นอกจากไวรัสโควิดที่กำลังระบาดหนักอยู่ตอนนี้ทั่วโลก ไวรัสอีกตัวก็กำลังระบาดอยู่บนโลกอีกมิติหนึ่งที่เชื่อมต่อกันด้วยสายแลนและไวไฟ(WiFi) นั่นก็คือ Ransomware เมื่อพูดถึง Ransomware เชื่อว่าชาวโรงแรมหลายๆคนคงเคยได้ยินหรืออาจเคยเจอกับตัวเองมาแล้วด้วยซ้ำ ซึ่งช่วงหลังๆมานี้เจ้า Ransomware ได้กลายมาเป็นประเด็นใหญ่ในแวดวง IT Security ในบ้านเราไปเรียบร้อยแล้ว
เนื่องด้วยความเสียหายที่เกิดจากมันนั้นมีมากมายเหลือเกิน ไม่ว่าจะความเสียหายทางการเงิน การดำเนินธุรกิจ ข้อมูลที่มีค่าของธุรกิจ หรือ แม้แต่กำลังใจที่ถูกบั่นทอน มีข่าวมากมายที่ธุรกิจที่มีชื่อเสียงหลายแห่งถูก Ransomware โจมตีและต้องเสียเงินจำนวนมากเป็นค่าไถ่ข้อมูลที่ถูกขโมยไป ซึ่งไม่มีอะไรการันตีว่าเมื่อเสียค่าไถ่ให้แฮ็กเกอร์ไปแล้วจะได้ข้อมูลคืนเสมอไป ด้วยความที่มันอันตรายขนาดนี้ ในบทความนี้เราจะมาทำความรู้จักกับมันเพื่อหาวิธีป้องกันและรับมือกับเจ้า Ransomware ตัวร้ายนี่กัน
ประเด็นหลักเกี่ยวกับ Ransomware
1. Ransomwareคืออะไร
2. ประวัติของ Ransomware
3. ใครคือเป้าหมายของมัน
4. ติดRansomwareได้อย่างไร และ อาการเมื่อติดเชื้อแล้วเป็นอย่างไร
5. วิธีการป้องกัน
6. วิธีแก้ไขเมื่อติด Ransomware
7. ควรจ่ายค่าไถ่ข้อมูลหรือไม่
1. Ransomwareคืออะไร
Ransomware คือ Malwareชนิดหนึ่งซึ่งเป็นซอฟต์แวร์ที่ถูกออกแบบมาโดยผู้ไม่หวังดีเพื่อสร้างความเสียหายกับระบบคอมพิวเตอร์ของคุณด้วยการทำให้ติดเชื้อ ซึ่งเป้าหมายของมันคือการทำให้คอมพิวเตอร์ของคุณติดRansomwareเพื่อทำการเรียกค่าไถ่ โดยสิ่งที่มันทำหลักๆก็คือ การล็อกคอมพิวเตอร์ให้ไม่สามารถใช้การได้ หรือ การเข้ารหัสไฟล์สำคัญๆเพื่อไม่ให้เข้าถึงได้ถ้าไม่มีรหัสผ่าน เมื่อติดเชื้อแล้วมิจฉาชีพจะบอกขั้นตอนว่าเราจะต้องทำอย่างไรต่อไปเพื่อกู้ข้อมูลกลับคืนมา เช่น วิธีการจ่ายเงินค่าไถ่ด้วยBitcoin หรือ วิธีการติดต่อเพื่อดำเนินการ
2. ประวัติของ Ransomware
กรณีแรกของ Ransomware เกิดขึ้นในปี 2005 ที่ประเทศรัสเซีย อย่างไรก็ตามตั้งแต่นั้นมาRansomwareได้แพร่กระจายไปทั่วโลก โดย Ransomware ประเภทใหม่ๆยังคงความสามารถในการโจมตีเหยื่อรายใหม่ได้อยู่เรื่อยๆ ในเดือนกันยายน 2013 Ransomware ชื่อ “CryptoLocker” ซึ่งเป็นไวรัสตัวใหม่ ณ ขณะนั้น ได้ล็อกเป้าหมายไปที่ผู้ใช้ระบบปฏิบัติการ Windows ทุกเวอร์ชั่น ซึ่งก็ประสบความสำเร็จในการแพร่เชื้อไวรัสแก่คอมพิวเตอร์ทั้งในเครื่องที่ใช้งานแบบส่วนบุคคล และ แบบธุรกิจ เป็นจำนวนหลายแสนเครื่อง
