ติด Ransomware ควรทำอย่างไร? จ่ายค่าไถ่ดีไหม?

Ransomware หรือมัลแวร์เรียกค่าไถ่กลายมาเป็นภัยคุกคามที่พบได้ทั่วไปในชีวิตประจำวัน เป้าหมายในตอนนี้ไม่ได้มีเพียงแค่บุคคลทั่วไปที่ใช้คอมพิวเตอร์เท่านั้น แต่หน่วยงานขนาดใหญ่ เช่น โรงพยาบาล ก็เริ่มตกเป็นเป้าหมายบ่อยขึ้นแล้วเช่นกัน คำถามคือ เราจะทำอย่างไรจึงจะสามารถป้องกัน และแก้ปัญหาหลังจากที่ติด Ransomware ได้

Credit: Macrovector/ShutterStock
Credit: Macrovector/ShutterStock

ทำความรู้จักกันก่อน Ransomware คืออะไร

Ransomware เป็นมัลแวร์รูปแบบหนึ่ง ซึ่งเมื่อเฝงตัวเข้ามายังอุปกรณ์คอมพิวเตอร์ได้แล้ว จะทำการเข้ารหัสไฟล์ข้อมูล ไม่ว่าจะเป็นไฟล์เอกสาร ไฟล์รูปภาพ หรือไฟล์มัลติมีเดียอื่นๆ ถ้าระดับสูงขึ้นมาหน่อยอาจจะเข้ารหัส MBR (Master Boot Record) เพื่อล็อกไม่ให้บูทคอมพิวเตอร์เข้าใช้งานได้ จากนั้นก็จะแสดงข้อความเรียกค่าไถ่ซึ่งส่วนใหญ่ก็จะประมาณ 10,000 – 30,000 บาท (สำหรับบุคคลทั่วไป แต่ถ้าเป็นองค์กรขนาดใหญ่จะราคาสูงกว่านั้นมาก) เพื่อแลกกับกุญแจที่ใช้ปลดรหัส Ransomware ชื่อดังในปัจจุบัน ได้แก่ Cryptowall, TeslaCrypt, Locky, CTB-Locker เป็นต้น

ช่องทางที่ Ransomware ใช้กระจายตัวเข้ามาส่วนใหญ่จะผ่านทาง Web Phishing เมื่อผู้ใช้เผลอกดเข้าไปยังเว็บไซต์ของแฮ็คเกอร์ มัลแวร์ก็จะถูกดาวน์โหลดมาติดตั้งโดยอัตโนมัติ หรืออีกทางหนึ่งที่ยอดนิยมไม่แพ้กันคือ แฝงมากับไฟล์เอกสาร เมื่อเหยื่อเผลอเปิดและกด “Enable Macros” มัลแวร์จะถูกดาวน์โหลดมาติดตั้งทันที นอกจากนี้ วิธีการโจมตีล่าสุดที่มุ่งเป้าไปยังองค์กรขนาดใหญ่ คือ การเจาะระบบผ่านช่องโหว่เข้าไปดื้อๆ แล้วเอา Ransomware ไปฝังไว้ วิธีนี้เหมาะสำหรับใช้กับหน่วยงานที่มีระบบความมั่นคงปลอดภัยไม่แข็งแรงนัก แต่ข้อมูลภายในมีมูลค่ามหาศาล เช่น โรงพยาบาล

แล้วควรจ่ายค่าไถ่ไหม

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยเห็นตรงกัน คือ “ไม่” อย่างไรก็ตาม คนที่ฝ่ายตัดสินใจกลับเป็นฝ่ายบริหาร (ซึ่งส่วนใหญ่เลือกที่จะจ่าย) ดังนั้น แนะนำให้ลองอ่านเหตุผลด้านล่างให้ดีก่อนที่จะทำการตัดสินใจ

