Ransomware คืออะไร ป้องกันและแก้ไขอย่างไร

23 มิถุนายน 2020

รัตน์ติกา พรมหนู
รัตน์ติกา พรมหนูทีมงานที่ดูแลด้าน Information Technology Security

Ransomware หรือ มัลแวร์เรียกค่าไถ่ ชื่อที่หลายคนอาจจะเคยได้ยินมาบ้าง หรือแม้กระทั่งบางคนเคยโดนภัย Ransomware มากับตัวเอง โดยพฤติกรรมของ Ransomware มักจะทำการ Lock file หรือ encryption file เพื่อไม่ให้เหยื่อเข้าใช้งานไฟล์ที่ถูก Lock ไว้ได้ จากนั้นจะมีข้อความเพื่อทำการเรียกค่าไถ่ข้อมูลที่ได้ Lock ไว้ หากเหยื่อยินยอมจ่ายค่าไถ่แฮกเกอร์ก็จะปลดล็อคให้ แต่ในระยะหลังเริ่มมีการขู่ว่าจะปล่อยข้อมูลสู่สาธารณะดังเช่น ในข่าว ขู่ปล่อยข้อมูล Ransomware ที่ทำมากกว่ามัลแวร์เรียกค่าไถ่ หรือ นำไปประมูลขาย เช่น ข่าว DoppelPaymer อ้างเข้าถึงข้อมูลบริษัทผู้ดูแลระบบไอทีให้กับ NASA ได้ เป็นต้น

โดยส่วนใหญ่การที่จะตกเหยื่อของ Ransomware นั้นจะมีสาเหตุมาจากการที่ผู้ใช้งานดาวน์โหลดไฟล์ผ่านทางเว็บไซต์ที่ไม่น่าเชื่อถือและเป็นอันตราย เมื่อดาวน์โหลดมาแล้วกลับได้ Ransomware มาแทน ซึ่ง โดยหลักแล้ว Ransomware มักจะมุ่งเน้นโจมตีผ่านระบบปฏิบัติการ Microsoft Windows แต่ผลของการเข้า Lock ไฟล์นั้น สามารถลามไป Online Storage ต่าง ๆ ได้ด้วย

1. วิธีการป้องกัน Ransomware สำหรับผู้ใช้งานทั่วไป (End user)

  • เมื่อพบ website, link, file ที่ไม่น่าไว้ใจ ให้รีบลบทิ้ง ไม่ควรลองคลิกดูเพื่อทดสอบว่าเป็นโปรแกรมอะไร
  • ติดตั้ง Antivirus หมั่น update และ scan อยู่เสมอ
  • ทำการ backup file สำคัญไว้หลายๆ ที่โดยเฉพาะควรสำรองข้อมูลแบบออฟไลน์ด้วย เช่น copy ไฟล์เก็บไว้ใน Harddisk หรือ แฟลชไดร์ฟ เป็นต้น

2. ในส่วนของผู้ดูแลระบบที่ต้องดูแลองค์กร (Admin)

  • ทำการ block blacklist IP จากข้อมูล Threat Intelligence เพื่อเป็นการป้องกันเบื้องต้นในการเข้าถึง Server ต่าง ๆ ที่เป็นอันตราย
  • ทำการตรวจสอบการเข้าถึงของอุปกรณ์ security โดยเปิดเฉพาะ Port ที่จำเป็นต้องใช้งานเท่านั้น
  • ทำการตั้งค่า Group Policy เช่น ไม่ให้ใช้งาน ไฟล์ที่สามารถ execution ได้ , ปิด autoplay ต่าง ๆ และกำหนดให้ติดตั้งเฉพาะ software ที่องค์กรให้ใช้งาน เท่านั้น
  • Backup file หรือ Backup ข้อมูล ควรมีการ Backup แยกอีกชุดนึง ออกจากระบบที่ใช้งานอยู่ และควรเข้ารหัสไฟล์ที่ Backup ด้วย
  • อบรมความรู้เกี่ยวกับภัยคุกคามทาง Internet เช่น ภัยที่มาจาก E-mail เป็นต้น

3. สิ่งที่ควรทำทุกเดือน (End user/Admin)

  • ตรวจสอบทุกเดือน เช่น ช่องโหว่ของ OS และ หมั่น Update Patch สม่ำเสมอ
  • กำหนดสิทธิ์การเข้าถึงไฟล์ที่สำคัญให้ได้เพียง Read-only เท่านั้น และหมั่นตรวจสอบการเข้าถึงไฟล์หรือ Folder เมื่อไม่มีการใช้งาน ให้ยกเลิกการแชร์ไฟล์ด้วย
  • ไฟล์หรือ Folder ที่สำคัญ ให้กำหนดสิทธิ์การเข้าถึงจากบุคคลภายนอกให้เพียง Read only เท่านั้น
  • Backup Backup และ Backup

ถ้าสามารถทำตาม 3 ข้อหลักดังกล่าวมาข้างต้นแล้ว ก็ถือว่าเพียงพอที่จะป้องกันและรับมือกับ Ransomware ในเบื้องต้นได้แล้วหรือต่อให้เกิดเหตุที่ไม่คาดคิดขึ้น ในส่วนของการรับมือก็จะสามารถกู้คืนข้อมูลจาก Backup เพื่อนำกลับมาใช้งานได้

ท้ายที่สุด เรื่องภัยไซเบอร์ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเมื่อเราใช้อินเทอร์เน็ตมากขึ้นก็ย่อมมีการโจมตีทางไซเบอร์เพิ่มมากขึ้นเป็นเงาตามตัวไปด้วย ถึงแม้รูปแบบวิธีการของภัยคุกคามจะมีมากมายแต่ไม่ว่าจะเป็นแบบไหน ผลของมันรุนแรงเสมอ ในฐานะผู้ใช้ และผู้ดูแลระบบการป้องกันจึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ เริ่มต้นใส่ใจเรื่อง IT Security ตั้งแต่วันนี้ เพื่อเพิ่มความปลอดภัยอย่างยั่งยืนของระบบ IT

บทความที่เกี่ยวข้อง