Ransomware !!!!!!!!!!

อย่างที่เพิ่งมีข่าวไปไม่กี่วันก่อน และ เดือนก่อน ๆ เกี่ยวกับ แรนซัมแวร์ ซึ่งตัว แรนซัมแวร์ เนี่ย มันสามารถเข้ามายังคอมพิวเตอร์เราได้ด้วยวิธีการต่าง ๆ นา ๆ เกินกว่าจะป้องกันได้หมดทุกวิธี เช่น ครั้งหนึ่ง WannaCry ใช้ช่องโหว่ Eternalblue ของระบบปฎิบัติการ Microsoft Windows (ก็คือ Hack เครื่องเราก่อนแล้วมาเข้ารหัสไฟล์เรานั่นแหละ) หรือที่ทางการไฟฟ้าส่วนภูมิภาค ประเทศไทยเราโดนมา ก็จะเป็นทาง e-mail ส่งมาหลอกให้เรากดเข้าไปดู ซึ่งเอาตรง ๆ ทางดาต้าฟาร์มก็คิดว่า ด้วยวิธีที่หลากหลายที่จะโดนเข้ารหัสไฟล์เนี่ย วิธีที่ดีที่สุด ก็คือการให้ความรู้บุคคลากรในการใช้งานระบบคอมพิวเตอร์ ว่าเราจะหลีกเลี่ยง มันได้อย่างไร รู้ทันเล่ห์กลของ Social Engineering ได้อย่างไร เพราะในส่วนของการโดน Hack หากโดนผ่านช่องโหว่เช่น 0day ก็ไม่สามารถป้องกันได้อยู่ดี

ทางเราจึงขอสรุปวิธีการป้องกัน เพื่อลดผลกระทบ และ วิธีจัดการหากกำลังโดน แรนซัมแวร์ ทำลายระบบอยู่

