Home ระบบความปลอดภัยของข้อมูล “Ransomware”การป้องกันและการแก้ไข

“Ransomware”การป้องกันและการแก้ไข

by Michael
0 comment

Ransomware เป็นมัลแวร์ (Malware) ประเภทหนึ่งที่มีลักษณะการทำงานที่แตกต่างกับมัลแวร์ประเภทอื่นๆคือไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูลของผู้ใช้งานแต่อย่างใด แต่จะทำการเข้ารหัสหรือล็อกไฟล์ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ผู้ใช้งานจะไม่สามารถเปิดไฟล์ใดๆได้เลยหากไฟล์เหล่านั้นถูกเข้ารหัส ซึ่งการถูกเข้ารหัสก็หมายความว่าจะต้องใช้คีย์ในการปลดล็อคเพื่อกู้ข้อมูลคืนมา ผู้ใช้งานจะต้องทำการจ่ายเงินตามข้อความ “เรียกค่าไถ่” ที่ปรากฏ

โดยข้อมูลหรือข้อความ “เรียกค่าไถ่” จะแสดงขึ้นหลังไฟล์ถูกเข้ารหัสเรียบร้อยแล้ว จำนวนเงินค่าไถ่ก็จะแตกต่างกันไป โดยเบื้องต้นก็จะมีราคาอยู่ที่ $150–$500 โดยประมาณ และการชำระเงินจะต้องชำระผ่านระบบที่มีความยากต่อการตรวจสอบหรือติดตาม อย่างเช่น การโอนเงินผ่านทางอิเล็กทรอนิกส์, Paysafecard หรือ Bitcoin เป็นต้น แต่อย่างไรก็ตามการชำระเงินก็ไม่ได้หมายความว่าผู้ไม่หวังดีจะส่งคีย์ที่ใช้ในการปลดล็อคไฟล์ให้กับผู้ใช้งาน

CryptoLocker & Crypto-ransomware

CryptoLocker & Crypto-ransomware
ช่องทางการแพร่กระจายของ Ransomware
    เพื่อแพร่กระจาย Ransomware โดยเบื้องต้นผู้ไม่หวังดีจะใช้วิธีการผ่านช่องทางต่างๆ ดังนี้
  • แฝงมาในรูปแบบเอกสารแนบทางอีเมล
ในกรณีส่วนใหญ่ Ransomware จะมาในรูปแบบเอกสารแนบทางอีเมล โดยอีเมลผู้ส่งก็มักจะเป็นผู้ให้บริการที่เรารู้จักกันดีอย่างเช่น ธนาคาร และจะใช้หัวข้อหรือประโยคขึ้นต้นที่ดูน่าเชื่อถืออย่าง  “Dear Valued Customer”, “Undelivered Mail Returned to Sender”, “Invitation to connect on LinkedIn.”  เป็นต้น ประเภทของไฟล์แนบที่เห็นก็จะเป็น “.doc” หรือ “.xls” ผู้ใช้อาจจะคิดว่าเป็นไฟล์เอกสาร Word หรือ Excel ธรรมดาแต่เมื่อตรวจสอบชื่อไฟล์เต็มๆ ก็จะเห็นนามสกุล .exe ซ่อนอยู่ อย่างเช่น “Paper.doc.exe” แต่ผู้ใช้จะเห็นเฉพาะ “Paper.doc” และทำให้เข้าใจผิดว่าเป็นไฟล์ที่ไม่เป็นอันตราย
กระบวนการของ Ransomware ที่ถูกส่งมาทางอีเมล
  • แฝงตัวมาในรูปแบบของ Malvertising (โฆษณา)
Ransomware นี้อาจจะมาในรูปแบบของโฆษณา ไม่ว่าจะเป็นโฆษณาที่ฝังมากับซอฟต์แวร์หรือตามหน้าเว็บไซต์ต่างๆ
  • เชื่อมโยงไปยังเว็บไซต์อันตรายและอาศัยช่องโหว่ของซอฟต์แวร์
ผู้ใช้ยังสามารถกลายเป็นเหยื่อได้โดยไม่ได้ตั้งใจเพียงเข้าเยี่ยมชมหน้าเว็บที่ถูกผู้ไม่หวังดีเข้ามาควบคุม ตัวอย่างเช่น ถูกดาวน์โหลดโค้ด (Code) ที่เป็นอันตรายผ่านทางโฆษณาแบนเนอร์ใน Flash ดังแสดงในรูปที่ 3 โดย Ransomware มักจะใช้ประโยชน์จากข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัยอื่นๆในเบราว์เซอร์, แอพลิเคชั่น หรือ ระบบปฏิบัติการ บ่อยครั้งก็มักจะเกิดจากช่องโหว่ในเว็บเบราว์เซอร์, Java และ PDF แต่ช่องโหว่ที่พบมากที่สุดก็คือใน Flash
กระบวนการทำงานของ Ransomware ที่อาศัยช่องโหว่ของซอฟแวร์
วิธีป้องกัน Ransomware
  • ทำการสำรองข้อมูล (Backup) เป็นประจำ
หากผู้ใช้งานติด Ransomware อย่างน้อยถ้ามีการสำรองข้อมูล (Backup) ก็จะสามารถกู้คืนไฟล์ของคุณได้ และเพื่อป้องกันข้อมูลที่ Backup ถูกเข้ารหัสไปด้วย ผู้ใช้งานควรสำรองข้อมูลลงบนอุปกรณ์สำหรับจัดเก็บข้อมูลภายนอกเครือข่าย (Cloud Storage, External Hard Drive, USB Flash Drive)
  • อัพเดทซอฟแวร์ในเครื่องอย่างสม่ำเสมอ
การอัพเดทระบบปฏิบัติการและซอฟต์แวร์จะช่วยป้องกันการโจมตีที่ต้องอาศัยช่องโหว่ของซอฟต์แวร์ได้ โดยเฉพาะอย่างยิ่งใน Adobe Flash, Microsoft Silverlight และเว็บเบราว์เซอร์ ควรติดตามและอัพเดทให้เป็น Version ปัจจุบัน
  • ติดตั้งโปรแกรมป้องกันมัลแวร์ (Anti-malware) ลงบนเครื่องคอมพิวเตอร์
เพื่อป้องกันการเข้าถึงเว็บไซต์ที่เป็นอันตรายและตรวจสอบไฟล์ทั้งหมดที่ถูกดาวน์โหลด ควรมีการติดตั้งโปรแกรมป้องกันมัลแวร์ลงบนเครื่องคอมพิวเตอร์ไว้ด้วย
  • ตรวจสอบอีเมลที่เป็นอันตรายเบื้องต้น