  • คุณจะกลายเป็นเหยื่อรายใหญ่โดยทันที – แฮ็คเกอร์ส่วนใหญ่มักจะไปกระจายข่าวสารหากันว่า ใครยอมจ่ายค่าไถ่ ไม่ยอมจ่ายค่าไถ่บ้าง ถ้าแฮ็คเกอร์คนอื่นรู้ว่าคุณยอมจ่ายค่าไถ่ คุณจะตกเป็นเหยื่ออีกหลายต่อหลายครั้งทันที
  • คุณไม่ควรเชื่ออาชญากร – ไม่มีอะไรการันตีได้ว่า หลังจากที่คุณจ่ายค่าไถ่ คุณจะได้กุญแจสำหรับปลดรหัส มีหลายกรณีที่เหยื่อจ่ายค่าไถ่ไปแต่กลับถูกปล่อยทิ้งไว้ได้อะไรกลับคืนมาเลย อย่างไรก็ตาม เรื่องชื่อเสียงก็เป็นสิ่งสำคัญสำหรับอาชญากรเช่นเดียวกัน ยกตัวอย่าง CryptoWall ที่เรียกได้ว่ามีบริการลูกค้าหลังติดมัลแวร์ดีเยี่ยม ไม่ว่าจะเป็นการยืดเส้นตายออกไปให้สามารถรวบรวมค่าไถ่ได้ทัน การใช้รายละเอียดเกี่ยวกับการชำระค่าไถ่ผ่าน Bitcoin รวมไปถึงความพร้อมในการปลดรหัสหลังได้รับค่าไถ่ เพื่อให้เหยื่อมั่นใจได้ว่า ถ้าจ่ายค่าไถ่ก็จะได้ข้อมูลคืนแน่นอน เป็นจิตวิทยาเพื่อเพิ่มโอกาสทำรายได้ให้แก่ตนเอง แต่สำหรับ Ransomware อื่นๆ ใครจะไปการันตีอะไรได้
  • ค่าไถ่ครั้งถัดไปจะสูงขึ้นแน่นอน – ถ้าครั้งแรกคุณจ่ายค่าไถ่ไป ไม่มีอะไรการันตีว่าคุณจะไม่โดนครั้งที่ 2 และแน่นอน ตอนนี้แฮ็คเกอร์รู้แล้วว่าคุณให้ความสำคัญแก่ข้อมูล นั่นหมายความว่า เป็นไปได้สูงที่แฮ็คเกอร์จะเรียกร้องค่าไถ่เพิ่มขึ้นจากเดิม และยิ่งถ้าเป็นองค์กรขนาดใหญ่ เช่น เคส Hollywood Presbyterian Medical Center แฮ็คเกอร์เรียกร้องค่าไถ่สูงถึง $17,000 (ประมาณ 600,000 บาท) เพราะทราบดีกว่าข้อมูลในศูนย์พยาบาลมีค่ามาก
  • คุณกำลังสนับสนุนอาชญากร – ในระยะยาว การจ่ายค่าไถ่เสมือนเป็นการสนับสนุนให้แฮ็คเกอร์ทำการโจมตีผู้อื่นต่อไปเรื่อยๆ เนื่องจากแฮ็คเกอร์มองเห็นช่องทางในการทำเงิน นอกจากนี้ แฮ็คเกอร์ยังสามารถนำเงินที่ได้ไปเป็นทุนในการพัฒนามัลแวร์ให้โหดและหลากหลายมากขึ้น ยิ่งทำให้รับมือได้ยากกว่าเดิม

มีเพียงเหตุผลเดียวที่คุณควรจ่ายค่าไถ่ คือ คุณจำเป็นต้องได้ไฟล์ข้อมูลกลับคืนมาโดยเร็ว และไม่มีทางเลือกอื่น เช่น กรณีโรงพยาบาล ชีวิตผู้ป่วยถือว่าเป็นสิ่งสำคัญ ต่อให้มีการสำรองข้อมูลไว้ แต่กว่าจะกู้ข้อมูลกลับคืนมาได้ ชีวิตของผู้ป่วยก็อาจตกอยู่ในความเสี่ยง เป็นต้น

ttt_Computer_Services_Cartoon-Macrovector_1
Credit: Macrovector/ShutterStock

ป้องกันและแก้ไขปัญหาได้อย่างไร

วิธีที่ดีที่สุดในการรับมือกับ Ransomware คือ “การป้องกัน” เนื่องจากถ้าถูกโจมตีแล้ว เป็นเรื่องยากมากที่จะแก้ไขปัญหาให้กลับมาเป็นเหมือนเดิม