การป้องกัน

1. ให้ความรู้แก่พนักงานในเรื่องการเปิดอ่านไฟล์แนบที่ต้องสงสัย(เช่นไฟล์ นามสกุล .exe, .vbs, or .scr ไม่ควรเปิด) , การเช็คชื่อผู้ส่ง Email (ว่าเป็น Phishing Email หรือไม่), การเสียบ Flash Drive ที่เก็บได้เนื่องจากมีคนทำตกไว้ (ว่าไม่ควรทำ)
2. มีระบบสำรองข้อมูล หากงบน้อยก็ให้ Backup ลง External Hard Disk เป็นประจำ โดยการ Backup ด้วย External Hard Disk ต้องมีอย่างน้อย 2 ชุด เผื่อความเสี่ยงที่ว่าขณะกำลัง Backup ข้อมูล ก็ถูกโจมตีด้วยแรนซัมแวร์พอดี ทำให้ข้อมูลทั้งหมดถูกเข้ารหัส แต่หากมีงบมากกว่านั้น ก็อาจเป็นระบบสำรองข้อมูลที่สามารถทำได้ทุกวันโดยอัตโนมัติ หรือบน Cloud รวมไปถึงมี Offsite Backup เช่นการ Backup ด้วย Tape/Disk แล้วไปเก็บยังสถานที่อื่น
3. เครื่อง Server ที่มีระบบสำรองข้อมูล ไม่ควร Join Domain และเป็น Unique Username/Password ไม่เหมือนกับระบบอื่น ๆ
4. ทำการแบ่งระบบ เน็ตเวิร์ค ออกเป็น VLAN ย่อยๆ โดยไม่ให้เข้าถึงกันได้ เพื่อที่จะลดความเสี่ยงการถูกโจมตีครั้งเดียว แล้วกระทบกับทุกระบบ
5. หากมี Firewall ให้ทำการปิดกั้นการเข้าถึงของแต่ละระบบเท่าที่จำเป็น
6. มีการใช้งานระบบ Email Security Gateway เพื่อป้องกันเปิดอ่านไฟล์แนบที่มาจาก Email (สามารถช่วยลดความเสี่ยงได้ หากเป็นไฟล์แนบที่มี Signature)
7. Block ผู้ส่ง Email ที่ไม่รู้จัก และมีไฟล์แนบมา
8. ลง Program และ App ที่มาจากแหล่งที่น่าเชื่อถือเท่านั้น
9. ลงโปรแกรม Antivirus/Anti Maleware,Spyware บนระบบต่าง ๆ
10. Update ระบบปฏิบัติการเป็นประจำเพื่อลดความเสี่ยงจากการโดน Hack (Update แล้ว ต้อง Restart ด้วยนะครับ เคยเจอบางที่ Update มา 3 ปี ไม่เคย Restart ระบบเลย แล้วจะรอดไหมละ ไม่รอดสิครับ)
11. จำกัดการเข้าถึง Website เฉพาะที่จำเป็นเท่านั้นเพื่อลดความเสี่ยงที่ แรนซัมแวร์ จะไปรับคำสั่งเพิ่มเติมจาก C&C Server
12. มีแผนสำรองเพื่อเรียกคืนระบบจากภัยพิบัติ (Disaster Recovery Plan) และมีการทดสอบว่าสามารถใช้ได้จริงหากเกิดปัญหา
13. เครื่อง Server ที่มีระบบสำรองข้อมูล ควรมีการกำหนดสิทธิของแต่ละ User เพื่อลดความเสี่ยงจากการถูกโจมตี เช่น สามารถ Remote ได้จากบางเครื่องเท่านั้น โดยมีการกำหนดการเข้าถึงด้วย ACL จาก ระบบเน็ตเวิร์คเป็นต้น (ซึ่งเครื่องที่สามารถเข้าสู่ระบบได้ ไม่สามารถเสียบ USB หรือ ออก Internet ได้ เพื่อลดความเสี่ยงอีกชั้นหนึ่ง)
14. ใช้ Microsoft Applocker เพื่อบล็อกไม่ให้มีการรันไฟล์ที่น่าจะเป็นมัลแวร์เรียกค่าไถ่ (เช่น ไฟล์ .exe, .js, .vbs) จากไดเรกทอรีที่มีแนวโน้มว่าถูกใช้เก็บไฟล์มัลแวร์ (เช่น \user\appdata หรือ \programdata) รายละเอียดเพิ่มเติมเกี่ยวกับ Applocker ดูได้จากเว็บไซต์ของ Microsoft (https://technet.microsoft.com/en-us/library/dd759117(v=ws.11).aspx) ตัวอย่างสคริปต์สำหรับตั้งค่า Applocker ดูได้จากที่มา
15. ปิดไม่ให้ใช้งาน Macro ใน Microsoft Office เนื่องจากเป็นหนึ่งในช่องทางหลักที่ถูกใช้ในการแพร่กระจายมัลแวร์ การปิด Macro ไว้เป็นค่าเริ่มต้นและเปิดให้ใช้งานได้เฉพาะในส่วนงานที่จำเป็นต้องใช้ (เช่น ฝ่ายการเงิน) ก็สามารถช่วยลดความเสี่ยงและจำกัดขอบเขตความเสียหายหากติดมัลแวร์ได้ ทั้งนี้ ควรมีการอบรมให้ความรู้กับเจ้าหน้าที่ในส่วนงานที่ต้องเปิดไฟล์แนบในอีเมลหรือต้องใช้ Macro ในการทำงาน เพื่อให้มีความตระหนักและสามารถแยกแยะอีเมลที่มีลักษณะน่าสงสัยได้
16. หากมีการใช้ WIFI สาธารณะ ให้ทำการเชื่อมต่อด้วย VPN

