รวมทุกคำตอบเกี่ยวกับ Ransomware

นอกจากไวรัสโควิดที่กำลังระบาดหนักอยู่ตอนนี้ทั่วโลก ไวรัสอีกตัวก็กำลังระบาดอยู่บนโลกอีกมิติหนึ่งที่เชื่อมต่อกันด้วยสายแลนและไวไฟ(WiFi) นั่นก็คือ Ransomware เมื่อพูดถึง Ransomware เชื่อว่าชาวโรงแรมหลายๆคนคงเคยได้ยินหรืออาจเคยเจอกับตัวเองมาแล้วด้วยซ้ำ ซึ่งช่วงหลังๆมานี้เจ้า Ransomware ได้กลายมาเป็นประเด็นใหญ่ในแวดวง IT Security ในบ้านเราไปเรียบร้อยแล้ว

เนื่องด้วยความเสียหายที่เกิดจากมันนั้นมีมากมายเหลือเกิน ไม่ว่าจะความเสียหายทางการเงิน การดำเนินธุรกิจ ข้อมูลที่มีค่าของธุรกิจ หรือ แม้แต่กำลังใจที่ถูกบั่นทอน มีข่าวมากมายที่ธุรกิจที่มีชื่อเสียงหลายแห่งถูก Ransomware โจมตีและต้องเสียเงินจำนวนมากเป็นค่าไถ่ข้อมูลที่ถูกขโมยไป ซึ่งไม่มีอะไรการันตีว่าเมื่อเสียค่าไถ่ให้แฮ็กเกอร์ไปแล้วจะได้ข้อมูลคืนเสมอไป ด้วยความที่มันอันตรายขนาดนี้ ในบทความนี้เราจะมาทำความรู้จักกับมันเพื่อหาวิธีป้องกันและรับมือกับเจ้า Ransomware ตัวร้ายนี่กัน

ประเด็นหลักเกี่ยวกับ Ransomware

1. Ransomwareคืออะไร
2. ประวัติของ Ransomware
3. ใครคือเป้าหมายของมัน
4. ติดRansomwareได้อย่างไร และ อาการเมื่อติดเชื้อแล้วเป็นอย่างไร
5. วิธีการป้องกัน
6. วิธีแก้ไขเมื่อติด Ransomware
7. ควรจ่ายค่าไถ่ข้อมูลหรือไม่

1. Ransomwareคืออะไร

Ransomware คือ Malwareชนิดหนึ่งซึ่งเป็นซอฟต์แวร์ที่ถูกออกแบบมาโดยผู้ไม่หวังดีเพื่อสร้างความเสียหายกับระบบคอมพิวเตอร์ของคุณด้วยการทำให้ติดเชื้อ ซึ่งเป้าหมายของมันคือการทำให้คอมพิวเตอร์ของคุณติดRansomwareเพื่อทำการเรียกค่าไถ่ โดยสิ่งที่มันทำหลักๆก็คือ การล็อกคอมพิวเตอร์ให้ไม่สามารถใช้การได้ หรือ การเข้ารหัสไฟล์สำคัญๆเพื่อไม่ให้เข้าถึงได้ถ้าไม่มีรหัสผ่าน เมื่อติดเชื้อแล้วมิจฉาชีพจะบอกขั้นตอนว่าเราจะต้องทำอย่างไรต่อไปเพื่อกู้ข้อมูลกลับคืนมา เช่น วิธีการจ่ายเงินค่าไถ่ด้วยBitcoin หรือ วิธีการติดต่อเพื่อดำเนินการ

2. ประวัติของ Ransomware

กรณีแรกของ Ransomware เกิดขึ้นในปี 2005 ที่ประเทศรัสเซีย อย่างไรก็ตามตั้งแต่นั้นมาRansomwareได้แพร่กระจายไปทั่วโลก โดย Ransomware ประเภทใหม่ๆยังคงความสามารถในการโจมตีเหยื่อรายใหม่ได้อยู่เรื่อยๆ ในเดือนกันยายน 2013 Ransomware ชื่อ “CryptoLocker” ซึ่งเป็นไวรัสตัวใหม่ ณ ขณะนั้น ได้ล็อกเป้าหมายไปที่ผู้ใช้ระบบปฏิบัติการ Windows ทุกเวอร์ชั่น ซึ่งก็ประสบความสำเร็จในการแพร่เชื้อไวรัสแก่คอมพิวเตอร์ทั้งในเครื่องที่ใช้งานแบบส่วนบุคคล และ แบบธุรกิจ เป็นจำนวนหลายแสนเครื่อง

