Checklist สำหรับป้องกันและรับมือกับ Ransomware ฉบับภาษาไทยโดย KnowBe4

ปฏิเสธไม่ได้ว่าหนึ่งในภัยคุกคามที่เจอกันมากที่สุดในปัจจุบันคือ Ransomware หรือมัลแวร์เรียกค่าไถ่ ซึ่งพุ่งเป้าทั้งบุคคลทั่วไป บริษัทขนาดเล็ก ไปจนถึงองค์กรขนาดใหญ่ บทความนี้จึงได้สรุป Checklist สำหรับป้องกัน Ransomware และรับมือกับ Ransomware หลังถูกโจมตีเป็นภาษาไทย เพื่อให้ทุกคนสามารถนำไปใช้ประโยชน์กันได้ครับ

รายการตรวจสอบสำหรับรับมือเมื่อถูก Ransomware โจมตี

ขั้นตอนที่ 1: ยกเลิกการเชื่อมต่อทั้งหมด

a. ถอดสาย LAN
b. ปิดการเชื่อมต่อไร้สาย ได้แก่ Wi-Fi, Bluetooth และ NFC

ขั้นตอนที่ 2: ตรวจสอบบริเวณที่ติดมัลแวร์ โดยพิจารณาจากการที่ข้อมูลถูกเข้ารหัสจากส่วนต่างๆ ดังนี้

a. Mapped Drives หรือ Shared Drives
b. Mapped Folders หรือ Shared Folders จากคอมพิวเตอร์เครื่องอื่น
c. อุปกรณ์ Network Storage ทุกชนิด
d. External Hard Drives
e. อุปกรณ์ USB Storage ทุกชนิด เช่น แฟลชไดรฟ์ สมาร์ทโฟน และกล้องถ่ายรูป
f. Storage บนระบบ Cloud เช่น Dropbox, Google Drive, OneDrive และอื่นๆ

ขั้นตอนที่ 3: ตรวจสอบร่องรอยของ Ransomware

a. เป็น Ransomware ชนิดใด เช่น CryptoWall, TeslaCrypt หรือ Locky โดยใช้ ID Ransomware

ขั้นตอนที่ 4: พิจารณาวิธีการรับมือ

ถึงตอนนี้ คุณจะทราบแล้วว่าบริเวณใดบ้างที่ไฟล์ถูกเข้ารหัส และ Ransomware ที่กำลังโจมตีเราอยู่คืออะไร คุณสามารถตัดสินใจดำเนินการขั้นถัดไปได้ตามข้อมูลเหล่านั้น

แผนรับมือที่ 1: กู้คืนไฟล์กลับมาจาก Backup

1. ระบุตำแหน่งของไฟล์ Backup
xxxxa. ไฟล์ที่ต้องการกู้คืนมาอยู่ครบ
xxxxb. ยืนยันความถูกต้องของข้อมูลใน Backup เช่น ที่เก็บข้อมูลสามารถอ่านได้ และไม่มีไฟล์เสีย
xxxxc. ตรวจสอบ Shadow Copies ถ้ามี (อาจไม่จำเป็นสำหรับ Ransomware ชนิดใหม่ๆ)
xxxxd. ตรวจสอบไฟล์เวอร์ชันก่อนหน้าที่อาจถูกเก็บไว้บน Cloud Starage เช่น Dropbox, Google Drive, OneDrive
2. กำจัด Ransomware ออกจากระบบที่ถูกโจมตี
3. กู้คืนไฟล์ข้อมูลจาก Backup
4. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต

แผนรับมือที่ 2: ทดลองปลดรหัสไฟล์

1. ตรวจสอบชนิดและเวอร์ชันของ Ransomware ถ้าเป็นไปได้
2. ค้นหาซอฟต์แวร์ปลดรหัส (Decrypter) สำหรับ Ransomware นั้นๆ ซึ่งอาจเป็นไปไม่ได้สำหรับ Ransomware ชนิดใหม่ๆ แต่ถ้ามี ให้ไปขั้นตอนถัดไป
3. เชื่อมต่อ Storage ที่ไฟล์ข้อมูลถูกเข้ารหัสทั้งหมด ไม่ว่าจำเป็น ฮาร์ดดิสก์ แฟลชไดรฟ์ หรือ SD Card
4. ปลดรหัสไฟล์ข้อมูล
5. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต

แผนรับมือที่ 3: ไม่ทำอะไรเลย (ทิ้งไฟล์ไป)

1. กำจัด Ransomware ออกจากระบบที่ถูกโจมตี
2. สำรองไฟล์ข้อมูลที่ถูกเข้ารหัสเผื่อมี Decrypter ออกมาให้ใช้ในอนาคต (ขึ้นอยู่กับความสมัครใจ)