ผู้ไม่หวังดีมักใช้อีเมลเป็นช่องทางในการหลอกลวงผู้ใช้งาน ให้หลงเชื่อเปิดหรือดาวน์โหลดเอกสารแนบ ดังนั้นเมื่อเราได้รับอีเมลควรตรวจสอบอีเมลฉบับนั้นให้ดีเสียก่อน

  • ติดตามข่าวสาร
ควรติดตามข่าวสารช่องโหว่หรือภัยคุกคามต่างๆ รวมถึงศึกษาวิธีการป้องกันเพื่อไม่ให้ตกเป็นเหยื่อของเหล่าผู้ไม่หวังดีและเพื่อความปลอดภัยของตัวผู้ใช้งานเอง

ทำความรู้จักกับมัลแวร์ (Malware) และวิธีการป้องกันง่ายๆด้วยตัวคุณเอง

    Malicious Software หรือที่เรารู้จักกันว่ามัลแวร์ (Malware) เป็นชื่อเรียกโดยรวมของเหล่าโปรแกรมคอมพิวเตอร์ทุกชนิดที่ถูกออกแบบมาเพื่อมุ่งร้ายต่อคอมพิวเตอร์และเครือข่าย ไม่ว่าจะเป็น ไวรัส (Virus), วอร์ม (Worm), โทรจัน (Trojan), สปายแวร์ (Spyware) เป็นต้น ดังนั้นผู้ใช้งานคอมพิวเตอร์ทุกคนควรรู้ลักษณะและพฤติกรรมการทำงานของมัลแวร์ในทุกรูปแบบ รวมถึงการป้องกันตัวเองจากมัลแวร์ง่ายๆที่ใครๆก็สามารถทำได้

ลักษณะและพฤติกรรมการทำงานของมัลแวร์ในแต่ละประเภท ตัวอย่างเช่น
  • ­ Virus: มักจะแฝงตัวมากับโปรแกรมคอมพิวเตอร์หรือไฟล์และสามารถแพร่กระจายไปยังเครื่องอื่นๆ ได้โดยแนบตัวเองไปกับโปรแกรมหรือไฟล์ดังกล่าว แต่ไวรัสจะทำงานก็ต่อเมื่อมีการรันโปรแกรมหรือเปิดไฟล์เท่านั้น
  • ­ Worm: สามารถแพร่กระจายตัวเองไปยังคอมพิวเตอร์และอุปกรณ์เครื่องอื่นๆ ผ่านทางระบบเครือข่าย เช่น อีเมล หรือระบบแชร์ไฟล์
  • ­ Trojan: หลอกล่อผู้ใช้ว่าเป็นโปรแกรมที่ปลอดภัย แต่จริงๆแล้วจะทำให้เกิดความเสียหายเมื่อผู้ใช้หลงเชื่อนำไปติดตั้ง โดยที่ผู้ใช้ไม่รู้ตัวว่ามีโปรแกรมอื่นที่อันตรายแฝงตัวมาด้วย
  • ­ Backdoor: เปิดช่องทางให้ผู้อื่นเข้ามาใช้งานเครื่องคอมพิวเตอร์ของเราโดยไม่รู้ตัว
  • ­ Rootkit: เปิดช่องทางให้ผู้อื่นเข้ามาติดตั้งโปรแกรมเพิ่มเติมเพื่อควบคุมเครื่อง พร้อมได้สิทธิ์ของผู้ดูแลระบบ (Root)
  • ­ Spyware: แอบดูพฤติกรรมและบันทึกการใช้งานของผู้ใช้ และอาจขโมยข้อมูลส่วนตัว เช่น บัญชีชื่อผู้ใช้งาน, รหัสผ่าน หรือข้อมูลทางการเงิน เป็นต้น พร้อมทั้งส่งข้อมูลดังกล่าวไปในเครื่องปลายทางที่ได้ระบุเอาไว้อีกด้วย
  • ­ Ransomware: ทำการเข้ารหัสหรือล็อกไฟล์ ผู้ใช้จะไม่สามารถเปิดไฟล์หรือคอมพิวเตอร์ได้ จากนั้นก็จะส่งข้อความ “เรียกค่าไถ่” เพื่อแลกกับการถอดรหัสเพื่อกู้ข้อมูลคืนมา
ข้อแนะนำในการป้องกันการติดมัลแวร์
  1. อัพเดทคอมพิวเตอร์และซอฟแวร์ในเครื่องสม่ำเสมอ
  2. ติดตั้งโปรแกรมป้องกันมัลแวร์ (Anti-malware) บนคอมพิวเตอร์
  3. ระมัดระวังการใช้งานอุปกรณ์เชื่อมต่อทั้งหลาย เช่น แฟลชไดรฟ์ (USB) เป็นต้น ควรทำการสแกนไวรัสทุกครั้งก่อนใช้งาน
  4. ไม่คลิกข้อความที่แสดงโฆษณาหรือหน้าต่าง pop-up ปลอม (Adware) บนเว็บไซต์ที่เยี่ยมชม เพราะจะเป็นการเริ่มดาวน์โหลดมัลแวร์ จะต้องเช็คและตรวจสอบก่อนคลิกเสมอ
  5. ไม่ดาวน์โหลดโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ เสี่ยงต่อการมีมัลแวร์แฝงอยู่
  6. หลีกเลี่ยงการเปิดอีเมล รวมไปถึงไฟล์แนบที่ต้องสงสัยใดๆที่ส่งมาจากอีเมลที่เราไม่รู้จัก และต้องตรวจสอบทุกครั้งก่อนดาวน์โหลดหรือเปิดไฟล์ขึ้นมา

Checklist สำหรับป้องกันและรับมือกับ Ransomware

รายการตรวจสอบสำหรับรับมือเมื่อถูก Ransomware โจมตี

ขั้นตอนที่ 1: ยกเลิกการเชื่อมต่อทั้งหมด

 a. ถอดสาย LAN
 b. ปิดการเชื่อมต่อไร้สาย ได้แก่ Wi-Fi, Bluetooth และ NFC

ขั้นตอนที่ 2: ตรวจสอบบริเวณที่ติดมัลแวร์ โดยพิจารณาจากการที่ข้อมูลถูกเข้ารหัสจากส่วนต่างๆ ดังนี้

 a. Mapped Drives หรือ Shared Drives
☐ b. Mapped Folders หรือ Shared Folders จากคอมพิวเตอร์เครื่องอื่น
☐ c. อุปกรณ์ Network Storage ทุกชนิด
 d. External Hard Drives
 e. อุปกรณ์ USB Storage ทุกชนิด เช่น แฟลชไดรฟ์ สมาร์ทโฟน และกล้องถ่ายรูป
 f. Storage บนระบบ Cloud เช่น Dropbox, Google Drive, OneDrive และอื่นๆ