วิธีของมันคือการทำให้เหยื่อเปิดอีเมลโดยไม่รู้ตัวโดยแอบอ้างว่าเป็นอีเมลจากฝ่ายบริการสนับสนุนลูกค้าจาก FedEx, UPS, DHS และ บริษัท อื่น ๆ เมื่อติดไวรัสแล้ว ตัวจับเวลาบนหน้าจอของมัลแวร์จะเรียกร้องให้มีการจ่ายเงินเฉลี่ย 300 ดอลลาร์ภายใน 72 ชั่วโมง เพื่อไถ่ไฟล์คืน ทีมตอบโต้เหตุฉุกเฉินทางคอมพิวเตอร์ของสหรัฐอเมริกาเตือนว่ามัลแวร์มีความสามารถในการแพร่กระจายจากเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง และ แนะนำให้ผู้ใช้คอมพิวเตอร์ที่ติดไวรัสนำเครื่องที่ติดไวรัสออกจากเครือข่ายทันทีเพื่อป้องกันการแพร่กระจายไปสู่เครื่องอื่นๆที่อยู่ในระบบเดียวกัน

ณ ปัจจุบัน ก็ยังมี Ransomware ตัวใหม่ๆถูกพัฒนาขึ้นมาอยู่เรื่อยๆโดยแต่ละตัวก็มีความสามารถในการเจาะผ่านการป้องกันที่เก่งขึ้น หรือการเข้ารหัสที่ซับซ้อนมากขึ้นและยากต่อการถอดรหัส

3. ใครคือเป้าหมายของมัน

เป้าหมายหลักของผู้โจมตีด้วยRansomware ส่วนใหญ่จะเป็นเหยื่อในระดับองค์กรมากกว่าบุคคล นั่นรวมไปถึงทั้งองค์กรที่เป็นของรัฐและเอกชนด้วย ยิ่งองค์กรที่ต้องพึ่งพาข้อมูลในการดำเนินกิจการสูงด้วยแล้ว อย่างเช่น โรงพยาบาล หน่วยงานของรัฐ หรือ แม้แต่โรงแรมเอง ยิ่งเพิ่มความเสี่ยงในการตกเป็นเป้าหมายของผู้โจมตีด้วยRansomware แต่ไม่ได้แปลว่าธุรกิจที่ความเสี่ยงต่ำจะไม่ต้องระวังตัว เพราะมันแพร่กระจายแบบอัตโนมัติโดยไม่เลือกหน้า

4. ติดRansomwareได้อย่างไร และ อาการเมื่อติดเชื้อแล้วเป็นอย่างไร

วิธีแพร่เชื้อที่พบเจอได้บ่อยก็คือการแพร่เชื้อผ่านอีเมลฟิชชิ่ง(Phishing) โดยการหลอกให้ผู้ที่ได้รับอีเมลทำการเปิดไฟล์ที่ดูน่าเชื่อถือ ซึ่งเมื่อเปิดแล้วไวรัสก็จะเข้าไปฝังตัวในเครื่องที่ใช้เปิดไฟล์ลวงทันที Ransomwareบางตัวอาจใช้วิธีที่ร้ายแรงกว่านั้นคือการเจาะผ่านช่องโหว่ในระบบรักษาความปลอดภัยโดยตรงโดยไม่ต้องใช้วิธีหลอกล่อผู้ใช้งานเลยก็ได้

อาการเมื่อติด Ransomware

เมื่อติดแล้ว ไฟล์ของคุณจะถูกล็อกโดยการเข้ารหัส(Encrypt) ซึ่งแน่นอนคุณจะไม่สามารถทำอะไรกับไฟล์นั้นได้เลย โดยการถอดรหัสนั้นแทบจะเป็นไปไม่ได้ถ้าไม่มีเครื่องมือถอดรหัสที่สร้างขึ้นโดยผู้โจมตี
จากนั้นผู้ติดเชื้อจะได้รับข้อความที่แสดงให้รู้ว่าไฟล์ต่างๆในเครื่องนั้นๆถูกล็อกและเข้ารหัสหรือติดเชื้อแล้ว และจะต้องจ่ายเงินให้ผู้โจมตีเพื่อทำการปลดล็อกไฟล์ให้กลับมาใช้งานได้ดังเดิม

ช่องทางการจ่ายเงินที่ผู้โจมตีเลือกใช้คือช่องทางที่แกะรอยไม่ได้ เช่น การจ่ายเงินผ่านสกุลเงินดิจิตัลอย่าง Bitcoin เป็นต้น
อาการในแต่ละรายอาจแตกต่างกันไปในรายละเอียด แต่ก็ไม่ได้แตกต่างไปมากกว่านี้ซักเท่าไหร่นัก