แผนรับมือที่ 4: ต่อรองและ/หรือจ่ายค่าไถ่

1. ถ้าเป็นไปได้ ให้ต่อรองราคาค่าไถ่ที่ต้องจ่าย หรือยืดระยะเวลาในการจ่ายค่าไถ่ออกไป
2. ตรวจสอบวิธีการชำระค่าไถ่ เช่น Bitcoin บัตรเติมเงิน หรืออื่นๆ
3. ร้องขอวิธีการชำระเงิน ในกรณีที่เป็น Bitcoin
xxxxa. ตรวจสอบเว็บไซต์ที่รับแลกเปลี่ยนเงิน Bitcoin (เวลาเป็นเรื่องสำคัญมาก เนื่องจากอัตราแลกเปลี่ยนจะขึ้นๆ ลงๆ ตลอดเวลา)
xxxxb. สร้าง Account/Wallet และทำการซื้อ Bitcoin
4. เชื่อมต่อคอมพิวเตอร์ที่ถูกเข้ารหัสกับอินเทอร์เน็ตอีกครั้งหนึ่ง
5. ติดตั้งโปรแกรม Tor Browser (ถ้าจำเป็น)
6. ตรวจสอบ Bitcoin Address สำหรับชำระค่าไถ่ ซึ่งปกติจะอยู่ที่หน้าข้อความเรียกค่าไถ่หรือ Tor Site ที่ถูกตั้งค่ามาเพื่อจ่ายค่าไถ่โดยเฉพาะ
7. ชำระค่าไถ่โดยการโอน Bitcoin ไปยัง Wallet เป้าหมาย
8. ยืนยันว่าอุปกรณ์ต่อพ่วงทุกชิ้นที่ถูกเข้ารหัสข้อมูลเชื่อมต่อกับคอมพิวเตอร์
9. การปลดรหัสไฟล์ควรจะเริ่มภายในไม่กี่ชั่วโมง หรืออย่างช้าไม่ควรเกิน 24 ชั่วโมง
10. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต

ขั้นตอนที่ 5: ปกป้องระบบของคุณจากการโจมตีในอนาคต

a. ทำตามรายการตรวจสอบสำหรับการป้องกัน Ransomware

 

รายการตรวจสอบสำหรับการป้องกัน Ransomware

แนวป้องกันที่ 1: ผู้ใช้

1. จัดอบรมการสร้างความตระหนักด้านความมั่นคงปลอดภัยแก่ผู้ใช้ เพื่อให้ทราบถึงวิธีป้องกันตัวเองจากภัยคุกคามไซเบอร์ เช่น Social Engineering, Phishing หรือ Drive-by Downloading
2. ฝึกซ้อมการโจมตีแบบ Phishing เพื่อให้ผู้ใช้เกิดความคุ้นเคยกับการโจมตีและสามารถรับมือได้อย่างถูกต้อง

แนวป้องกันที่ 2: ซอฟต์แวร์

1. ตรวจสอบว่ามีการใช้ Firewall ในระบบของคุณ
2. ติดตั้งระบบ Anti-spam และ/หรือ Anti-phishing ซึ่งอาจมาในรูปของโซลูชันฮาร์ดแวร์หรือซอฟต์แวร์ก็ได้
3. ตรวจสอบว่าทุกคนในบริษัทติดตั้งโปรแกรม Antivirus และมีการอัปเดตฐานข้อมูลล่าสุดอยู่เสมอ หรืออาจจะใช้โซลูชัน Advanced Endpoint Protection ที่มีคุณสมบัติ Whitelisting และ/หรือ Real-time Executable Blocking ก็ได้ กรณีที่มีงบลงทุนและต้องการระบบที่มีความมั่นคงปลอดภัยสูง
4. กำหนดนโยบายการบังคับใช้ซอฟต์แวร์บนระบบเครือข่าย เพื่อป้องกันการรันแอพพลิเคชันที่ไม่พึงประสงค์ (ถ้าสามารถทำได้)
5. สร้างวินัยในการอัปเดตแพทช์ด้านความมั่นคงปลอดภัยสำหรับอุดช่องโหว่บนแอพพลิเคชันอย่างสม่ำเสมอ

แนวป้องกันที่ 3: ข้อมูลสำรอง

1. จัดหาโซลูชันสำหรับสำรองข้อมูล อาจจะเป็นในรูปของซอฟต์แวร์ ฮาร์ดแวร์ หรือทั้งคู่ก็ได้
2. ตรวจสอบว่าข้อมูลสำคัญของบริษัทที่อยู่ในอุปกรณ์ต่างๆ เช่น ฮาร์ดดิสก์ อุปกรณ์พกพา หรือแฟลชไดรฟ์ ถูกสำรองไว้ใน Backup
3. ตรวจสอบว่าข้อมูลที่สำรองถูกจัดเก็บความปลอดภัยและสามารถเข้าถึงได้ง่าย
4. ทดสอบกระบวนการกู้คืนไฟล์ข้อมูลอย่างสม่ำเสมอ รวมไปทดสอบความถูกต้องของข้อมูลบน Backup และตรวจเช็คความง่ายในการกู้คืนไฟล์จาก Online/Software-based Backup

สำหรับผู้ที่สนใจศึกษาวิธีการป้องกันและรับมือกับ Ransomware สามารถดาวน์โหลดคู่มือ RANSOMWARE Hostage Rescue Manaul โดย KnowBe4 ได้ที่ [PDF]


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ขอเชิญเข้าร่วม Webinar: Beginning with VMware Carbon Black Cloud [20 ก.ค.22]

VMWare, WIT และ VST ECS ขอเชิญเข้าร่วม Webinar: Beginning with VMware Carbon Black Cloud ในวันพุธที่ 20 …

[Video Webinar] คุณพร้อมรับมือกับภัยคุกคามและความเสี่ยงต่างๆ สำหรับการใช้งาน Public Cloud แล้วหรือยัง?

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย SiS Webinar เรื่อง “คุณพร้อมรับมือกับภัยคุกคามและความเสี่ยงต่างๆ สำหรับการใช้งาน Public Cloud แล้วหรือยัง?” พร้อมเรียนรู้การรักษาความมั่นคงปลอดภัยบน Cloud Infrastructure อย่างบูรณาการ ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …