ติด Ransomware ควรทำอย่างไร? จ่ายค่าไถ่ดีไหม?

Ransomware หรือมัลแวร์เรียกค่าไถ่กลายมาเป็นภัยคุกคามที่พบได้ทั่วไปในชีวิตประจำวัน เป้าหมายในตอนนี้ไม่ได้มีเพียงแค่บุคคลทั่วไปที่ใช้คอมพิวเตอร์เท่านั้น แต่หน่วยงานขนาดใหญ่ เช่น โรงพยาบาล ก็เริ่มตกเป็นเป้าหมายบ่อยขึ้นแล้วเช่นกัน คำถามคือ เราจะทำอย่างไรจึงจะสามารถป้องกัน และแก้ปัญหาหลังจากที่ติด Ransomware ได้

ทำความรู้จักกันก่อน Ransomware คืออะไร

Ransomware เป็นมัลแวร์รูปแบบหนึ่ง ซึ่งเมื่อเฝงตัวเข้ามายังอุปกรณ์คอมพิวเตอร์ได้แล้ว จะทำการเข้ารหัสไฟล์ข้อมูล ไม่ว่าจะเป็นไฟล์เอกสาร ไฟล์รูปภาพ หรือไฟล์มัลติมีเดียอื่นๆ ถ้าระดับสูงขึ้นมาหน่อยอาจจะเข้ารหัส MBR (Master Boot Record) เพื่อล็อกไม่ให้บูทคอมพิวเตอร์เข้าใช้งานได้ จากนั้นก็จะแสดงข้อความเรียกค่าไถ่ซึ่งส่วนใหญ่ก็จะประมาณ 10,000 – 30,000 บาท (สำหรับบุคคลทั่วไป แต่ถ้าเป็นองค์กรขนาดใหญ่จะราคาสูงกว่านั้นมาก) เพื่อแลกกับกุญแจที่ใช้ปลดรหัส Ransomware ชื่อดังในปัจจุบัน ได้แก่ Cryptowall, TeslaCrypt, Locky, CTB-Locker เป็นต้น

ช่องทางที่ Ransomware ใช้กระจายตัวเข้ามาส่วนใหญ่จะผ่านทาง Web Phishing เมื่อผู้ใช้เผลอกดเข้าไปยังเว็บไซต์ของแฮ็คเกอร์ มัลแวร์ก็จะถูกดาวน์โหลดมาติดตั้งโดยอัตโนมัติ หรืออีกทางหนึ่งที่ยอดนิยมไม่แพ้กันคือ แฝงมากับไฟล์เอกสาร เมื่อเหยื่อเผลอเปิดและกด “Enable Macros” มัลแวร์จะถูกดาวน์โหลดมาติดตั้งทันที นอกจากนี้ วิธีการโจมตีล่าสุดที่มุ่งเป้าไปยังองค์กรขนาดใหญ่ คือ การเจาะระบบผ่านช่องโหว่เข้าไปดื้อๆ แล้วเอา Ransomware ไปฝังไว้ วิธีนี้เหมาะสำหรับใช้กับหน่วยงานที่มีระบบความมั่นคงปลอดภัยไม่แข็งแรงนัก แต่ข้อมูลภายในมีมูลค่ามหาศาล เช่น โรงพยาบาล

แล้วควรจ่ายค่าไถ่ไหม

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยเห็นตรงกัน คือ “ไม่” อย่างไรก็ตาม คนที่ฝ่ายตัดสินใจกลับเป็นฝ่ายบริหาร (ซึ่งส่วนใหญ่เลือกที่จะจ่าย) ดังนั้น แนะนำให้ลองอ่านเหตุผลด้านล่างให้ดีก่อนที่จะทำการตัดสินใจ