วิธีของมันคือการทำให้เหยื่อเปิดอีเมลโดยไม่รู้ตัวโดยแอบอ้างว่าเป็นอีเมลจากฝ่ายบริการสนับสนุนลูกค้าจาก FedEx, UPS, DHS และ บริษัท อื่น ๆ เมื่อติดไวรัสแล้ว ตัวจับเวลาบนหน้าจอของมัลแวร์จะเรียกร้องให้มีการจ่ายเงินเฉลี่ย 300 ดอลลาร์ภายใน 72 ชั่วโมง เพื่อไถ่ไฟล์คืน ทีมตอบโต้เหตุฉุกเฉินทางคอมพิวเตอร์ของสหรัฐอเมริกาเตือนว่ามัลแวร์มีความสามารถในการแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง และ แนะนำให้ผู้ใช้คอมพิวเตอร์ที่ติดไวรัสนำเครื่องที่ติดไวรัสออกจากเครือข่ายทันทีเพื่อป้องกันการแพร่กระจายไปสู่เครื่องอื่นๆที่อยู่ในระบบเดียวกัน
ณ ปัจจุบัน ก็ยังมี Ransomware ตัวใหม่ๆถูกพัฒนาขึ้นมาอยู่เรื่อยๆโดยแต่ละตัวก็มีความสามารถในการเจาะผ่านการป้องกันที่เก่งขึ้น หรือการเข้ารหัสที่ซับซ้อนมากขึ้นและยากต่อการถอดรหัส
3. ใครคือเป้าหมายของมัน
เป้าหมายหลักของผู้โจมตีด้วยRansomware ส่วนใหญ่จะเป็นเหยื่อในระดับองค์กรมากกว่าบุคคล นั่นรวมไปถึงทั้งองค์กรที่เป็นของรัฐและเอกชนด้วย ยิ่งองค์กรที่ต้องพึ่งพาข้อมูลในการดำเนินกิจการสูงด้วยแล้ว อย่างเช่น โรงพยาบาล หน่วยงานของรัฐ หรือ แม้แต่โรงแรมเอง ยิ่งเพิ่มความเสี่ยงในการตกเป็นเป้าหมายของผู้โจมตีด้วยRansomware แต่ไม่ได้แปลว่าธุรกิจที่ความเสี่ยงต่ำจะไม่ต้องระวังตัว เพราะมันแพร่กระจายแบบอัตโนมัติโดยไม่เลือกหน้า
4. ติดRansomwareได้อย่างไร และ อาการเมื่อติดเชื้อแล้วเป็นอย่างไร
วิธีแพร่เชื้อที่พบเจอได้บ่อยก็คือการแพร่เชื้อผ่านอีเมลฟิชชิ่ง(Phishing) โดยการหลอกให้ผู้ที่ได้รับอีเมลทำการเปิดไฟล์ที่ดูน่าเชื่อถือ ซึ่งเมื่อเปิดแล้วไวรัสก็จะเข้าไปฝังตัวในเครื่องที่ใช้เปิดไฟล์ลวงทันที Ransomwareบางตัวอาจใช้วิธีที่ร้ายแรงกว่านั้นคือการเจาะผ่านช่องโหว่ในระบบรักษาความปลอดภัยโดยตรงโดยไม่ต้องใช้วิธีหลอกล่อผู้ใช้งานเลยก็ได้
อาการเมื่อติด Ransomware
เมื่อติดแล้ว ไฟล์ของคุณจะถูกล็อกโดยการเข้ารหัส(Encrypt) ซึ่งแน่นอนคุณจะไม่สามารถทำอะไรกับไฟล์นั้นได้เลย โดยการถอดรหัสนั้นแทบจะเป็นไปไม่ได้ถ้าไม่มีเครื่องมือถอดรหัสที่สร้างขึ้นโดยผู้โจมตี
จากนั้นผู้ติดเชื้อจะได้รับข้อความที่แสดงให้รู้ว่าไฟล์ต่างๆในเครื่องนั้นๆถูกล็อกและเข้ารหัสหรือติดเชื้อแล้ว และจะต้องจ่ายเงินให้ผู้โจมตีเพื่อทำการปลดล็อกไฟล์ให้กลับมาใช้งานได้ดังเดิม
ช่องทางการจ่ายเงินที่ผู้โจมตีเลือกใช้คือช่องทางที่แกะรอยไม่ได้ เช่น การจ่ายเงินผ่านสกุลเงินดิจิตัลอย่าง Bitcoin เป็นต้น
อาการในแต่ละรายอาจแตกต่างกันไปในรายละเอียด แต่ก็ไม่ได้แตกต่างไปมากกว่านี้ซักเท่าไหร่นัก
5. วิธีการป้องกัน
