Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

เจาะลึกการป้องกัน Cryptolocker/Ransomware ด้วยเทคโนโลยี Auto Sandbox จาก Comodo ESM

comodo_logo_h50

ในช่วงปีที่ผ่านมา การโจมตีด้วย Cryptolocker หรือโทรจันกลุ่ม Ransomware ได้กลายเป็นปัญหาที่น่าปวดหัวของเหล่าผู้ดูแลระบบทั้งหลาย บางองค์กรอาจโชคดีที่การโจมตีไม่ได้สร้างความเสียหายใดๆ มากนัก แต่บางองค์กรอาจถูกเข้ารหัสไฟล์ที่มีความสำคัญต่อการทำงานและไม่มีการสำรองไว้ จนต้องยอมจ่ายค่าไถ่ให้ผู้ที่ทำการโจมตีในที่สุด

ในบทความนี้ทางทีมงาน Comodo Thailand ได้เชิญทีมงาน TechTalkThai ไปรับชมวิธีการป้องกัน Cryptolocker และโทรจันกลุ่ม Ransomware ที่ทาง Comodo รับประกันว่าสามารถป้องกันได้ 100% กันครับ

การทำงานของ Cryptolocker และโทรจันกลุ่ม Ransomware

comodo_containment_technology

โดยปกติเมื่อ Cryptolocker และโทรจันกลุ่ม Ransomware ถูกติดตั้งลงไปยังเครื่องเป้าหมาย และเรียกใช้งานขึ้นมา จะมีขั้นตอนการทำงานดังต่อไปนี้

1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว
4. เรียกค่าไถ่เพื่อทำการแลกคีย์สำหรับการถอดรหัสไฟล์

 

การป้องกันด้วยเทคโนโลยี Auto Sandbox ของ Comodo ESM

ด้วยเทคโนโลยี Containment ซึ่งเป็นเทคโนโลยีเฉพาะของ Comodo ภายใต้ชื่อ Auto Sandbox นั้น จะทำให้เครื่องลูกข่ายทุกเครื่องในองค์กรทำตัวเสมือนกำลังมีระบบ Sandbox จำลองเพื่อปกป้องเครื่องลูกข่ายจากการทำงานต่างๆ ที่อาจส่งผลอันตรายต่อเครื่องลูกข่ายได้ โดย Auto Sandbox นี้จะถูกเรียกใช้งานเพื่อจัดการกับไฟล์ที่ยังไม่เป็นที่รู้จักของระบบรักษาความปลอดภัยภายในองค์กรทั้งหมดโดยอัตโนมัติ

ดังนั้นเมื่อไฟล์ Cryptolocker หรือโทรจันกลุ่ม Ransomware ใหม่ๆ ที่ยังไม่เป็นที่รู้จักถูกติดตั้งลงไปบนเครื่องลูกข่าย และไม่ถูกทำลายโดย Signature-based Antivirus รวมถึงถูกตรวจด้วยระบบ File Reputation ของ Comodo แล้วพบว่าเป็นไฟล์ใหม่ที่ยังไม่เป็นที่รู้จัก Auto Sandbox ของ Comodo จะเริ่มทำงานทันที และเมื่อมีการเรียกใช้งาน Cryptolocker หรือโทรจันกลุ่ม Ransomware ขึ้นมา เหตุการณ์จะดำเนินไปดังนี้

1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว แต่ไม่สำเร็จเนื่องจาก Cryptolocker นี้ถูกขังอยู่ภายใน Auto Sandbox ทำให้การเขียนไฟล์ต้นฉบับเหล่านี้ถูกเขียนลงไปที่ Virtual Hard Drive แทน และไฟล์ต้นฉบับจะไม่เกิดการเปลี่ยนแปลงใดๆ

การทำงานของ .exe หรือ script ที่ไม่รู้จัก จะถูกกักขังอยู่ภายใน Comodo Auto Sandbox โดยอัตโนมัติเพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นในอนาคต
การทำงานของ .exe หรือ script ที่ไม่รู้จัก จะถูกกักขังอยู่ภายใน Comodo Auto Sandbox โดยอัตโนมัติเพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นในอนาคต

4. ไฟล์ต้นฉบับทั้งหมดยังคงปลอดภัย และมีผลการเข้ารหัสถูกเก็บอยู่ภายใน Virtual Hard Drive ทำให้เจ้าหน้าทีทุกคนในองค์กรยังคงทำงานต่อไปได้ ในขณะที่ผู้ดูแลระบบรับทราบถึงการแพร่ระบาดของ Ransomware และทำการสร้าง Signature เพื่อบล็อคการทำงานได้ทันที