• คุณจะกลายเป็นเหยื่อรายใหญ่โดยทันที – แฮ็คเกอร์ส่วนใหญ่มักจะไปกระจายข่าวสารหากันว่า ใครยอมจ่ายค่าไถ่ ไม่ยอมจ่ายค่าไถ่บ้าง ถ้าแฮ็คเกอร์คนอื่นรู้ว่าคุณยอมจ่ายค่าไถ่ คุณจะตกเป็นเหยื่ออีกหลายต่อหลายครั้งทันที
• คุณไม่ควรเชื่ออาชญากร – ไม่มีอะไรการันตีได้ว่า หลังจากที่คุณจ่ายค่าไถ่ คุณจะได้กุญแจสำหรับปลดรหัส มีหลายกรณีที่เหยื่อจ่ายค่าไถ่ไปแต่กลับถูกปล่อยทิ้งไว้ได้อะไรกลับคืนมาเลย อย่างไรก็ตาม เรื่องชื่อเสียงก็เป็นสิ่งสำคัญสำหรับอาชญากรเช่นเดียวกัน ยกตัวอย่าง CryptoWall ที่เรียกได้ว่ามีบริการลูกค้าหลังติดมัลแวร์ดีเยี่ยม ไม่ว่าจะเป็นการยืดเส้นตายออกไปให้สามารถรวบรวมค่าไถ่ได้ทัน การใช้รายละเอียดเกี่ยวกับการชำระค่าไถ่ผ่าน Bitcoin รวมไปถึงความพร้อมในการปลดรหัสหลังได้รับค่าไถ่ เพื่อให้เหยื่อมั่นใจได้ว่า ถ้าจ่ายค่าไถ่ก็จะได้ข้อมูลคืนแน่นอน เป็นจิตวิทยาเพื่อเพิ่มโอกาสทำรายได้ให้แก่ตนเอง แต่สำหรับ Ransomware อื่นๆ ใครจะไปการันตีอะไรได้
• ค่าไถ่ครั้งถัดไปจะสูงขึ้นแน่นอน – ถ้าครั้งแรกคุณจ่ายค่าไถ่ไป ไม่มีอะไรการันตีว่าคุณจะไม่โดนครั้งที่ 2 และแน่นอน ตอนนี้แฮ็คเกอร์รู้แล้วว่าคุณให้ความสำคัญแก่ข้อมูล นั่นหมายความว่า เป็นไปได้สูงที่แฮ็คเกอร์จะเรียกร้องค่าไถ่เพิ่มขึ้นจากเดิม และยิ่งถ้าเป็นองค์กรขนาดใหญ่ เช่น เคส Hollywood Presbyterian Medical Center แฮ็คเกอร์เรียกร้องค่าไถ่สูงถึง $17,000 (ประมาณ 600,000 บาท) เพราะทราบดีกว่าข้อมูลในศูนย์พยาบาลมีค่ามาก
• คุณกำลังสนับสนุนอาชญากร – ในระยะยาว การจ่ายค่าไถ่เสมือนเป็นการสนับสนุนให้แฮ็คเกอร์ทำการโจมตีผู้อื่นต่อไปเรื่อยๆ เนื่องจากแฮ็คเกอร์มองเห็นช่องทางในการทำเงิน นอกจากนี้ แฮ็คเกอร์ยังสามารถนำเงินที่ได้ไปเป็นทุนในการพัฒนามัลแวร์ให้โหดและหลากหลายมากขึ้น ยิ่งทำให้รับมือได้ยากกว่าเดิม

มีเพียงเหตุผลเดียวที่คุณควรจ่ายค่าไถ่ คือ คุณจำเป็นต้องได้ไฟล์ข้อมูลกลับคืนมาโดยเร็ว และไม่มีทางเลือกอื่น เช่น กรณีโรงพยาบาล ชีวิตผู้ป่วยถือว่าเป็นสิ่งสำคัญ ต่อให้มีการสำรองข้อมูลไว้ แต่กว่าจะกู้ข้อมูลกลับคืนมาได้ ชีวิตของผู้ป่วยก็อาจตกอยู่ในความเสี่ยง เป็นต้น

ป้องกันและแก้ไขปัญหาได้อย่างไร

วิธีที่ดีที่สุดในการรับมือกับ Ransomware คือ “การป้องกัน” เนื่องจากถ้าถูกโจมตีแล้ว เป็นเรื่องยากมากที่จะแก้ไขปัญหาให้กลับมาเป็นเหมือนเดิม

วิธีป้องกันสำหรับบุคคลทั่วไป

• หมั่นสำรองข้อมูลอยู่เสมอ และนำข้อมูลสำรองเก็บไว้ภายนอกระบบ เนื่องจาก Ransomware บางชนิดสามารถเข้ารหัสไฟล์ข้อมูลสำรองที่จัดทำโดย Windows ได้
• อย่าเปิดใช้งาน Macro สำหรับไฟล์เอกสารที่ได้รับมาจากอีเมล เนื่องจาก Macro เป็นตัวจุดชนวนการโจมตี ให้ดาวน์โหลดมัลแวร์มาติดตั้งบนเครื่อง
• ติดตั้ง Microsoft Office Viewer ซึ่งช่วยให้สามารถเปิดดูไฟล์เอกสาร เช่น docx หรือ xlsx ได้โดยไม่ต้องใช้ Macro ในกรณีที่จำเป็นต้องเปิดไฟล์ต้องสงสัยจริงๆ
• พึงระมัดระวังไฟล์แนบและลิงค์ที่ส่งมาผ่านอีเมล เนื่องจากอาจเป็น Phishing และนำไปสู่การถูกหลอกให้ติดตั้งมัลแวร์ได้ ควรตรวจสอบให้มั่นใจก่อนเปิดไฟล์หรือกดลิงค์ต่างๆ
• อย่าให้สิทธิ์แก่ตนเองมากจนเกินไป เช่น ใช้ชื่อบัญชี Admin ก็ต่อเมื่อจำเป็นต้องใช้จริงๆ ถ้าใช้สิทธิ์ Admin ตลอดเวลา เป็นไปได้ที่ถ้าเผลอโหลดมัลแวร์เข้ามาแล้ว จะถูกติดตั้งได้โดยอัตโนมัติโดยไม่มีการแจ้งเตือนใดๆ
• อัพเดทแพทช์ทันที และสม่ำเสมอ เพื่ออุดช่องโหว่ต่างๆ บนระบบปฏิบัติการและแอพพลิเคชัน ไม่ให้มัลแวร์สามารถเจาะช่องโหว่เข้ามาโจมตีได้

