TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ปฏิเสธไม่ได้ว่าหนึ่งในภัยคุกคามที่เจอกันมากที่สุดในปัจจุบันคือ Ransomware หรือมัลแวร์เรียกค่าไถ่ ซึ่งพุ่งเป้าทั้งบุคคลทั่วไป บริษัทขนาดเล็ก ไปจนถึงองค์กรขนาดใหญ่ บทความนี้จึงได้สรุป Checklist สำหรับป้องกัน Ransomware และรับมือกับ Ransomware หลังถูกโจมตีเป็นภาษาไทย เพื่อให้ทุกคนสามารถนำไปใช้ประโยชน์กันได้ครับ
รายการตรวจสอบสำหรับรับมือเมื่อถูก Ransomware โจมตี
ขั้นตอนที่ 1: ยกเลิกการเชื่อมต่อทั้งหมด
☐ a. ถอดสาย LAN
☐ b. ปิดการเชื่อมต่อไร้สาย ได้แก่ Wi-Fi, Bluetooth และ NFC
ขั้นตอนที่ 2: ตรวจสอบบริเวณที่ติดมัลแวร์ โดยพิจารณาจากการที่ข้อมูลถูกเข้ารหัสจากส่วนต่างๆ ดังนี้
☐ a. Mapped Drives หรือ Shared Drives
☐ b. Mapped Folders หรือ Shared Folders จากคอมพิวเตอร์เครื่องอื่น
☐ c. อุปกรณ์ Network Storage ทุกชนิด
☐ d. External Hard Drives
☐ e. อุปกรณ์ USB Storage ทุกชนิด เช่น แฟลชไดรฟ์ สมาร์ทโฟน และกล้องถ่ายรูป
☐ f. Storage บนระบบ Cloud เช่น Dropbox, Google Drive, OneDrive และอื่นๆ
ขั้นตอนที่ 3: ตรวจสอบร่องรอยของ Ransomware
☐ a. เป็น Ransomware ชนิดใด เช่น CryptoWall, TeslaCrypt หรือ Locky โดยใช้ ID Ransomware
ขั้นตอนที่ 4: พิจารณาวิธีการรับมือ
ถึงตอนนี้ คุณจะทราบแล้วว่าบริเวณใดบ้างที่ไฟล์ถูกเข้ารหัส และ Ransomware ที่กำลังโจมตีเราอยู่คืออะไร คุณสามารถตัดสินใจดำเนินการขั้นถัดไปได้ตามข้อมูลเหล่านั้น
แผนรับมือที่ 1: กู้คืนไฟล์กลับมาจาก Backup
☐ 1. ระบุตำแหน่งของไฟล์ Backup
xxxxa. ไฟล์ที่ต้องการกู้คืนมาอยู่ครบ
xxxxb. ยืนยันความถูกต้องของข้อมูลใน Backup เช่น ที่เก็บข้อมูลสามารถอ่านได้ และไม่มีไฟล์เสีย
xxxxc. ตรวจสอบ Shadow Copies ถ้ามี (อาจไม่จำเป็นสำหรับ Ransomware ชนิดใหม่ๆ)
xxxxd. ตรวจสอบไฟล์เวอร์ชันก่อนหน้าที่อาจถูกเก็บไว้บน Cloud Starage เช่น Dropbox, Google Drive, OneDrive
☐ 2. กำจัด Ransomware ออกจากระบบที่ถูกโจมตี
☐ 3. กู้คืนไฟล์ข้อมูลจาก Backup
☐ 4. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต
แผนรับมือที่ 2: ทดลองปลดรหัสไฟล์
☐ 1. ตรวจสอบชนิดและเวอร์ชันของ Ransomware ถ้าเป็นไปได้
☐ 2. ค้นหาซอฟต์แวร์ปลดรหัส (Decrypter) สำหรับ Ransomware นั้นๆ ซึ่งอาจเป็นไปไม่ได้สำหรับ Ransomware ชนิดใหม่ๆ แต่ถ้ามี ให้ไปขั้นตอนถัดไป
☐ 3. เชื่อมต่อ Storage ที่ไฟล์ข้อมูลถูกเข้ารหัสทั้งหมด ไม่ว่าจำเป็น ฮาร์ดดิสก์ แฟลชไดรฟ์ หรือ SD Card
☐ 4. ปลดรหัสไฟล์ข้อมูล
☐ 5. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต
แผนรับมือที่ 3: ไม่ทำอะไรเลย (ทิ้งไฟล์ไป)
☐ 1. กำจัด Ransomware ออกจากระบบที่ถูกโจมตี
☐ 2. สำรองไฟล์ข้อมูลที่ถูกเข้ารหัสเผื่อมี Decrypter ออกมาให้ใช้ในอนาคต (ขึ้นอยู่กับความสมัครใจ)
แผนรับมือที่ 4: ต่อรองและ/หรือจ่ายค่าไถ่
☐ 1. ถ้าเป็นไปได้ ให้ต่อรองราคาค่าไถ่ที่ต้องจ่าย หรือยืดระยะเวลาในการจ่ายค่าไถ่ออกไป
