Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

Infographic: หลักการทำงานของ Ransomware แบบเข้าใจง่าย

sophos_logo

Sophos ผู้ให้บริการโซลูชันรักษาความมั่นคงปลอดภัยและการสูญหายของข้อมูลชั้นนำของโลก ได้ออก Infographic แสดงลักษณะและขั้นตอนการทำงานของ Ransomware หรือมัลแวร์เรียกค่าไถ่ อย่างง่ายๆ ซึ่งสามารถนำไปประยุกต์ใช้กับการป้องกันมัลแวร์ชื่อดังอย่าง CryptoLocker, CryptoWall และ CryptoDefense ได้ทันที

ปัจจุบันนี้มี Ransomware ปรากฏให้เห็นเป็นจำนวนมาก ที่ชื่อดังในขณะนี้คงหนีไม่พ้น CryptoWall, CryptoLocker, CTB-Locker และ Locky มัลแวร์ส่วนใหญ่มักแพร่กระจายตัวผ่านทาง Spam emails, Drive-by Downloads หรือจากการเจาะระบบเข้ามาฝังไว้ หลังจากที่มัลแวร์แฝงตัวเข้ามาได้แล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูล เอกสาร รูปภาพ และมัลติมีเดียต่างๆ แล้วเรียกร้องเงินค่าไถ่เป็นจำนวนเงินประมาณ 10,000 ~ 20,000 บาทเพื่อแลกกับการปลดรหัสไฟล์

5 ขั้นตอนการโจมตีของ Ransomware

  1. Installation – หลังจากคอมพิวเตอร์ของผู้ใช้ตกเป็นเหยื่อของ Ransomware มันจะทำการติดตั้งตัวเอง แล้วตั้งค่า Key ใน Windows Registry ให้ตัวเองเริ่มทำงานโดยอัตโนมัติทุกครั้งที่เปิดใช้คอมพิวเตอร์
  2. Contacting Headquarters – ก่อนที่ Ransomware จะเริ่มโจมตีระบบไฟล์ มันจะติดต่อกับ C&C Server ของแฮ็คเกอร์เพื่อรับคำสั่ง
  3. Handshake and Keys – Ransomware บนคอมพิวเตอร์และบน C&C Server จะยืนยันตัวตนของทั้งสองฝ่ายผ่านการทำ “Handshake” จากนั้น C&C Server จะสร้างกุญแจสำหรับใช้เข้ารหัส 2 ดอก ดอกแรกถูกส่งไปยังคอมพิวเตอร์ของเหยื่อ และอีกดอกถูกเก็บไว้เองบน C&C Server
  4. Encryption – หลังจากที่มีคู่กุญแจเข้ารหัสแล้ว Ransomware บนเครื่องของเหยื่อจะเริ่มค้นหาไฟล์บนเครื่องคอมพิวเตอร์ เช่น ไฟล์เอกสาร MS Office, ไฟล์รูปภาพ JPG และอื่นๆ จากนั้นจะเข้ารหัสไฟล์ข้อมูลทั้งหมดที่เป็นไปได้
  5. Extortion – Ransomware แสดงหน้าจอเรียกค่าไถ่ พร้อมระบุระยะเวลาที่กำหนดก่อนที่จะทำลายกุญแจสำหรับปลดรหัสทิ้งไป โดยปกติแล้วค่าไถ่จะอยู่ที่ประมาณ 10,000 ~ 20,000 บาท ซึ่งจะชำระในรูปของ Bitcoin เพื่อให้ไม่สามารถตามจับได้

ป้องกัน Ransomware ได้อย่างไร

Sophos ให้คำแนะนำแก่องค์กรเพื่อป้องกันและหลีกเลี่ยงการตกเป็นเหยื่อของ Ransomware ดังนี้

  • จำกัดสิทธิ์ในการเขียนข้อมูลบน File Server ให้รัดกุมที่สุดเท่าที่จะทำได้
  • ใช้ Advanced Endpoint Protection ที่สามารถระบุมัลแวร์ประเภทใหม่ๆ และตรวจจับทราฟฟิคที่ผิดปกติได้
  • ใช้ระบบป้องกันภัยคุกคามบนเว็บและอีเมลเพื่อบล็อกการเข้าถึงเว็บไซต์อันตราย และตรวจสอบไฟล์ที่ดาวน์โหลดมาทั้งหมดได้
  • ให้ความรู้แก่ผู้ใช้ โดยสอนให้ติดต่อฝ่าย IT ทันทีเมื่อพบกับ Pop-up ที่น่าสงสัย
  • หมั่นสำรองข้อมูลอย่างสม่ำเสมอ และทดสอบการกู้คืนเพื่อให้มั่นใจได้ว่า สามารถย้อนระบบกลับมาเป็นเหมือนเดิมได้เมื่อถูกโจมตี
  • ตัดการเชื่อมต่อเครื่องที่ต้องสงสัยว่าถูกโจมตีจากระบบเครือข่ายโดยทันที

sophos_anatomy_of_ransomware_infographic

สามารถดาวน์โหลด Infographic ฉบับเต็มได้ที่: https://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-anatomy-crypto-ransomware-infographic.pdf



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Zebra Webinar: Smart Technology 4.0 โดย ซีบร้า เทคโนโลยีส์ ประเทศไทย

TechTalkThai ขอเรียนเชิญ IT Manager, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "Smart Technology 4.0 โดย ซีบร้า เทคโนโลยีส์ ประเทศไทย" เพื่อทำความรู้จักโซลูชัน Smart Technology 4.0 ที่จะผสานนำข้อมูลสถานที่ของพนักงานผู้ปฏิบัติการในภาคส่วนต่างๆ ของธุรกิจมาใช้เพื่อสร้างคุณค่าให้กับธุรกิจและช่วยให้การวิเคราะห์ข้อมูลเพื่อเพิ่มประสิทธิภาพการทำงานเป็นไปได้อย่างแม่นยำ ทำงานได้เป็นอัตโนมัติมากยิ่งขึ้น ในวันพฤหัสบดีที่ 1 ตุลาคม 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Lenovo Webinar: พลิกเกมส์ธุรกิจแบบไร้ขีดจำกัดกับ Levovo ThinkStation P620 “The World’s First AMD Ryzen Threadripper Pro Powered Workstation” ที่มาพร้อมกับ Nvidia Quadro RTX8000 GPU [30 ก.ย. 2020 เวลา 14.00น.]

TechTalkThai ขอเรียนเชิญ IT Manager, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง -- พลิกเกมส์ธุรกิจแบบไร้ขีดจำกัดกับ Levovo ThinkStation P620 “The World’s First AMD Ryzen Threadripper PRO Powered Workstation” ที่มาพร้อมกับ Nvidia Quadro RTX8000 GPU โดย Lenovo -- เพื่อรับชมอัปเดตล่าสุดของ Lenovo ThinkStation P620 ระบบ Workstation เครื่องแรกของโลกที่มาพร้อมกับ AMD Ryzen Threadripper PRO พร้อมเจาะลึกกับคุณสมบัติเชิงลึกที่มีอยู่ใน Lenovo ThinkStation และ AMD ThreadRipper กันอย่างเต็มที่ ในวันพุธที่ 30 กันยายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้