วิธีป้องกันสำหรับองค์กร

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง ได้ให้คำแนะนำสำหรับองค์กรในการป้องกัน Ransomware 10 ข้อ คือ

• มีการจัดทำแผน Backup และ Recovery Plan อย่างชัดเจน หมั่นสำรองข้อมูลบ่อยๆ และเก็บข้อมูลแบบออฟไลน์ แยกออกมาจากระบบขององค์กร
• ใช้เครื่องมือสำหรับตรวจสอบและวิเคราะห์สิ่งที่แนบมากับอีเมล เว็บไซต์ และไฟล์ต่างๆ เพื่อดูว่ามีมัลแวร์แฝงตัวอยู่หรือไม่ รวมถึงทำการบล็อกโฆษณาและ Social Media ที่ไม่เกี่ยวข้องกับงาน นอกจากนี้ เครื่องมือดังกล่าวควรมีฟังก์ชัน Sandboxing เพื่อให้สามารถตรวจสอบและวิเคราะห์ไฟล์ใหม่ๆ ที่เพิ่งเคยพบได้
• อัพเดทแพทช์ให้ระบบปฏิบัติการ อุปกรณ์ และซอฟต์แวร์สม่ำเสมอ
• มีการติดตั้ง Antivirus, IPS และ Anti-malware บนอุปกรณ์และระบบเครือข่าย พร้อมอัพเดทฐานข้อมูลล่าสุดอยู่เสมอ
• ถ้าเป็นไปได้ ให้จัดทำ Whitelist สำหรับแอพพลิเคชัน เพื่อให้แอพพลิเคชันอื่นๆ นอกเหนือจากนั้นไม่สามารถดาวน์โหลดหรือทำงานได้
• แบ่งระบบเครือข่ายออกเป็นโซน ในกรณีที่ถูกโจมตี จะได้กักกันมัลแวร์ไม่ให้แพร่กระจายตัวไปยังโซนอื่นๆ ได้
• กำหนดสิทธิ์ของผู้ใช้อย่างชัดเจน โดยให้มีสิทธิ์น้อยที่สุดที่เพียงพอต่อการทำงาน เพื่อลดความเสี่ยงในการทำอันตรายข้อมูลและเซอร์วิสต่างๆ ขององค์กร
• กำหนดนโยบายสำหรับทำ BYOD ซึ่งสามารถตรวจสอบและบล็อกอุปกรณ์ที่ไม่ผ่านมาตรฐานขององค์กรได้ เช่น ไม่ติดตั้งโปรแกรม Anti-malware หรือไม่อัพเดทแพทช์ล่าสุด เป็นต้น
• มีการวางระบบสำหรับทำ Forensic เพื่อให้สามารถตรวจสอบช่องทางที่มัลแวร์วิ่งเข้ามา ระยะเวลาที่มัลแวร์อยู่ในระบบก่อนตรวจสอบ และความเรียบร้อยในการจัดการคลีนระบบหลังถูกโจมตี เพื่อให้มั่นใจว่า ระบบกลับคืนสู่สภาพปกติเรียบร้อยและจะไม่ถูกโจมตีซ้ำอีก
• ที่สำคัญที่สุดคือ อย่าไว้ใจพนักงานในองค์กรของตัวเอง ถึงแม้ว่าจะมีการอบรมและสร้างความตระหนักรู้ถึงอันตรายของภัยคุกคาม แต่คนยังคงเป็นจุดอ่อนที่สุดของระบบความมั่นคงปลอดภัย ควรมีแผนสำหรับรับมือ Insider Threats ด้วยเช่นกัน

ในกรณีที่ถูก Ransomware โจมตีแล้ว วิธีที่ดีที่สุดคือ ลบข้อมูลทั้งหมดทิ้ง แล้ว Restore ระบบทั้งหมดจากข้อมูลที่เคยสำรองไว้ หรือลองค้นหาเครื่องมือสำหรับปลดการเข้ารหัสที่ Vendor ได้ทำไว้ให้ (ถึงจะมีน้อยมาก แต่ถ้าโชคดีก็จะช่วยแก้ปัญหาได้)

ที่มา:
http://www.csoonline.com/article/3043936/security/4-reasons-not-to-pay-up-in-a-ransomware-attack.html
https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/
https://blog.fortinet.com/post/10-steps-for-protecting-yourself-from-ransomware