนใหญ่การที่จะตกเหยื่อของ Ransomware นั้นจะมีสาเหตุมาจากการที่ผู้ใช้งานดาวน์โหลดไฟล์ผ่านทางเว็บไซต์ที่ไม่น่าเชื่อถือและเป็นอันตราย เมื่อดาวน์โหลดมาแล้วกลับได้ Ransomware มาแทน ซึ่งโดยหลักแล้ว Ransomware มักจะมุ่งเน้นโจมตีผ่านระบบปฏิบัติการ Microsoft Windows แต่ผลของการเข้า Lock ไฟล์นั้นสามารถลามไป Online Storage ต่างๆ ได้ด้วย

  1. วิธีการป้องกัน Ransomware สำหรับผู้ใช้งานทั่วไป (End user)

– เมื่อพบ Website, Link หรือ File ที่ไม่น่าไว้ใจ ให้รีบลบทิ้ง ไม่ควรลองคลิกดูเพื่อทดสอบว่าเป็นโปรแกรมอะไร
– ติดตั้ง Antivirus หมั่น Update และ Scan อยู่เสมอ
– ทำการ Backup File สำคัญไว้หลายๆ ที่โดยเฉพาะควรสำรองข้อมูลแบบออฟไลน์ด้วย เช่น Copy ไฟล์เก็บไว้ใน Harddisk หรือแฟลชไดร์ฟ เป็นต้น

  1. ในส่วนของผู้ดูแลระบบที่ต้องดูแลองค์กร (Admin)

– ทำการ Block Blacklist IP จากข้อมูล Threat Intelligence เพื่อเป็นการป้องกันเบื้องต้นในการเข้าถึง Server ต่างๆ ที่เป็นอันตราย
– ทำการตรวจสอบการเข้าถึงของอุปกรณ์ Security โดยเปิดเฉพาะ Port ที่จำเป็นต้องใช้งานเท่านั้น
– ทำการตั้งค่า Group Policy เช่น ไม่ให้ใช้งานไฟล์ที่สามารถ Execution ได้, ปิด Autoplay ต่างๆ และกำหนดให้ติดตั้งเฉพาะ software ที่องค์กรให้ใช้งาน เท่านั้น
– Backup File หรือ Backup ข้อมูลควรมีการ Backup แยกอีกชุดหนึ่ง ออกจากระบบที่ใช้งานอยู่ และควรเข้ารหัสไฟล์ที่ Backup ด้วย
– อบรมความรู้เกี่ยวกับภัยคุกคามทาง Internet เช่น ภัยที่มาจาก E-mail เป็นต้น

  1. สิ่งที่ควรทำทุกเดือน (End user/Admin)

– ตรวจสอบทุกเดือน เช่น ช่องโหว่ของ OS และ หมั่น Update Patch สม่ำเสมอ
– กำหนดสิทธิ์การเข้าถึงไฟล์ที่สำคัญให้ได้เพียง Read-Only เท่านั้น และหมั่นตรวจสอบการเข้าถึงไฟล์หรือ Folder เมื่อไม่มีการใช้งาน ให้ยกเลิกการแชร์ไฟล์ด้วย
– ไฟล์หรือ Folder ที่สำคัญ ให้กำหนดสิทธิ์การเข้าถึงจากบุคคลภายนอกให้เพียง Read only เท่านั้น

ถ้าสามารถทำตาม 3 ข้อหลักดังกล่าวมาข้างต้นแล้ว ก็ถือว่าเพียงพอที่จะป้องกันและรับมือกับ Ransomware ในเบื้องต้นได้แล้วหรือต่อให้เกิดเหตุที่ไม่คาดคิดขึ้น ในส่วนของการรับมือก็จะสามารถกู้คืนข้อมูลจาก Backup เพื่อนำกลับมาใช้งานได้

ท้ายที่สุด เรื่องภัยไซเบอร์ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเมื่อเราใช้อินเทอร์เน็ตมากขึ้นก็ย่อมมีการโจมตีทางไซเบอร์เพิ่มมากขึ้นเป็นเงาตามตัวไปด้วย ถึงแม้รูปแบบวิธีการของภัยคุกคามจะมีมากมายแต่ไม่ว่าจะเป็นแบบไหน ผลของมันรุนแรงเสมอ ในฐานะผู้ใช้และผู้ดูแลระบบการป้องกันจึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ เริ่มต้นใส่ใจเรื่อง IT Security ตั้งแต่วันนี้ เพื่อเพิ่มความปลอดภัยอย่างยั่งยืนของระบบ IT

ขอขอบคุณแหล่งที่มา :

https://www.catcyfence.com/it-security/article/what-is-ransomware-and-how-to-protect/