Infographic: หลักการทำงานของ Ransomware แบบเข้าใจง่าย

sophos_logo

Sophos ผู้ให้บริการโซลูชันรักษาความมั่นคงปลอดภัยและการสูญหายของข้อมูลชั้นนำของโลก ได้ออก Infographic แสดงลักษณะและขั้นตอนการทำงานของ Ransomware หรือมัลแวร์เรียกค่าไถ่ อย่างง่ายๆ ซึ่งสามารถนำไปประยุกต์ใช้กับการป้องกันมัลแวร์ชื่อดังอย่าง CryptoLocker, CryptoWall และ CryptoDefense ได้ทันที

ปัจจุบันนี้มี Ransomware ปรากฏให้เห็นเป็นจำนวนมาก ที่ชื่อดังในขณะนี้คงหนีไม่พ้น CryptoWall, CryptoLocker, CTB-Locker และ Locky มัลแวร์ส่วนใหญ่มักแพร่กระจายตัวผ่านทาง Spam emails, Drive-by Downloads หรือจากการเจาะระบบเข้ามาฝังไว้ หลังจากที่มัลแวร์แฝงตัวเข้ามาได้แล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูล เอกสาร รูปภาพ และมัลติมีเดียต่างๆ แล้วเรียกร้องเงินค่าไถ่เป็นจำนวนเงินประมาณ 10,000 ~ 20,000 บาทเพื่อแลกกับการปลดรหัสไฟล์

5 ขั้นตอนการโจมตีของ Ransomware

  1. Installation – หลังจากคอมพิวเตอร์ของผู้ใช้ตกเป็นเหยื่อของ Ransomware มันจะทำการติดตั้งตัวเอง แล้วตั้งค่า Key ใน Windows Registry ให้ตัวเองเริ่มทำงานโดยอัตโนมัติทุกครั้งที่เปิดใช้คอมพิวเตอร์
  2. Contacting Headquarters – ก่อนที่ Ransomware จะเริ่มโจมตีระบบไฟล์ มันจะติดต่อกับ C&C Server ของแฮ็คเกอร์เพื่อรับคำสั่ง
  3. Handshake and Keys – Ransomware บนคอมพิวเตอร์และบน C&C Server จะยืนยันตัวตนของทั้งสองฝ่ายผ่านการทำ “Handshake” จากนั้น C&C Server จะสร้างกุญแจสำหรับใช้เข้ารหัส 2 ดอก ดอกแรกถูกส่งไปยังคอมพิวเตอร์ของเหยื่อ และอีกดอกถูกเก็บไว้เองบน C&C Server
  4. Encryption – หลังจากที่มีคู่กุญแจเข้ารหัสแล้ว Ransomware บนเครื่องของเหยื่อจะเริ่มค้นหาไฟล์บนเครื่องคอมพิวเตอร์ เช่น ไฟล์เอกสาร MS Office, ไฟล์รูปภาพ JPG และอื่นๆ จากนั้นจะเข้ารหัสไฟล์ข้อมูลทั้งหมดที่เป็นไปได้
  5. Extortion – Ransomware แสดงหน้าจอเรียกค่าไถ่ พร้อมระบุระยะเวลาที่กำหนดก่อนที่จะทำลายกุญแจสำหรับปลดรหัสทิ้งไป โดยปกติแล้วค่าไถ่จะอยู่ที่ประมาณ 10,000 ~ 20,000 บาท ซึ่งจะชำระในรูปของ Bitcoin เพื่อให้ไม่สามารถตามจับได้

ป้องกัน Ransomware ได้อย่างไร

Sophos ให้คำแนะนำแก่องค์กรเพื่อป้องกันและหลีกเลี่ยงการตกเป็นเหยื่อของ Ransomware ดังนี้

  • จำกัดสิทธิ์ในการเขียนข้อมูลบน File Server ให้รัดกุมที่สุดเท่าที่จะทำได้
  • ใช้ Advanced Endpoint Protection ที่สามารถระบุมัลแวร์ประเภทใหม่ๆ และตรวจจับทราฟฟิคที่ผิดปกติได้
  • ใช้ระบบป้องกันภัยคุกคามบนเว็บและอีเมลเพื่อบล็อกการเข้าถึงเว็บไซต์อันตราย และตรวจสอบไฟล์ที่ดาวน์โหลดมาทั้งหมดได้
  • ให้ความรู้แก่ผู้ใช้ โดยสอนให้ติดต่อฝ่าย IT ทันทีเมื่อพบกับ Pop-up ที่น่าสงสัย
  • หมั่นสำรองข้อมูลอย่างสม่ำเสมอ และทดสอบการกู้คืนเพื่อให้มั่นใจได้ว่า สามารถย้อนระบบกลับมาเป็นเหมือนเดิมได้เมื่อถูกโจมตี
  • ตัดการเชื่อมต่อเครื่องที่ต้องสงสัยว่าถูกโจมตีจากระบบเครือข่ายโดยทันที

sophos_anatomy_of_ransomware_infographic

สามารถดาวน์โหลด Infographic ฉบับเต็มได้ที่: https://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-anatomy-crypto-ransomware-infographic.pdf


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