ในช่วงปีที่ผ่านมา การโจมตีด้วย Cryptolocker หรือโทรจันกลุ่ม Ransomware ได้กลายเป็นปัญหาที่น่าปวดหัวของเหล่าผู้ดูแลระบบทั้งหลาย บางองค์กรอาจโชคดีที่การโจมตีไม่ได้สร้างความเสียหายใดๆ มากนัก แต่บางองค์กรอาจถูกเข้ารหัสไฟล์ที่มีความสำคัญต่อการทำงานและไม่มีการสำรองไว้ จนต้องยอมจ่ายค่าไถ่ให้ผู้ที่ทำการโจมตีในที่สุด
ในบทความนี้ทางทีมงาน Comodo Thailand ได้เชิญทีมงาน TechTalkThai ไปรับชมวิธีการป้องกัน Cryptolocker และโทรจันกลุ่ม Ransomware ที่ทาง Comodo รับประกันว่าสามารถป้องกันได้ 100% กันครับ
การทำงานของ Cryptolocker และโทรจันกลุ่ม Ransomware
โดยปกติเมื่อ Cryptolocker และโทรจันกลุ่ม Ransomware ถูกติดตั้งลงไปยังเครื่องเป้าหมาย และเรียกใช้งานขึ้นมา จะมีขั้นตอนการทำงานดังต่อไปนี้
1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว
4. เรียกค่าไถ่เพื่อทำการแลกคีย์สำหรับการถอดรหัสไฟล์
การป้องกันด้วยเทคโนโลยี Auto Sandbox ของ Comodo ESM
ด้วยเทคโนโลยี Containment ซึ่งเป็นเทคโนโลยีเฉพาะของ Comodo ภายใต้ชื่อ Auto Sandbox นั้น จะทำให้เครื่องลูกข่ายทุกเครื่องในองค์กรทำตัวเสมือนกำลังมีระบบ Sandbox จำลองเพื่อปกป้องเครื่องลูกข่ายจากการทำงานต่างๆ ที่อาจส่งผลอันตรายต่อเครื่องลูกข่ายได้ โดย Auto Sandbox นี้จะถูกเรียกใช้งานเพื่อจัดการกับไฟล์ที่ยังไม่เป็นที่รู้จักของระบบรักษาความปลอดภัยภายในองค์กรทั้งหมดโดยอัตโนมัติ
ดังนั้นเมื่อไฟล์ Cryptolocker หรือโทรจันกลุ่ม Ransomware ใหม่ๆ ที่ยังไม่เป็นที่รู้จักถูกติดตั้งลงไปบนเครื่องลูกข่าย และไม่ถูกทำลายโดย Signature-based Antivirus รวมถึงถูกตรวจด้วยระบบ File Reputation ของ Comodo แล้วพบว่าเป็นไฟล์ใหม่ที่ยังไม่เป็นที่รู้จัก Auto Sandbox ของ Comodo จะเริ่มทำงานทันที และเมื่อมีการเรียกใช้งาน Cryptolocker หรือโทรจันกลุ่ม Ransomware ขึ้นมา เหตุการณ์จะดำเนินไปดังนี้
1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว แต่ไม่สำเร็จเนื่องจาก Cryptolocker นี้ถูกขังอยู่ภายใน Auto Sandbox ทำให้การเขียนไฟล์ต้นฉบับเหล่านี้ถูกเขียนลงไปที่ Virtual Hard Drive แทน และไฟล์ต้นฉบับจะไม่เกิดการเปลี่ยนแปลงใดๆ

4. ไฟล์ต้นฉบับทั้งหมดยังคงปลอดภัย และมีผลการเข้ารหัสถูกเก็บอยู่ภายใน Virtual Hard Drive ทำให้เจ้าหน้าทีทุกคนในองค์กรยังคงทำงานต่อไปได้ ในขณะที่ผู้ดูแลระบบรับทราบถึงการแพร่ระบาดของ Ransomware และทำการสร้าง Signature เพื่อบล็อคการทำงานได้ทันที


จะเห็นได้ว่าด้วยการทำงานลักษณะนี้ ทำให้ Ransomware ทั่วๆ ไปสามารถถูกหยุดยั้งได้ทันที รวมไปถึง Virus หรือ Worm ที่มีเป้าหมายในการทำลายไฟล์ทั้งหมดโดยไม่ทำการเข้ารหัสเลยด้วย ในขณะที่วิธีการเหล่านี้ก็ยังคงประนีประนอมให้ผู้ใช้งานทั่วๆ ไปสามารถทำงานได้โดยปกติเหมือนไม่มีอะไรเกิดขึ้นเช่นกัน
สำหรับ SI ที่สนใจทดสอบผลิตภัณฑ์หรือสมัครเป็น Reseller และองค์กรที่อยากทดสอบระบบรักษาความปลอดภัยของ Comodo สามารถติดต่อทีมงาน Comodo Thailand ได้ทันทีที่คุณภัทร์ธีนันท์ (เหมย) ที่เบอร์โทร 083-068-6507 หรืออีเมลล์ patteenun@comodothailand.com หรือคุณฐานวัฒน์ (ต้าร์) ที่เบอร์โทร 096-843-5145 หรืออีเมลล์ tharnawat@comodothailand.com ได้ทันที
ข้อมูลเพิ่มเติม
- Comodo Thailand Website http://www.comodothailand.com