ขั้นตอนที่ 3: ตรวจสอบร่องรอยของ Ransomware

 a. เป็น Ransomware ชนิดใด เช่น CryptoWall, TeslaCrypt หรือ Locky โดยใช้ ID Ransomware

ขั้นตอนที่ 4: พิจารณาวิธีการรับมือ

ถึงตอนนี้ คุณจะทราบแล้วว่าบริเวณใดบ้างที่ไฟล์ถูกเข้ารหัส และ Ransomware ที่กำลังโจมตีเราอยู่คืออะไร คุณสามารถตัดสินใจดำเนินการขั้นถัดไปได้ตามข้อมูลเหล่านั้น

แผนรับมือที่ 1: กู้คืนไฟล์กลับมาจาก Backup

 1. ระบุตำแหน่งของไฟล์ Backup
xxxxa. ไฟล์ที่ต้องการกู้คืนมาอยู่ครบ
xxxxb. ยืนยันความถูกต้องของข้อมูลใน Backup เช่น ที่เก็บข้อมูลสามารถอ่านได้ และไม่มีไฟล์เสีย
xxxxc. ตรวจสอบ Shadow Copies ถ้ามี (อาจไม่จำเป็นสำหรับ Ransomware ชนิดใหม่ๆ)
xxxxd. ตรวจสอบไฟล์เวอร์ชันก่อนหน้าที่อาจถูกเก็บไว้บน Cloud Starage เช่น Dropbox, Google Drive, OneDrive
 2. กำจัด Ransomware ออกจากระบบที่ถูกโจมตี
 3. กู้คืนไฟล์ข้อมูลจาก Backup
 4. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต

แผนรับมือที่ 2: ทดลองปลดรหัสไฟล์

 1. ตรวจสอบชนิดและเวอร์ชันของ Ransomware ถ้าเป็นไปได้
 2. ค้นหาซอฟต์แวร์ปลดรหัส (Decrypter) สำหรับ Ransomware นั้นๆ ซึ่งอาจเป็นไปไม่ได้สำหรับ Ransomware ชนิดใหม่ๆ แต่ถ้ามี ให้ไปขั้นตอนถัดไป
 3. เชื่อมต่อ Storage ที่ไฟล์ข้อมูลถูกเข้ารหัสทั้งหมด ไม่ว่าจำเป็น ฮาร์ดดิสก์ แฟลชไดรฟ์ หรือ SD Card
 4. ปลดรหัสไฟล์ข้อมูล
 5. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต

แผนรับมือที่ 3: ไม่ทำอะไรเลย (ทิ้งไฟล์ไป)

 1. กำจัด Ransomware ออกจากระบบที่ถูกโจมตี
☐ 2. สำรองไฟล์ข้อมูลที่ถูกเข้ารหัสเผื่อมี Decrypter ออกมาให้ใช้ในอนาคต (ขึ้นอยู่กับความสมัครใจ)

แผนรับมือที่ 4: ต่อรองและ/หรือจ่ายค่าไถ่

 1. ถ้าเป็นไปได้ ให้ต่อรองราคาค่าไถ่ที่ต้องจ่าย หรือยืดระยะเวลาในการจ่ายค่าไถ่ออกไป
☐ 2. ตรวจสอบวิธีการชำระค่าไถ่ เช่น Bitcoin บัตรเติมเงิน หรืออื่นๆ
 3. ร้องขอวิธีการชำระเงิน ในกรณีที่เป็น Bitcoin
xxxxa. ตรวจสอบเว็บไซต์ที่รับแลกเปลี่ยนเงิน Bitcoin (เวลาเป็นเรื่องสำคัญมาก เนื่องจากอัตราแลกเปลี่ยนจะขึ้นๆ ลงๆ ตลอดเวลา)
xxxxb. สร้าง Account/Wallet และทำการซื้อ Bitcoin
 4. เชื่อมต่อคอมพิวเตอร์ที่ถูกเข้ารหัสกับอินเทอร์เน็ตอีกครั้งหนึ่ง
 5. ติดตั้งโปรแกรม Tor Browser (ถ้าจำเป็น)
 6. ตรวจสอบ Bitcoin Address สำหรับชำระค่าไถ่ ซึ่งปกติจะอยู่ที่หน้าข้อความเรียกค่าไถ่หรือ Tor Site ที่ถูกตั้งค่ามาเพื่อจ่ายค่าไถ่โดยเฉพาะ
 7. ชำระค่าไถ่โดยการโอน Bitcoin ไปยัง Wallet เป้าหมาย
 8. ยืนยันว่าอุปกรณ์ต่อพ่วงทุกชิ้นที่ถูกเข้ารหัสข้อมูลเชื่อมต่อกับคอมพิวเตอร์
 9. การปลดรหัสไฟล์ควรจะเริ่มภายในไม่กี่ชั่วโมง หรืออย่างช้าไม่ควรเกิน 24 ชั่วโมง
 10. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต

ขั้นตอนที่ 5: ปกป้องระบบของคุณจากการโจมตีในอนาคต

 a. ทำตามรายการตรวจสอบสำหรับการป้องกัน Ransomware

รายการตรวจสอบสำหรับการป้องกัน Ransomware

แนวป้องกันที่ 1: ผู้ใช้

 1. จัดอบรมการสร้างความตระหนักด้านความมั่นคงปลอดภัยแก่ผู้ใช้ เพื่อให้ทราบถึงวิธีป้องกันตัวเองจากภัยคุกคามไซเบอร์ เช่น Social Engineering, Phishing หรือ Drive-by Downloading
 2. ฝึกซ้อมการโจมตีแบบ Phishing เพื่อให้ผู้ใช้เกิดความคุ้นเคยกับการโจมตีและสามารถรับมือได้อย่างถูกต้อง

แนวป้องกันที่ 2: ซอฟต์แวร์

 1. ตรวจสอบว่ามีการใช้ Firewall ในระบบของคุณ
 2. ติดตั้งระบบ Anti-spam และ/หรือ Anti-phishing ซึ่งอาจมาในรูปของโซลูชันฮาร์ดแวร์หรือซอฟต์แวร์ก็ได้
 3. ตรวจสอบว่าทุกคนในบริษัทติดตั้งโปรแกรม Antivirus และมีการอัปเดตฐานข้อมูลล่าสุดอยู่เสมอ หรืออาจจะใช้โซลูชัน Advanced Endpoint Protection ที่มีคุณสมบัติ Whitelisting และ/หรือ Real-time Executable Blocking ก็ได้ กรณีที่มีงบลงทุนและต้องการระบบที่มีความมั่นคงปลอดภัยสูง
☐ 4. กำหนดนโยบายการบังคับใช้ซอฟต์แวร์บนระบบเครือข่าย เพื่อป้องกันการรันแอพพลิเคชันที่ไม่พึงประสงค์ (ถ้าสามารถทำได้)
 5. สร้างวินัยในการอัปเดตแพทช์ด้านความมั่นคงปลอดภัยสำหรับอุดช่องโหว่บนแอพพลิเคชันอย่างสม่ำเสมอ

แนวป้องกันที่ 3: ข้อมูลสำรอง

 1. จัดหาโซลูชันสำหรับสำรองข้อมูล อาจจะเป็นในรูปของซอฟต์แวร์ ฮาร์ดแวร์ หรือทั้งคู่ก็ได้
 2. ตรวจสอบว่าข้อมูลสำคัญของบริษัทที่อยู่ในอุปกรณ์ต่างๆ เช่น ฮาร์ดดิสก์ อุปกรณ์พกพา หรือแฟลชไดรฟ์ ถูกสำรองไว้ใน Backup
 3. ตรวจสอบว่าข้อมูลที่สำรองถูกจัดเก็บความปลอดภัยและสามารถเข้าถึงได้ง่าย
 4. ทดสอบกระบวนการกู้คืนไฟล์ข้อมูลอย่างสม่ำเสมอ รวมไปทดสอบความถูกต้องของข้อมูลบน Backup และตรวจเช็คความง่ายในการกู้คืนไฟล์จาก Online/Software-based Backup


ซอฟต์แวร์ต่อต้าน ransomware ฟรีที่ดีที่สุด


ข้อมูลอ้างอิง
– Defending Against Crypto-Ransomware by Netwrix Corporation
– Ransomware Definition by Trend Micro
0 comment
1

You may also like

Leave a Comment