การป้องกัน Ransomware นั้นมีหลายวิธี ทั้งการป้องกันที่ต้องเกิดจากฝั่งผู้ใช้และฝั่งอุปกรณ์ การป้องกันด้วยวิธีใดวิธีหนึ่งนั้นไม่อาจป้องกันRansomwareได้อย่างมีประสิทธิภาพ ฉนั้นโรงแรมจึงควรทำการป้องกันอย่างบูรณาการโดยการปรับใช้วิธีป้องกันหลายๆอย่างเข้าด้วยกันเพื่อปิดกั้นช่องโหว่ในการป้องกัน และ ปิดความเป็นไปได้ในการโจมตีของRansomwareให้ได้มากที่สุด วิธีต่อไปนี้คือคำแนะนำทั่วไปในการป้องกัน Ransomware ที่ Smart Finder อยากให้ชาวโรงแรมลองเอาไปทำตาม
• ควรตรวจสอบว่า Firewall ได้เปิดอยู่ทุกครั้งที่ใช้งาน
• ไม่เข้าเว็บไซต์ที่ไม่เกี่ยวข้องกับงาน โดยเฉพาะอย่างยิ่งเว็บไซต์ที่ไม่น่าเชื่อถือ
• ระมัดระวังในการเปิดอ่านอีเมล์ที่น่าสงสัย และ ไม่ควรเปิดไฟล์ใดๆโดยไม่ได้รับการยืนยันตัวจากผู้ส่ง
• ติดตั้งระบบป้องกันไวรัสจากบริษัทที่น่าเชื่อถือ
• ไม่ติดตั้งโปรแกรมอื่นๆนอกเหนือจากโปรแกรมที่ผู้ดูแลระบบทำการติดตั้งให้โดยไม่ได้รับอนุญาต
• จำกัดสิทธิ์ผู้ใช้งานเป็นระดับต่ำเพื่อป้องกันไม่ให้ผู้ใช้สร้างความผิดพลาดโดยพลการ
• หมั่นสำรองข้อมูล(Backup)บ่อยๆ หรือ ใช้วิธีกำหนดตารางสำรองข้อมูลแบบอัตโนมัติ
ทำตามง่ายๆแค่นี้ โรงแรมของคุณก็จะปลอดภัยจาก Ransomware มากกว่าเดิมแล้วล่ะ แต่ทั้งนี้ทั้งนั้น วิธีข้างต้นเป็นเพียงวิธีป้องกันทั่วไปซึ่งโรงแรมควรพัฒนาวิธีป้องกันเพิ่มเติมเพื่อยกระดับการป้องกันให้มีประสิทธิภาพยิ่งขึ้นในอนาคต เช่น การจัดอบรมให้แก่ผู้ใช้งานระบบทุกคนเกี่ยวกับความปลอดภัยทางไอที เป็นต้น
6. วิธีแก้ไขเมื่อติด Ransomware
เมื่อป้องกันแล้วก็ยังติด คงหนีไม่พ้นที่เราต้องแก้ไขมัน เรามี4วิธีมาแนะนำเมื่อรู้ว่าโรงแรมของคุณโดนRansomwareเล่นงานเข้าแล้ว
1. ตัดเครื่องที่ติดออกจากวงโคจรทันที
เมื่อติดRansomwareแล้ว คุณควรจะตัดเครื่องที่ติดรวมถึงเครื่องอื่นๆที่อยู่ในเน็ตเวิร์คเดียวกันออกทันทีเพื่อไม่ให้เชื้อแพร่ไปยังวงเน็ตเวิร์คอื่นๆได้ นี่ยังรวมไปถึงอุปกรณ์ต่างๆอย่างเช่น แฟลชไดร์ฟ แชร์ไดร์ฟ หรือ บัญชีเก็บข้อมูลบนคลาวด์
2. ค้นหาชนิดRansomwareที่ติด
Ransomwareนั้นมีหลายพันธ์ เราต้องรู้ว่าตัวที่ติดเครื่องคุณนั้นเป็นพันธ์อะไรเพื่อหาวิธีกำจัดต่อไป พันธ์หลักๆที่มักจะพบเจอบ่อย เช่น
– พันธ์ที่เข้ารหัสไฟล์ เช่น WannaCry
– พันธ์ที่ล็อกหน้าจอไม่ให้ใช้งานได้ เช่น ScreenLockers
วิธีที่จะรู้ว่าพันธ์Ransomwareที่เราติดเป็นชนิดไหน สามารถเช็คได้โดย
- ใช้เครื่องมือที่ชื่อว่า Crypto Sheriff ซึ่งเป็นเครื่องมือที่พัฒนาโดยหน่วยงานระดับโลกอย่าง Europol’s European Cybercrime Center
