เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

เจาะลึกการป้องกัน Cryptolocker/Ransomware ด้วยเทคโนโลยี Auto Sandbox จาก Comodo ESM

comodo_logo_h50

ในช่วงปีที่ผ่านมา การโจมตีด้วย Cryptolocker หรือโทรจันกลุ่ม Ransomware ได้กลายเป็นปัญหาที่น่าปวดหัวของเหล่าผู้ดูแลระบบทั้งหลาย บางองค์กรอาจโชคดีที่การโจมตีไม่ได้สร้างความเสียหายใดๆ มากนัก แต่บางองค์กรอาจถูกเข้ารหัสไฟล์ที่มีความสำคัญต่อการทำงานและไม่มีการสำรองไว้ จนต้องยอมจ่ายค่าไถ่ให้ผู้ที่ทำการโจมตีในที่สุด

ในบทความนี้ทางทีมงาน Comodo Thailand ได้เชิญทีมงาน TechTalkThai ไปรับชมวิธีการป้องกัน Cryptolocker และโทรจันกลุ่ม Ransomware ที่ทาง Comodo รับประกันว่าสามารถป้องกันได้ 100% กันครับ

การทำงานของ Cryptolocker และโทรจันกลุ่ม Ransomware

comodo_containment_technology

โดยปกติเมื่อ Cryptolocker และโทรจันกลุ่ม Ransomware ถูกติดตั้งลงไปยังเครื่องเป้าหมาย และเรียกใช้งานขึ้นมา จะมีขั้นตอนการทำงานดังต่อไปนี้

1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว
4. เรียกค่าไถ่เพื่อทำการแลกคีย์สำหรับการถอดรหัสไฟล์

 

การป้องกันด้วยเทคโนโลยี Auto Sandbox ของ Comodo ESM

ด้วยเทคโนโลยี Containment ซึ่งเป็นเทคโนโลยีเฉพาะของ Comodo ภายใต้ชื่อ Auto Sandbox นั้น จะทำให้เครื่องลูกข่ายทุกเครื่องในองค์กรทำตัวเสมือนกำลังมีระบบ Sandbox จำลองเพื่อปกป้องเครื่องลูกข่ายจากการทำงานต่างๆ ที่อาจส่งผลอันตรายต่อเครื่องลูกข่ายได้ โดย Auto Sandbox นี้จะถูกเรียกใช้งานเพื่อจัดการกับไฟล์ที่ยังไม่เป็นที่รู้จักของระบบรักษาความปลอดภัยภายในองค์กรทั้งหมดโดยอัตโนมัติ

ดังนั้นเมื่อไฟล์ Cryptolocker หรือโทรจันกลุ่ม Ransomware ใหม่ๆ ที่ยังไม่เป็นที่รู้จักถูกติดตั้งลงไปบนเครื่องลูกข่าย และไม่ถูกทำลายโดย Signature-based Antivirus รวมถึงถูกตรวจด้วยระบบ File Reputation ของ Comodo แล้วพบว่าเป็นไฟล์ใหม่ที่ยังไม่เป็นที่รู้จัก Auto Sandbox ของ Comodo จะเริ่มทำงานทันที และเมื่อมีการเรียกใช้งาน Cryptolocker หรือโทรจันกลุ่ม Ransomware ขึ้นมา เหตุการณ์จะดำเนินไปดังนี้

1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว แต่ไม่สำเร็จเนื่องจาก Cryptolocker นี้ถูกขังอยู่ภายใน Auto Sandbox ทำให้การเขียนไฟล์ต้นฉบับเหล่านี้ถูกเขียนลงไปที่ Virtual Hard Drive แทน และไฟล์ต้นฉบับจะไม่เกิดการเปลี่ยนแปลงใดๆ

การทำงานของ .exe หรือ script ที่ไม่รู้จัก จะถูกกักขังอยู่ภายใน Comodo Auto Sandbox โดยอัตโนมัติเพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นในอนาคต
การทำงานของ .exe หรือ script ที่ไม่รู้จัก จะถูกกักขังอยู่ภายใน Comodo Auto Sandbox โดยอัตโนมัติเพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นในอนาคต