5. วิธีการป้องกัน

การป้องกัน Ransomware นั้นมีหลายวิธี ทั้งการป้องกันที่ต้องเกิดจากฝั่งผู้ใช้และฝั่งอุปกรณ์ การป้องกันด้วยวิธีใดวิธีหนึ่งนั้นไม่อาจป้องกันRansomwareได้อย่างมีประสิทธิภาพ ฉนั้นโรงแรมจึงควรทำการป้องกันอย่างบูรณาการโดยการปรับใช้วิธีป้องกันหลายๆอย่างเข้าด้วยกันเพื่อปิดกั้นช่องโหว่ในการป้องกัน และ ปิดความเป็นไปได้ในการโจมตีของRansomwareให้ได้มากที่สุด วิธีต่อไปนี้คือคำแนะนำทั่วไปในการป้องกัน Ransomware ที่ Smart Finder อยากให้ชาวโรงแรมลองเอาไปทำตาม

• ควรตรวจสอบว่า Firewall ได้เปิดอยู่ทุกครั้งที่ใช้งาน
• ไม่เข้าเว็บไซต์ที่ไม่เกี่ยวข้องกับงาน โดยเฉพาะอย่างยิ่งเว็บไซต์ที่ไม่น่าเชื่อถือ
• ระมัดระวังในการเปิดอ่านอีเมล์ที่น่าสงสัย และ ไม่ควรเปิดไฟล์ใดๆโดยไม่ได้รับการยืนยันตัวจากผู้ส่ง
• ติดตั้งระบบป้องกันไวรัสจากบริษัทที่น่าเชื่อถือ
• ไม่ติดตั้งโปรแกรมอื่นๆนอกเหนือจากโปรแกรมที่ผู้ดูแลระบบทำการติดตั้งให้โดยไม่ได้รับอนุญาต
• จำกัดสิทธิ์ผู้ใช้งานเป็นระดับต่ำเพื่อป้องกันไม่ให้ผู้ใช้สร้างความผิดพลาดโดยพลการ
• หมั่นสำรองข้อมูล(Backup)บ่อยๆ หรือ ใช้วิธีกำหนดตารางสำรองข้อมูลแบบอัตโนมัติ

ทำตามง่ายๆแค่นี้ โรงแรมของคุณก็จะปลอดภัยจาก Ransomware มากกว่าเดิมแล้วล่ะ แต่ทั้งนี้ทั้งนั้น วิธีข้างต้นเป็นเพียงวิธีป้องกันทั่วไปซึ่งโรงแรมควรพัฒนาวิธีป้องกันเพิ่มเติมเพื่อยกระดับการป้องกันให้มีประสิทธิภาพยิ่งขึ้นในอนาคต เช่น การจัดอบรมให้แก่ผู้ใช้งานระบบทุกคนเกี่ยวกับความปลอดภัยทางไอที เป็นต้น

6. วิธีแก้ไขเมื่อติด Ransomware

เมื่อป้องกันแล้วก็ยังติด คงหนีไม่พ้นที่เราต้องแก้ไขมัน เรามี4วิธีมาแนะนำเมื่อรู้ว่าโรงแรมของคุณโดนRansomwareเล่นงานเข้าแล้ว

1. ตัดเครื่องที่ติดออกจากวงโคจรทันที

เมื่อติดRansomwareแล้ว คุณควรจะตัดเครื่องที่ติดรวมถึงเครื่องอื่นๆที่อยู่ในเน็ตเวิร์คเดียวกันออกทันทีเพื่อไม่ให้เชื้อแพร่ไปยังวงเน็ตเวิร์คอื่นๆได้ นี่ยังรวมไปถึงอุปกรณ์ต่างๆอย่างเช่น แฟลชไดร์ฟ แชร์ไดร์ฟ หรือ บัญชีเก็บข้อมูลบนคลาวด์

2. ค้นหาชนิดRansomwareที่ติด

Ransomwareนั้นมีหลายพันธ์ เราต้องรู้ว่าตัวที่ติดเครื่องคุณนั้นเป็นพันธ์อะไรเพื่อหาวิธีกำจัดต่อไป พันธ์หลักๆที่มักจะพบเจอบ่อย เช่น
– พันธ์ที่เข้ารหัสไฟล์ เช่น WannaCry
– พันธ์ที่ล็อกหน้าจอไม่ให้ใช้งานได้ เช่น ScreenLockers