- ตั้งกระทู้ถามผู้รู้ในฟอรั่มไอทีชื่อดัง เช่น reddit(r/Ransomware) หรือ Microsoft Community
3. ลบRansomwareออกจากเครื่อง
หลังจากทำตามขั้นตอนข้อที่1และ2แล้ว ก็ได้เวลาลบRansomwareออกจากเครื่อง ซึ่งสามารถทำได้โดย
- ใช้โปรแกรมAnti VirusในการลบRansomware
- Ransomwareบางชนิดจะทำการลบตัวเองเมื่อเข้ารหัสไฟล์เหยื่อเสร็จแล้ว
- ทำการFormatเครื่องใหม่ทั้งหมด
4. กู้ไฟล์คืน
- กู้ข้อมูลจากBackup(Restore) ถ้าคุณได้ทำตามข้อแนะนำในการป้องกันในข้อ5 ก็ไม่มีอะไรต้องกลัว เพราะเราสามารถBackupข้อมูลกลับมาได้ตลอดโดยไม่ต้องเสียเงินค่าไถ่ให้แฮ็คเกอร์
- ใช้เครื่องมือถอดรหัส ถ้าหากไม่ได้ทำการสำรองข้อมูลเอาไว้ สิ่งที่สามารถทำได้คือใช้ตัวช่วยถอดรหัสไฟล์จากผู้พัฒนาโปรแกรมแอนตี้ไวรัสต่างๆในตลาด แต่ในกรณีนี้โปรแกรมสามารถถอดรหัสได้เพียงRansomwareที่ถูกถอดรหัสได้แล้วเท่านั้น ข้อเสียคือถ้าติดRansomwareที่ยังไม่มีคนถอดรหัสได้ ก็ไม่สามารถกู้ข้อมูลคืนมาได้ หรือคุณอาจจะรอจนกว่าจะมีเวอร์ชั่นใหม่ๆที่สามารถถอดรหัสได้แล้วก็ได้ซึ่งไม่แน่นอนว่าจะสามารถทำได้เมื่อไหร่
7. ควรจ่ายค่าไถ่ข้อมูลหรือไม่
เรื่องนี้เป็นเรื่องที่หลายคนสงสัยว่าเราควรจะจ่ายค่าไถ่ข้อมูลให้ผู้โจมตีเราหรือไม่ ก่อนอื่นเลย การจะจ่ายค่าไถ่ข้อมูลให้กับผู้โจมตีซึ่งในที่นี้ก็คือมิจฉาชีพ ความเสี่ยงก็คือการที่เมื่อเราจ่ายไปแล้ว มิจฉาชีพอาจจะหายไปเลยก็ได้ หรือ อาจจะส่งตัวถอดรหัสที่ใช้ไม่ได้มาให้เราก็เป็นได้ ซึ่งขึ้นชื่อว่ามิจฉาชีพแล้วย่อมไม่อาจเชื่อถือได้อยู่แล้ว แต่ทั้งนี้ทั้งนั้นก็ขึ้นอยู่กับความคุ้มค่าว่าถ้าเรายอมเสี่ยงในการจ่ายค่าไถ่ซึ่งอาจสูญเปล่า เพื่อแลกกับข้อมูลที่มีมูลค่ามากกว่าค่าไถ่หลายเท่า นี่เป็นสิ่งที่ต้องตัดสินใจให้ดีและรอบคอบ
แต่โปรดจำไว้ว่าก่อนจะจ่ายค่าไถ่ให้กับมิจฉาชีพ คุณควรตรวจสอบให้แน่ใจก่อนว่ามัลแวร์ที่คุณติดนั้นเป็นRansomwareจริงๆที่มีการเข้ารหัสไฟล์ หรือ เป็นแค่Scarewareซึ่งไม่ได้ทำการเข้ารหัสข้อมูลใดๆกับไฟล์ของคุณเลย เพียงแต่ทำเหมือนว่าคุณถูกRansomwareเล่นงานเข้าแล้วเท่านั้น
อ้างอิง
https://www.csoonline.com/article/3236183/what-is-ransomware-how-it-works-and-how-to-remove-it.html
https://www.kaspersky.com/resource-center/definitions/what-is-ransomware
https://www.avast.com/c-how-to-remove-ransomware-pc
http://www.edgewoodnetworks.com/solutions.html
https://vnexplorer.net/ip-addresses-in-virus-infected-computer-networks-decrease-sharply-a2020109840.html