Breaking News

เจาะลึกการป้องกัน Cryptolocker/Ransomware ด้วยเทคโนโลยี Auto Sandbox จาก Comodo ESM

comodo_logo_h50

ในช่วงปีที่ผ่านมา การโจมตีด้วย Cryptolocker หรือโทรจันกลุ่ม Ransomware ได้กลายเป็นปัญหาที่น่าปวดหัวของเหล่าผู้ดูแลระบบทั้งหลาย บางองค์กรอาจโชคดีที่การโจมตีไม่ได้สร้างความเสียหายใดๆ มากนัก แต่บางองค์กรอาจถูกเข้ารหัสไฟล์ที่มีความสำคัญต่อการทำงานและไม่มีการสำรองไว้ จนต้องยอมจ่ายค่าไถ่ให้ผู้ที่ทำการโจมตีในที่สุด

ในบทความนี้ทางทีมงาน Comodo Thailand ได้เชิญทีมงาน TechTalkThai ไปรับชมวิธีการป้องกัน Cryptolocker และโทรจันกลุ่ม Ransomware ที่ทาง Comodo รับประกันว่าสามารถป้องกันได้ 100% กันครับ

การทำงานของ Cryptolocker และโทรจันกลุ่ม Ransomware

comodo_containment_technology

โดยปกติเมื่อ Cryptolocker และโทรจันกลุ่ม Ransomware ถูกติดตั้งลงไปยังเครื่องเป้าหมาย และเรียกใช้งานขึ้นมา จะมีขั้นตอนการทำงานดังต่อไปนี้

1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว
4. เรียกค่าไถ่เพื่อทำการแลกคีย์สำหรับการถอดรหัสไฟล์

 

การป้องกันด้วยเทคโนโลยี Auto Sandbox ของ Comodo ESM

ด้วยเทคโนโลยี Containment ซึ่งเป็นเทคโนโลยีเฉพาะของ Comodo ภายใต้ชื่อ Auto Sandbox นั้น จะทำให้เครื่องลูกข่ายทุกเครื่องในองค์กรทำตัวเสมือนกำลังมีระบบ Sandbox จำลองเพื่อปกป้องเครื่องลูกข่ายจากการทำงานต่างๆ ที่อาจส่งผลอันตรายต่อเครื่องลูกข่ายได้ โดย Auto Sandbox นี้จะถูกเรียกใช้งานเพื่อจัดการกับไฟล์ที่ยังไม่เป็นที่รู้จักของระบบรักษาความปลอดภัยภายในองค์กรทั้งหมดโดยอัตโนมัติ

ดังนั้นเมื่อไฟล์ Cryptolocker หรือโทรจันกลุ่ม Ransomware ใหม่ๆ ที่ยังไม่เป็นที่รู้จักถูกติดตั้งลงไปบนเครื่องลูกข่าย และไม่ถูกทำลายโดย Signature-based Antivirus รวมถึงถูกตรวจด้วยระบบ File Reputation ของ Comodo แล้วพบว่าเป็นไฟล์ใหม่ที่ยังไม่เป็นที่รู้จัก Auto Sandbox ของ Comodo จะเริ่มทำงานทันที และเมื่อมีการเรียกใช้งาน Cryptolocker หรือโทรจันกลุ่ม Ransomware ขึ้นมา เหตุการณ์จะดำเนินไปดังนี้

1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว แต่ไม่สำเร็จเนื่องจาก Cryptolocker นี้ถูกขังอยู่ภายใน Auto Sandbox ทำให้การเขียนไฟล์ต้นฉบับเหล่านี้ถูกเขียนลงไปที่ Virtual Hard Drive แทน และไฟล์ต้นฉบับจะไม่เกิดการเปลี่ยนแปลงใดๆ

การทำงานของ .exe หรือ script ที่ไม่รู้จัก จะถูกกักขังอยู่ภายใน Comodo Auto Sandbox โดยอัตโนมัติเพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นในอนาคต
การทำงานของ .exe หรือ script ที่ไม่รู้จัก จะถูกกักขังอยู่ภายใน Comodo Auto Sandbox โดยอัตโนมัติเพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นในอนาคต