วิธีป้องกันสำหรับบุคคลทั่วไป

  • หมั่นสำรองข้อมูลอยู่เสมอ และนำข้อมูลสำรองเก็บไว้ภายนอกระบบ เนื่องจาก Ransomware บางชนิดสามารถเข้ารหัสไฟล์ข้อมูลสำรองที่จัดทำโดย Windows ได้
  • อย่าเปิดใช้งาน Macro สำหรับไฟล์เอกสารที่ได้รับมาจากอีเมล เนื่องจาก Macro เป็นตัวจุดชนวนการโจมตี ให้ดาวน์โหลดมัลแวร์มาติดตั้งบนเครื่อง
  • ติดตั้ง Microsoft Office Viewer ซึ่งช่วยให้สามารถเปิดดูไฟล์เอกสาร เช่น docx หรือ xlsx ได้โดยไม่ต้องใช้ Macro ในกรณีที่จำเป็นต้องเปิดไฟล์ต้องสงสัยจริงๆ
  • พึงระมัดระวังไฟล์แนบและลิงค์ที่ส่งมาผ่านอีเมล เนื่องจากอาจเป็น Phishing และนำไปสู่การถูกหลอกให้ติดตั้งมัลแวร์ได้ ควรตรวจสอบให้มั่นใจก่อนเปิดไฟล์หรือกดลิงค์ต่างๆ
  • อย่าให้สิทธิ์แก่ตนเองมากจนเกินไป เช่น ใช้ชื่อบัญชี Admin ก็ต่อเมื่อจำเป็นต้องใช้จริงๆ ถ้าใช้สิทธิ์ Admin ตลอดเวลา เป็นไปได้ที่ถ้าเผลอโหลดมัลแวร์เข้ามาแล้ว จะถูกติดตั้งได้โดยอัตโนมัติโดยไม่มีการแจ้งเตือนใดๆ
  • อัพเดทแพทช์ทันที และสม่ำเสมอ เพื่ออุดช่องโหว่ต่างๆ บนระบบปฏิบัติการและแอพพลิเคชัน ไม่ให้มัลแวร์สามารถเจาะช่องโหว่เข้ามาโจมตีได้

วิธีป้องกันสำหรับองค์กร

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง ได้ให้คำแนะนำสำหรับองค์กรในการป้องกัน Ransomware 10 ข้อ คือ