☐ 2. ตรวจสอบวิธีการชำระค่าไถ่ เช่น Bitcoin บัตรเติมเงิน หรืออื่นๆ
☐ 3. ร้องขอวิธีการชำระเงิน ในกรณีที่เป็น Bitcoin
xxxxa. ตรวจสอบเว็บไซต์ที่รับแลกเปลี่ยนเงิน Bitcoin (เวลาเป็นเรื่องสำคัญมาก เนื่องจากอัตราแลกเปลี่ยนจะขึ้นๆ ลงๆ ตลอดเวลา)
xxxxb. สร้าง Account/Wallet และทำการซื้อ Bitcoin
☐ 4. เชื่อมต่อคอมพิวเตอร์ที่ถูกเข้ารหัสกับอินเทอร์เน็ตอีกครั้งหนึ่ง
☐ 5. ติดตั้งโปรแกรม Tor Browser (ถ้าจำเป็น)
☐ 6. ตรวจสอบ Bitcoin Address สำหรับชำระค่าไถ่ ซึ่งปกติจะอยู่ที่หน้าข้อความเรียกค่าไถ่หรือ Tor Site ที่ถูกตั้งค่ามาเพื่อจ่ายค่าไถ่โดยเฉพาะ
☐ 7. ชำระค่าไถ่โดยการโอน Bitcoin ไปยัง Wallet เป้าหมาย
☐ 8. ยืนยันว่าอุปกรณ์ต่อพ่วงทุกชิ้นที่ถูกเข้ารหัสข้อมูลเชื่อมต่อกับคอมพิวเตอร์
☐ 9. การปลดรหัสไฟล์ควรจะเริ่มภายในไม่กี่ชั่วโมง หรืออย่างช้าไม่ควรเกิน 24 ชั่วโมง
☐ 10. ตรวจวิเคราะห์สาเหตุการถูกโจมตีและวิธีรับมือในอนาคต
ขั้นตอนที่ 5: ปกป้องระบบของคุณจากการโจมตีในอนาคต
☐ a. ทำตามรายการตรวจสอบสำหรับการป้องกัน Ransomware
รายการตรวจสอบสำหรับการป้องกัน Ransomware
แนวป้องกันที่ 1: ผู้ใช้
☐ 1. จัดอบรมการสร้างความตระหนักด้านความมั่นคงปลอดภัยแก่ผู้ใช้ เพื่อให้ทราบถึงวิธีป้องกันตัวเองจากภัยคุกคามไซเบอร์ เช่น Social Engineering, Phishing หรือ Drive-by Downloading
☐ 2. ฝึกซ้อมการโจมตีแบบ Phishing เพื่อให้ผู้ใช้เกิดความคุ้นเคยกับการโจมตีและสามารถรับมือได้อย่างถูกต้อง
แนวป้องกันที่ 2: ซอฟต์แวร์
☐ 1. ตรวจสอบว่ามีการใช้ Firewall ในระบบของคุณ
☐ 2. ติดตั้งระบบ Anti-spam และ/หรือ Anti-phishing ซึ่งอาจมาในรูปของโซลูชันฮาร์ดแวร์หรือซอฟต์แวร์ก็ได้
☐ 3. ตรวจสอบว่าทุกคนในบริษัทติดตั้งโปรแกรม Antivirus และมีการอัปเดตฐานข้อมูลล่าสุดอยู่เสมอ หรืออาจจะใช้โซลูชัน Advanced Endpoint Protection ที่มีคุณสมบัติ Whitelisting และ/หรือ Real-time Executable Blocking ก็ได้ กรณีที่มีงบลงทุนและต้องการระบบที่มีความมั่นคงปลอดภัยสูง
☐ 4. กำหนดนโยบายการบังคับใช้ซอฟต์แวร์บนระบบเครือข่าย เพื่อป้องกันการรันแอพพลิเคชันที่ไม่พึงประสงค์ (ถ้าสามารถทำได้)
☐ 5. สร้างวินัยในการอัปเดตแพทช์ด้านความมั่นคงปลอดภัยสำหรับอุดช่องโหว่บนแอพพลิเคชันอย่างสม่ำเสมอ
แนวป้องกันที่ 3: ข้อมูลสำรอง
☐ 1. จัดหาโซลูชันสำหรับสำรองข้อมูล อาจจะเป็นในรูปของซอฟต์แวร์ ฮาร์ดแวร์ หรือทั้งคู่ก็ได้
☐ 2. ตรวจสอบว่าข้อมูลสำคัญของบริษัทที่อยู่ในอุปกรณ์ต่างๆ เช่น ฮาร์ดดิสก์ อุปกรณ์พกพา หรือแฟลชไดรฟ์ ถูกสำรองไว้ใน Backup
☐ 3. ตรวจสอบว่าข้อมูลที่สำรองถูกจัดเก็บความปลอดภัยและสามารถเข้าถึงได้ง่าย
☐ 4. ทดสอบกระบวนการกู้คืนไฟล์ข้อมูลอย่างสม่ำเสมอ รวมไปทดสอบความถูกต้องของข้อมูลบน Backup และตรวจเช็คความง่ายในการกู้คืนไฟล์จาก Online/Software-based Backup
สำหรับผู้ที่สนใจศึกษาวิธีการป้องกันและรับมือกับ Ransomware สามารถดาวน์โหลดคู่มือ RANSOMWARE Hostage Rescue Manaul โดย KnowBe4 ได้ที่ [PDF]