4. ไฟล์ต้นฉบับทั้งหมดยังคงปลอดภัย และมีผลการเข้ารหัสถูกเก็บอยู่ภายใน Virtual Hard Drive ทำให้เจ้าหน้าทีทุกคนในองค์กรยังคงทำงานต่อไปได้ ในขณะที่ผู้ดูแลระบบรับทราบถึงการแพร่ระบาดของ Ransomware และทำการสร้าง Signature เพื่อบล็อคการทำงานได้ทันที

การเข้ารหัสไฟล์ทั้งหมดของ Cryptolocker จะถูกเขียนลงไปยัง Virtual Hard Drive และไม่มีผลกระทบใดๆ ต่อไฟล์ต้นฉบับ ทำให้พนักงานยังคงทำงานได้ตามปกติเหมือนไม่มีอะไรเกิดขึ้น
การเข้ารหัสไฟล์ทั้งหมดของ Cryptolocker จะถูกเขียนลงไปยัง Virtual Hard Drive และไม่มีผลกระทบใดๆ ต่อไฟล์ต้นฉบับ ทำให้พนักงานยังคงทำงานได้ตามปกติเหมือนไม่มีอะไรเกิดขึ้น
หน้าต่างแรกคือไฟล์ที่ถูกเข้ารหัสด้วย Cryptolocker ที่ถูกเก็บอยู่ใน Virtual Hard Drive ส่วนหน้าต่างที่สองคือไฟล์ต้นฉบับที่ไม่ได้รับผลกระทบใดๆ จาก Cryptolocker เลย
หน้าต่างแรกคือไฟล์ที่ถูกเข้ารหัสด้วย Cryptolocker ที่ถูกเก็บอยู่ใน Virtual Hard Drive ส่วนหน้าต่างที่สองคือไฟล์ต้นฉบับที่ไม่ได้รับผลกระทบใดๆ จาก Cryptolocker เลย

จะเห็นได้ว่าด้วยการทำงานลักษณะนี้ ทำให้ Ransomware ทั่วๆ ไปสามารถถูกหยุดยั้งได้ทันที รวมไปถึง Virus หรือ Worm ที่มีเป้าหมายในการทำลายไฟล์ทั้งหมดโดยไม่ทำการเข้ารหัสเลยด้วย ในขณะที่วิธีการเหล่านี้ก็ยังคงประนีประนอมให้ผู้ใช้งานทั่วๆ ไปสามารถทำงานได้โดยปกติเหมือนไม่มีอะไรเกิดขึ้นเช่นกัน

 

สำหรับ SI ที่สนใจทดสอบผลิตภัณฑ์หรือสมัครเป็น Reseller และองค์กรที่อยากทดสอบระบบรักษาความปลอดภัยของ Comodo สามารถติดต่อทีมงาน Comodo Thailand ได้ทันทีที่คุณภัทร์ธีนันท์ (เหมย) ที่เบอร์โทร 083-068-6507 หรืออีเมลล์ patteenun@comodothailand.com หรือคุณฐานวัฒน์ (ต้าร์) ที่เบอร์โทร 096-843-5145 หรืออีเมลล์ tharnawat@comodothailand.com ได้ทันที

ข้อมูลเพิ่มเติม

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

FBI เตือนฟีเจอร์ Email Forwarding ถูกคนร้ายลอบใช้เพื่อทำ BEC

FBI ได้ออกโรงเตือนว่าพบการใช้ฟีเจอร์ Auto Email Forwarding ในส่วนหนึ่งของการบวนการโจมตีแบบ BEC หรือ Business Email Compromise

Google เข้าซื้อกิจการ Actifio เสริมแกร่งรุกตลาดด้าน Business Continuity

Google ได้ยกระดับขยายตลาดด้าน Backup และ DR ด้วยการประกาศเข้าซื้อกิจการ Actifio