RansomWhere? เครื่องมือตรวจจับ Ransomware แรกสำหรับ Mac OS X

Ransomware หรือมัลแวร์เรียกค่าไถ่นับว่าเป็นภัยคุกคามอันร้ายกาจในปัจจุบัน Vendor ทางด้าน Security พยายามพัฒนาเครื่องมือสำหรับปลดรหัสไฟล์โดยที่ไม่ต้องจ่ายค่าไถ่ หรือที่เรียกว่า Decrypter บางราย เช่น Bitdefender ก็ได้พัฒนา Anti-ransomware สำหรับป้องกันการโจมตี ซึ่งก็ได้ผลดีระดับหนึ่ง แต่เครื่องมือเหล่านี้รองรับเฉพาะระบบปฏิบัติการ Windows เท่านั้น แล้วเครื่องมือสนับสนุน Mac OS X ล่ะ ?

Ransomware เริ่มจู่โจม Mac OS X

Mac OS X เริ่มตกเป็นเป้าหมายของ Ransomware หลังจากที่ Palo Alto Networks ผู้ให้บริการแพลทฟอร์มด้านความมั่นคงปลอดภัยแบบ Next-generation ชื่อดังออกมาเปิดเผยถึง Ransomware ตัวแรกบน Mac ที่ชื่อว่า KeRanger เมื่อปลายเดือนที่ผ่านมา คำถามคือ แล้วเราจะป้องกัน Mac OS X จากมัลแวร์นี้ได้อย่างไร

RansomWhere? เครื่องมือตรวจจับสำหรับ OS X โดยเฉพาะ

Patrick Wardle หัวหน้าทีมวิจัยของ Synack และแฮ็คเกอร์ OS X ได้ออกมาเปิดตัวเครื่องมือสำหรับตรวจจับ Ransomware ตัวแรกของ Mac OS X เรียกว่า RansomWhere? ซึ่งจะคอยเฝ้าระวัง Home Directories จาก Process แปลกปลอมที่จะเข้ารหัสไฟล์ข้อมูล ถ้า RansomWhere? ทำการบล็อก Process มันจะแจ้งเตือนไปยังผู้ใช้เพื่อให้ตัดสินใจว่า จะยอมให้ Process ทำงานหรือให้ทำลาย Process ดังกล่าวทิ้งไป

ransomwhere_1

“ผมรู้ดีว่าวิธีการในปัจจุบันนั้นไม่ได้ผล โปรแกรม Antivirus ยังมีข้อบกพร่องอยู่ KeRanger ถูกเซ็นโดย Developer Certificate อย่างถูกต้อง ส่งผลให้สามารถทะลุผ่าน Gatekeeper Protection ของ Mac OS X ได้ คุณจำเป็นต้องคิดนอกกรอบ และใช้วิธีที่ไม่เฉพาะเจาะจงเกินไป” — Wardle ระบุ

ตรวจจับ Ransomware จากพฤติกรรม

หลักการทำงานของ RansomWhere? คือ การตรวจจับมัลแวร์จากพฤติกรรม โดยมีหลักการตรวจสอบหลายประการ เช่น เริ่มต้นจากการตรวจสอบความน่าเชื่อถือของ Process ถ้า Process ถูกเซ็นโดย Apple หรือ Developer ที่ได้รับการยืนยัน ก็จะเชื่อถือได้ ถ้าไม่ ก็จะทำการเฝ้าระวัง เมื่อไหร่ก็ตามที่ไฟล์ใหม่ที่ถูกสร้างขึ้นหรือเปลี่ยนแปลงแก้ไข ถูกเข้ารหัส RansomWhere? จะทำการหยุด Process นั้นแล้วแจ้งเตือนไปยังผู้ใช้เพื่อให้ทำการยืนยัน

ransomwhere_2

ยังคงมีข้อจำกัด แต่จะพัฒนาต่อไป

Wardle ทราบดีว่าเครื่องมือเวอร์ชัน 1.0 ของเขายังคงมีข้อจำกัด ซึ่งอาจถูก Bypass ได้ รวมไปถึงการตรวจจับและหยุดยั้ง Ransomware จะทำได้ก็ต่อเมื่อหลังบางไฟล์ถูกเข้ารหัสไปเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม Wardle ระบุว่าเขาจะพัฒนา RansomWhere? ต่อไป ให้สามารถเฝ้าระวังทุกไฟล์บน OS X จนไปถึงระดับ Kernel เลยทีเดียว

อ่านรายละเอียดเชิงเทคนิคของ RansomWhere? ได้ที่ https://objective-see.com/blog/blog_0x0F.html
ดาวน์โหลดโปรแกรม RansomWhere? มาลองใช้ได้ที่ https://objective-see.com/products/ransomwhere.html

ที่มา: https://threatpost.com/generic-ransomware-detection-comes-to-os-x/117534/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญเข้าร่วมงานสัมมนา Confluent – Data Streaming World Tour Bangkok : AI Ships when Data Streams [16 ก.ย. 2026 ณ St Regis Bangkok]

Confluent ขอเชิญ CIO, CTO, CDO, CAIO, AI Engineer, Data Engineer, Data Scientist, Cloud Engineer, Software Engineer และผู้ที่สนใจทุกท่าน เข้าร่วมงานสัมมนา “Confluent - Data Streaming World Tour Bangkok : AI Ships when Data Streams” ณ โรงแรม The St. Regis Bangkok ในวันพฤหัสบดีที่ 16 กรกฎาคม 2026

Samsung ลั่น อุปสงค์ชิปหน่วยความจำจะดันกำไรจากการดำเนินงานพุ่ง 19 เท่า

รายงานผลประกอบการเบื้องต้นที่เผยแพร่โดย Samsung ระบุว่า ยอดขายและราคาของชิปหน่วยความจำที่ทำสถิติสูงสุดจะส่งผลให้กำไรจากการดำเนินงานในไตรมาสที่สองของ Samsung เพิ่มขึ้นถึง 19 เท่า