การจัดการหากรู้ตัวว่ากำลังโดน แรนซัมแวร์ ทำลายระบบอยู่

1. ปิดเครื่องที่กำลังมีการเข้ารหัสไฟล์ (เพื่อไม่ให้ไฟล์ถูกเข้ารหัสมากไปกว่านี้) หรือ Save Stage หากเป็น Virtual Machine (เนื่องจากแรนซัมแวร์บางตัวมี Key ที่สามารถกู้คืนได้เก็บไว้ใน Memory)
2. ทำการตัด เน็ตเวิร์ค เพื่อไม่ให้มีการกระจายไปยังระบบอื่น ๆ
3. ห้ามจ่ายเงินค่าไถ่เด็ดขาด เนื่องจากเป็นการส่งเสริมให้ผู้โจมตีทำกับผู้อื่นไปเรื่อย ๆ และยังไม่สามารถมั่นใจได้ว่าจะมีสัจจะในหมู่โจร
4. แจ้งเหตุภัยคุกคามไปยังศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ report@thaicert.or.th
5. ทำการตรวจสอบว่ามีระบบใดบ้างได้รับผลกระทบและนำไปตรวจสอบก่อนนำเข้าสู่ระบบเน็ตเวิร์คอีกครั้ง
6. ทำการตรวจสอบว่าถูกโจมตีจากช่องทางใด หากถูกโจมตีผ่านการ Hack ไม่ควรนำ Backup ของระบบนั้นมา Restore เนื่องจากจะโดนโจมตีได้อีกครั้งจากช่องโหว่เดิม ให้ทำการลงระบบนั้น ๆ ใหม่แบบ Clean Install และ Patch Software/OS ให้เรียบร้อยเพื่อปิดช่องโหว่
7. เปลี่ยนแปลง Password ของระบบนั้น ๆ
8. หากเลือกที่จะจ่ายเงินเพื่อกู้ระบบ อย่าลืมลบ แรนซัมแวร์ ให้หมดก่อน เนื่องจากเคยมีกรณีที่จ่ายเงินแล้ว ได้ Key มากู้ข้อมูลแล้ว และโดนเรียกค่าไถ่อีกครั้ง เพราะเจ้า แรนซัมแวร์ ยังอยู่ แถมยังต้องไปเสียเงินจ่ายค่าไถ่อีกรอบ

สำหรับข้อมูลที่โดนเข้ารหัสไปแล้ว ทางเรามี link สำหรับ Download ซอฟแวร์ถอดรหัส ซึ่ง ไม่แน่ว่าอาจจะมีสักตัวที่ช่วยเราได้

1. Trend Micro Ransomware File Decryptor https://success.trendmicro.com/solution/1114221
2. kaspersky Ransomware Decryptors https://noransom.kaspersky.com/
3. Ransomware Decryption Tools https://www.emsisoft.com/Ransomware-decryption-tools/
4. McAfee Anti-Malware tools https://www.mcafee.com/enterprise/en-us/downloads/free-tools.html
5. Avast Anti-Ransomware Tool https://www.avast.com/c-Ransomware-protection-tool
6. AVG Ransomware Decryption Tools https://www.avg.com/en-us/Ransomware-decryption-tools
7. หรือจริง ๆ มาที่นี่ที่เดียวก็ได้เป็นเวปที่รวบรวมวิธีแก้ https://www.nomoreransom.org/

ก่อนจากกัน ทางดาต้าฟาร์มเองก็มี Service ที่ชื่อว่า Attack Simulation ซึ่งจะเข้าไปให้ความรู้ผู้ใช้งานก่อน และหลังจากนั้นก็จะพยายามหลอกล่อผู้ใช้งานด้วยวิธีต่าง ๆ เพื่อทดสอบว่าหลังจากให้ความรู้ผู้ใช้งานเนี่ย ได้ผลไหม มีใครบ้าง ที่ยังหลงกลบ้าง เพื่อที่จะให้องค์กรต่าง ๆ เตรียมรับมือได้ดียิ่งขึ้น (แอบขายของแบบเนียนๆ)

Cr. Datafarm Company Limited

อ้างอิง

1. https://success.trendmicro.com/solution/1117391-preventing-wannacry-wcry-Ransomware-attacks-using-trend-micro-products
2. https://www.khaosod.co.th/special-stories/news_4340712
3. https://www.veeam.com/blog/how-to-protect-against-Ransomware-data-loss-and-encryption-trojans.html
4. https://www.veeam.com/blog/first-step-to-protecting-your-backups-from-Ransomware.html
5. https://phoenixnap.com/blog/preventing-detecting-Ransomware-attacks
6. https://www.malwarebytes.com/Ransomware/
7. https://www.forbes.com/sites/waynerash/2020/02/18/youve-been-hit-with-Ransomware--next-steps-to-recovery/
8. https://www.thaicert.or.th/newsbite/2017-05-08-02.html
9. https://www.backblaze.com/blog/complete-guide-Ransomware/
10. https://www.kaspersky.com/resource-center/threats/how-to-prevent-Ransomware
11. https://us.norton.com/internetsecurity-malware-7-tips-to-prevent-Ransomware.html
12. https://enterprise.comodo.com/how-to-prevent-Ransomware.php
13. https://www.paloaltonetworks.com/cyberpedia/3-keys-to-preventing-Ransomware
14. https://www.avast.com/c-how-to-prevent-Ransomware
15. https://www.avira.com/en/blog/5-tips-on-how-to-prevent-Ransomware-attacks