4. ไฟล์ต้นฉบับทั้งหมดยังคงปลอดภัย และมีผลการเข้ารหัสถูกเก็บอยู่ภายใน Virtual Hard Drive ทำให้เจ้าหน้าทีทุกคนในองค์กรยังคงทำงานต่อไปได้ ในขณะที่ผู้ดูแลระบบรับทราบถึงการแพร่ระบาดของ Ransomware และทำการสร้าง Signature เพื่อบล็อคการทำงานได้ทันที

การเข้ารหัสไฟล์ทั้งหมดของ Cryptolocker จะถูกเขียนลงไปยัง Virtual Hard Drive และไม่มีผลกระทบใดๆ ต่อไฟล์ต้นฉบับ ทำให้พนักงานยังคงทำงานได้ตามปกติเหมือนไม่มีอะไรเกิดขึ้น
การเข้ารหัสไฟล์ทั้งหมดของ Cryptolocker จะถูกเขียนลงไปยัง Virtual Hard Drive และไม่มีผลกระทบใดๆ ต่อไฟล์ต้นฉบับ ทำให้พนักงานยังคงทำงานได้ตามปกติเหมือนไม่มีอะไรเกิดขึ้น
หน้าต่างแรกคือไฟล์ที่ถูกเข้ารหัสด้วย Cryptolocker ที่ถูกเก็บอยู่ใน Virtual Hard Drive ส่วนหน้าต่างที่สองคือไฟล์ต้นฉบับที่ไม่ได้รับผลกระทบใดๆ จาก Cryptolocker เลย
หน้าต่างแรกคือไฟล์ที่ถูกเข้ารหัสด้วย Cryptolocker ที่ถูกเก็บอยู่ใน Virtual Hard Drive ส่วนหน้าต่างที่สองคือไฟล์ต้นฉบับที่ไม่ได้รับผลกระทบใดๆ จาก Cryptolocker เลย

จะเห็นได้ว่าด้วยการทำงานลักษณะนี้ ทำให้ Ransomware ทั่วๆ ไปสามารถถูกหยุดยั้งได้ทันที รวมไปถึง Virus หรือ Worm ที่มีเป้าหมายในการทำลายไฟล์ทั้งหมดโดยไม่ทำการเข้ารหัสเลยด้วย ในขณะที่วิธีการเหล่านี้ก็ยังคงประนีประนอมให้ผู้ใช้งานทั่วๆ ไปสามารถทำงานได้โดยปกติเหมือนไม่มีอะไรเกิดขึ้นเช่นกัน

 

สำหรับ SI ที่สนใจทดสอบผลิตภัณฑ์หรือสมัครเป็น Reseller และองค์กรที่อยากทดสอบระบบรักษาความปลอดภัยของ Comodo สามารถติดต่อทีมงาน Comodo Thailand ได้ทันทีที่คุณภัทร์ธีนันท์ (เหมย) ที่เบอร์โทร 083-068-6507 หรืออีเมลล์ patteenun@comodothailand.com หรือคุณฐานวัฒน์ (ต้าร์) ที่เบอร์โทร 096-843-5145 หรืออีเมลล์ tharnawat@comodothailand.com ได้ทันที

ข้อมูลเพิ่มเติม



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Sale Force Management (SFA) ระบบสนับสนุนการขาย HotProfile

หากคุณกำลังมองหาเครื่องมือสนับสนุนการขาย “HotProfile” เป็นระบบที่ช่วยจัดการฐานข้อมูลลูกค้า ครอบคลุมทั้งการขาย การตลาด การเงิน และความสัมพันธ์กับลูกค้า ระบบการจัดการนามบัตรด้วยนวัฒกรรมชั้นสูง เป็นเครื่องมือสนับสนุนการขายแบบบูรณาการ เพื่อสนับสนุนการขาย ซึ่งประกอบด้วยคู่ค้าทางธุรกิจตามนามบัตร รวมทั้งยังสามารถวิเคราะห์พัฒนา SFA (Sales Force …

Dell’Oro Group เผย Huawei ครองตลาด Wi-Fi 6 เป็นอันดับ 1 ของโลก

Dell’Oro Group ผู้นำด้านการวิเคราะห์และวิจัยตลาดระดับโลก ออกรายงานข้อมูลส่วนแบ่งการตลาด Access Point แบบใช้งานภายในอาคารมาตรฐาน Wi-Fi 6 ทั่วโลกในช่วงระหว่างไตรมาสที่ 3 ของปี 2018 ถึงไตรมาสที่ 3 …