วิธีที่จะรู้ว่าพันธ์Ransomwareที่เราติดเป็นชนิดไหน สามารถเช็คได้โดย

ใช้เครื่องมือที่ชื่อว่า Crypto Sheriff ซึ่งเป็นเครื่องมือที่พัฒนาโดยหน่วยงานระดับโลกอย่าง Europol’s European Cybercrime Center
ตั้งกระทู้ถามผู้รู้ในฟอรั่มไอทีชื่อดัง เช่น reddit(r/Ransomware) หรือ Microsoft Community

3. ลบRansomwareออกจากเครื่อง

หลังจากทำตามขั้นตอนข้อที่1และ2แล้ว ก็ได้เวลาลบRansomwareออกจากเครื่อง ซึ่งสามารถทำได้โดย

ใช้โปรแกรมAnti VirusในการลบRansomware
Ransomwareบางชนิดจะทำการลบตัวเองเมื่อเข้ารหัสไฟล์เหยื่อเสร็จแล้ว
ทำการFormatเครื่องใหม่ทั้งหมด

4. กู้ไฟล์คืน

กู้ข้อมูลจากBackup(Restore) ถ้าคุณได้ทำตามข้อแนะนำในการป้องกันในข้อ5 ก็ไม่มีอะไรต้องกลัว เพราะเราสามารถBackupข้อมูลกลับมาได้ตลอดโดยไม่ต้องเสียเงินค่าไถ่ให้แฮ็คเกอร์
ใช้เครื่องมือถอดรหัส ถ้าหากไม่ได้ทำการสำรองข้อมูลเอาไว้ สิ่งที่สามารถทำได้คือใช้ตัวช่วยถอดรหัสไฟล์จากผู้พัฒนาโปรแกรมแอนตี้ไวรัสต่างๆในตลาด แต่ในกรณีนี้โปรแกรมสามารถถอดรหัสได้เพียงRansomwareที่ถูกถอดรหัสได้แล้วเท่านั้น ข้อเสียคือถ้าติดRansomwareที่ยังไม่มีคนถอดรหัสได้ ก็ไม่สามารถกู้ข้อมูลคืนมาได้ หรือคุณอาจจะรอจนกว่าจะมีเวอร์ชั่นใหม่ๆที่สามารถถอดรหัสได้แล้วก็ได้ซึ่งไม่แน่นอนว่าจะสามารถทำได้เมื่อไหร่

7. ควรจ่ายค่าไถ่ข้อมูลหรือไม่

เรื่องนี้เป็นเรื่องที่หลายคนสงสัยว่าเราควรจะจ่ายค่าไถ่ข้อมูลให้ผู้โจมตีเราหรือไม่ ก่อนอื่นเลย การจะจ่ายค่าไถ่ข้อมูลให้กับผู้โจมตีซึ่งในที่นี้ก็คือมิจฉาชีพ ความเสี่ยงก็คือการที่เมื่อเราจ่ายไปแล้ว มิจฉาชีพอาจจะหายไปเลยก็ได้ หรือ อาจจะส่งตัวถอดรหัสที่ใช้ไม่ได้มาให้เราก็เป็นได้ ซึ่งขึ้นชื่อว่ามิจฉาชีพแล้วย่อมไม่อาจเชื่อถือได้อยู่แล้ว แต่ทั้งนี้ทั้งนั้นก็ขึ้นอยู่กับความคุ้มค่าว่าถ้าเรายอมเสี่ยงในการจ่ายค่าไถ่ซึ่งอาจสูญเปล่า เพื่อแลกกับข้อมูลที่มีมูลค่ามากกว่าค่าไถ่หลายเท่า นี่เป็นสิ่งที่ต้องตัดสินใจให้ดีและรอบคอบ

แต่โปรดจำไว้ว่าก่อนจะจ่ายค่าไถ่ให้กับมิจฉาชีพ คุณควรตรวจสอบให้แน่ใจก่อนว่ามัลแวร์ที่คุณติดนั้นเป็นRansomwareจริงๆที่มีการเข้ารหัสไฟล์ หรือ เป็นแค่Scarewareซึ่งไม่ได้ทำการเข้ารหัสข้อมูลใดๆกับไฟล์ของคุณเลย เพียงแต่ทำเหมือนว่าคุณถูกRansomwareเล่นงานเข้าแล้วเท่านั้น

อ้างอิง

https://www.csoonline.com/article/3236183/what-is-ransomware-how-it-works-and-how-to-remove-it.html
https://www.kaspersky.com/resource-center/definitions/what-is-ransomware
https://www.avast.com/c-how-to-remove-ransomware-pc
How to Detect and Prevent Ransomware Attacks
http://www.edgewoodnetworks.com/solutions.html
https://vnexplorer.net/ip-addresses-in-virus-infected-computer-networks-decrease-sharply-a2020109840.html

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.