การเข้ารหัสไฟล์ทั้งหมดของ Cryptolocker จะถูกเขียนลงไปยัง Virtual Hard Drive และไม่มีผลกระทบใดๆ ต่อไฟล์ต้นฉบับ ทำให้พนักงานยังคงทำงานได้ตามปกติเหมือนไม่มีอะไรเกิดขึ้น
การเข้ารหัสไฟล์ทั้งหมดของ Cryptolocker จะถูกเขียนลงไปยัง Virtual Hard Drive และไม่มีผลกระทบใดๆ ต่อไฟล์ต้นฉบับ ทำให้พนักงานยังคงทำงานได้ตามปกติเหมือนไม่มีอะไรเกิดขึ้น
หน้าต่างแรกคือไฟล์ที่ถูกเข้ารหัสด้วย Cryptolocker ที่ถูกเก็บอยู่ใน Virtual Hard Drive ส่วนหน้าต่างที่สองคือไฟล์ต้นฉบับที่ไม่ได้รับผลกระทบใดๆ จาก Cryptolocker เลย
หน้าต่างแรกคือไฟล์ที่ถูกเข้ารหัสด้วย Cryptolocker ที่ถูกเก็บอยู่ใน Virtual Hard Drive ส่วนหน้าต่างที่สองคือไฟล์ต้นฉบับที่ไม่ได้รับผลกระทบใดๆ จาก Cryptolocker เลย

จะเห็นได้ว่าด้วยการทำงานลักษณะนี้ ทำให้ Ransomware ทั่วๆ ไปสามารถถูกหยุดยั้งได้ทันที รวมไปถึง Virus หรือ Worm ที่มีเป้าหมายในการทำลายไฟล์ทั้งหมดโดยไม่ทำการเข้ารหัสเลยด้วย ในขณะที่วิธีการเหล่านี้ก็ยังคงประนีประนอมให้ผู้ใช้งานทั่วๆ ไปสามารถทำงานได้โดยปกติเหมือนไม่มีอะไรเกิดขึ้นเช่นกัน

 

สำหรับ SI ที่สนใจทดสอบผลิตภัณฑ์หรือสมัครเป็น Reseller และองค์กรที่อยากทดสอบระบบรักษาความปลอดภัยของ Comodo สามารถติดต่อทีมงาน Comodo Thailand ได้ทันทีที่คุณภัทร์ธีนันท์ (เหมย) ที่เบอร์โทร 083-068-6507 หรืออีเมลล์ patteenun@comodothailand.com หรือคุณฐานวัฒน์ (ต้าร์) ที่เบอร์โทร 096-843-5145 หรืออีเมลล์ tharnawat@comodothailand.com ได้ทันที

ข้อมูลเพิ่มเติม



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

4 Session ห้ามพลาดกับ VMware Blockchain ในงาน VMworld 2020 พร้อมลุ้นรับ iPad และของรางวัลอีกมากมาย วันที่ 30 ก.ย. – 1 ต.ค. 2020

ในงาน VMworld 2020 ที่กำลังจะจัดขึ้นในวันที่ 30 ก.ย. - 1 ต.ค. 2020 นี้ ทาง VMware มี Session แยกเฉพาะสำหรับเทคโนโลยี Enterprise Blockchain เพื่อให้ผู้ที่สนใจได้เข้าไปเรียนรู้และทำแล็บกันฟรีๆ พร้อมลุ้นรับ iPad และของรางวัลอีกมากมายได้ง่ายๆ จากชุมชน VMUG Thailand โดยมีรายละเอียดการลงทะเบียนเข้าร่วมงานและทำแล็บดังนี้

[Guest Post] พร้อมแล้วหรือยัง?….. กับ Hybrid Learning ด้วยนวัตกรรมเครือข่ายเพื่อก้าวสู่ความเป็น Smart University จาก Aruba และ LannaCom

เพื่อระบบการศึกษาที่ทันสมัย มีคุณภาพ เข้าถึงได้ และมีความทั่วถึง คือความเป็น Smart University ซึ่งสามารถสร้างได้ด้วยระบบ infrastructure และ solution ระบบเครือข่ายที่ดีจาก Aruba พร้อมกับความชำนาญในตลาดการศึกษาจาก LannaCom จะเปลี่ยนประสบการณ์การศึกษาไทยให้ก้าวสู่ความเป็นสากล จะเรียนออนไลน์ จะเรียนทางไกล จะไม่ใช่ปัญหาอีกต่อไป “ระบบเครือข่ายของคุณพร้อมสำหรับการเปลี่ยนแปลงนี้หรือยัง?”