Infographic: หลักการทำงานของ Ransomware แบบเข้าใจง่าย

Sophos ผู้ให้บริการโซลูชันรักษาความมั่นคงปลอดภัยและการสูญหายของข้อมูลชั้นนำของโลก ได้ออก Infographic แสดงลักษณะและขั้นตอนการทำงานของ Ransomware หรือมัลแวร์เรียกค่าไถ่ อย่างง่ายๆ ซึ่งสามารถนำไปประยุกต์ใช้กับการป้องกันมัลแวร์ชื่อดังอย่าง CryptoLocker, CryptoWall และ CryptoDefense ได้ทันที

ปัจจุบันนี้มี Ransomware ปรากฏให้เห็นเป็นจำนวนมาก ที่ชื่อดังในขณะนี้คงหนีไม่พ้น CryptoWall, CryptoLocker, CTB-Locker และ Locky มัลแวร์ส่วนใหญ่มักแพร่กระจายตัวผ่านทาง Spam emails, Drive-by Downloads หรือจากการเจาะระบบเข้ามาฝังไว้ หลังจากที่มัลแวร์แฝงตัวเข้ามาได้แล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูล เอกสาร รูปภาพ และมัลติมีเดียต่างๆ แล้วเรียกร้องเงินค่าไถ่เป็นจำนวนเงินประมาณ 10,000 ~ 20,000 บาทเพื่อแลกกับการปลดรหัสไฟล์

5 ขั้นตอนการโจมตีของ Ransomware

1. Installation – หลังจากคอมพิวเตอร์ของผู้ใช้ตกเป็นเหยื่อของ Ransomware มันจะทำการติดตั้งตัวเอง แล้วตั้งค่า Key ใน Windows Registry ให้ตัวเองเริ่มทำงานโดยอัตโนมัติทุกครั้งที่เปิดใช้คอมพิวเตอร์
2. Contacting Headquarters – ก่อนที่ Ransomware จะเริ่มโจมตีระบบไฟล์ มันจะติดต่อกับ C&C Server ของแฮ็คเกอร์เพื่อรับคำสั่ง
3. Handshake and Keys – Ransomware บนคอมพิวเตอร์และบน C&C Server จะยืนยันตัวตนของทั้งสองฝ่ายผ่านการทำ “Handshake” จากนั้น C&C Server จะสร้างกุญแจสำหรับใช้เข้ารหัส 2 ดอก ดอกแรกถูกส่งไปยังคอมพิวเตอร์ของเหยื่อ และอีกดอกถูกเก็บไว้เองบน C&C Server
4. Encryption – หลังจากที่มีคู่กุญแจเข้ารหัสแล้ว Ransomware บนเครื่องของเหยื่อจะเริ่มค้นหาไฟล์บนเครื่องคอมพิวเตอร์ เช่น ไฟล์เอกสาร MS Office, ไฟล์รูปภาพ JPG และอื่นๆ จากนั้นจะเข้ารหัสไฟล์ข้อมูลทั้งหมดที่เป็นไปได้
5. Extortion – Ransomware แสดงหน้าจอเรียกค่าไถ่ พร้อมระบุระยะเวลาที่กำหนดก่อนที่จะทำลายกุญแจสำหรับปลดรหัสทิ้งไป โดยปกติแล้วค่าไถ่จะอยู่ที่ประมาณ 10,000 ~ 20,000 บาท ซึ่งจะชำระในรูปของ Bitcoin เพื่อให้ไม่สามารถตามจับได้

ป้องกัน Ransomware ได้อย่างไร

Sophos ให้คำแนะนำแก่องค์กรเพื่อป้องกันและหลีกเลี่ยงการตกเป็นเหยื่อของ Ransomware ดังนี้

• จำกัดสิทธิ์ในการเขียนข้อมูลบน File Server ให้รัดกุมที่สุดเท่าที่จะทำได้
• ใช้ Advanced Endpoint Protection ที่สามารถระบุมัลแวร์ประเภทใหม่ๆ และตรวจจับทราฟฟิคที่ผิดปกติได้
• ใช้ระบบป้องกันภัยคุกคามบนเว็บและอีเมลเพื่อบล็อกการเข้าถึงเว็บไซต์อันตราย และตรวจสอบไฟล์ที่ดาวน์โหลดมาทั้งหมดได้
• ให้ความรู้แก่ผู้ใช้ โดยสอนให้ติดต่อฝ่าย IT ทันทีเมื่อพบกับ Pop-up ที่น่าสงสัย
• หมั่นสำรองข้อมูลอย่างสม่ำเสมอ และทดสอบการกู้คืนเพื่อให้มั่นใจได้ว่า สามารถย้อนระบบกลับมาเป็นเหมือนเดิมได้เมื่อถูกโจมตี
• ตัดการเชื่อมต่อเครื่องที่ต้องสงสัยว่าถูกโจมตีจากระบบเครือข่ายโดยทันที

สามารถดาวน์โหลด Infographic ฉบับเต็มได้ที่: https://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-anatomy-crypto-ransomware-infographic.pdf