  • มีการจัดทำแผน Backup และ Recovery Plan อย่างชัดเจน หมั่นสำรองข้อมูลบ่อยๆ และเก็บข้อมูลแบบออฟไลน์ แยกออกมาจากระบบขององค์กร
  • ใช้เครื่องมือสำหรับตรวจสอบและวิเคราะห์สิ่งที่แนบมากับอีเมล เว็บไซต์ และไฟล์ต่างๆ เพื่อดูว่ามีมัลแวร์แฝงตัวอยู่หรือไม่ รวมถึงทำการบล็อกโฆษณาและ Social Media ที่ไม่เกี่ยวข้องกับงาน นอกจากนี้ เครื่องมือดังกล่าวควรมีฟังก์ชัน Sandboxing เพื่อให้สามารถตรวจสอบและวิเคราะห์ไฟล์ใหม่ๆ ที่เพิ่งเคยพบได้
  • อัพเดทแพทช์ให้ระบบปฏิบัติการ อุปกรณ์ และซอฟต์แวร์สม่ำเสมอ
  • มีการติดตั้ง Antivirus, IPS และ Anti-malware บนอุปกรณ์และระบบเครือข่าย พร้อมอัพเดทฐานข้อมูลล่าสุดอยู่เสมอ
  • ถ้าเป็นไปได้ ให้จัดทำ Whitelist สำหรับแอพพลิเคชัน เพื่อให้แอพพลิเคชันอื่นๆ นอกเหนือจากนั้นไม่สามารถดาวน์โหลดหรือทำงานได้
  • แบ่งระบบเครือข่ายออกเป็นโซน ในกรณีที่ถูกโจมตี จะได้กักกันมัลแวร์ไม่ให้แพร่กระจายตัวไปยังโซนอื่นๆ ได้
  • กำหนดสิทธิ์ของผู้ใช้อย่างชัดเจน โดยให้มีสิทธิ์น้อยที่สุดที่เพียงพอต่อการทำงาน เพื่อลดความเสี่ยงในการทำอันตรายข้อมูลและเซอร์วิสต่างๆ ขององค์กร
  • กำหนดนโยบายสำหรับทำ BYOD ซึ่งสามารถตรวจสอบและบล็อกอุปกรณ์ที่ไม่ผ่านมาตรฐานขององค์กรได้ เช่น ไม่ติดตั้งโปรแกรม Anti-malware หรือไม่อัพเดทแพทช์ล่าสุด เป็นต้น
  • มีการวางระบบสำหรับทำ Forensic เพื่อให้สามารถตรวจสอบช่องทางที่มัลแวร์วิ่งเข้ามา ระยะเวลาที่มัลแวร์อยู่ในระบบก่อนตรวจสอบ และความเรียบร้อยในการจัดการคลีนระบบหลังถูกโจมตี เพื่อให้มั่นใจว่า ระบบกลับคืนสู่สภาพปกติเรียบร้อยและจะไม่ถูกโจมตีซ้ำอีก
  • ที่สำคัญที่สุดคือ อย่าไว้ใจพนักงานในองค์กรของตัวเอง ถึงแม้ว่าจะมีการอบรมและสร้างความตระหนักรู้ถึงอันตรายของภัยคุกคาม แต่คนยังคงเป็นจุดอ่อนที่สุดของระบบความมั่นคงปลอดภัย ควรมีแผนสำหรับรับมือ Insider Threats ด้วยเช่นกัน

ในกรณีที่ถูก Ransomware โจมตีแล้ว วิธีที่ดีที่สุดคือ ลบข้อมูลทั้งหมดทิ้ง แล้ว Restore ระบบทั้งหมดจากข้อมูลที่เคยสำรองไว้ หรือลองค้นหาเครื่องมือสำหรับปลดการเข้ารหัสที่ Vendor ได้ทำไว้ให้ (ถึงจะมีน้อยมาก แต่ถ้าโชคดีก็จะช่วยแก้ปัญหาได้)

ที่มา:
http://www.csoonline.com/article/3043936/security/4-reasons-not-to-pay-up-in-a-ransomware-attack.html
https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/
https://blog.fortinet.com/post/10-steps-for-protecting-yourself-from-ransomware


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

PCI SSC ออกมาตรฐานใหม่ CPoC สำหรับการชำระเงินแบบ Contactless

Payment Card Industry Security Standard Council (PCI SSC) คณะกรรมการกำหนดมาตรฐานด้านความมั่นคงปลอดภัยของอุตสาหกรรมบัตรชำระเงิน ประกาศออกมาตรฐานด้านความมั่นคงปลอดภัยของข้อมูลใหม่ คือ PCI Contactless Payments on …

โปรโมชัน Zyxel Security Enterprise Pack ลดทันที 40% พร้อมของแถมฟรี Access Point

Zyxel ออกโปรโมชันพิเศษส่งท้ายปีเก่าต้อนรับปีใหม่ Zyxel Security Enterprise Pack รับส่วนลดทันที 40% เมื่อซื้ออุปกรณ์​ ATP หรือ USG Firewall Series พร้อมแถมฟรี …