7 วิธีรับมือและบรรเทา Ransomware มัลแวร์เรียกค่าไถ่

ที่มา : http://www.aripfan.com/how-to-protect-ransomware/

Ransomware หรือ มัลแวร์เรียกค่าไถ่ ที่กลับมาสร้างความผวาให้กับเหล่าผู้ใช้กันอีกครั้ง จากครั้งที่แล้วก็มี CryptoLocker ล่าสุดคือ “WannaCrypt” หรือ “WannaCry” มัลแวร์เรียกค่าไถ่ที่อันตรายกว่าเก่า ระบาดหนักยิ่งกว่า ดังนั้นทางทีมงานขอนำ 7 วิธีรับมือและแก้ไข (แบบบรรเทา) ที่เคยเขียนไว้นานแล้ว กลับมารีรันกันอีกครั้งครับ

มันยังระบาดไม่เลิก !! วินาทีนี้ คงไม่มีภัยอันตรายบนโลกอินเทอร์เน็ตใดๆที่ร้ายแรงไปกว่าเจ้านี้แล้วคือ “มัลแวร์เรียกค่าไถ่” หรือที่หลายๆคนมักจะเรียกกันว่า “ไวรัสเรียกค่าไถ่” นั้นเอง ที่ระบาดกันมานานจนปัจจุบันก็ยังอยู่ สำหรับเจ้ามัลแวร์ตัวนี้ จัดเป็น Ransomware ประเภทหนึ่ง ที่จะหลอกให้ผู้ใช้ เผลอโหลดไฟล์ติดตั้งตัวหนึ่ง (.exe) เข้าไปแบบไม่รู้ตัว หลังจากนั้น มันก็จะทำการเปลี่ยนการตั้งค่าบางอย่างภายในคอมพ์ของเรา ในที่นี้คือ การฝังรหัสไฟล์ข้อมูลต่างๆภายในเครื่อง ทำให้เราไม่สามารถเข้าถึงหรือเรียกใช้ไฟล์ข้อมูลเหล่านั้นได้เลย ถ้าอยากได้รหัส ก็ต้องจ่ายเงินให้มัน โดยที่ไม่รู้ว่ามันจะให้รหัสเราไหม ดังนั้นมันจึงถูกจัดว่าเป็น มัลแวร์ที่อันตรายที่สุดแล้ว ณ ตอนนี้

รู้จักกับ WannaCrypt

ก่อนหน้านู้น หลายคนคงแทบกรี๊ดมาแล้วกับเจ้า CryptoLocker มาตอนนี้คือ WannaCrypt (อีกหลาย ๆ ชื่อก็ WannaCry, WanaCrypt0r, Wana Decrypt0r 2.0) มัลแวร์หรือ Ransomware ชนิดหนึ่ง ที่ถูกพัฒนาโดยเครื่องมืออันทรงพลังจาก NSA (สำนักงานความมั่นคงแห่งสหรัฐ) ที่เรียกว่า “EternalBlue” ซึ่งเครื่องมือนี้ ก็ถูกขโมยโดยกลุ่มแครกเกอร์ The Shadow Broker ที่หลังขโมยเสร็จ ก็นำมาแจกจ่ายแก่สาธารณะ จนมีแครกเกอร์ (แฮกเกอร์ฝ่ายไม่ดี) กลุ่มใดกลุ่มหนึ่ง ได้เอาเครื่องมือนี้ไปพัฒนาเป็นมัลแวร์เรียกค่าไถ่ที่ชื่อ WannaCrypt นี้เอง เพียงไม่นานมัลแวร์ตัวนี้ก็ระบาดหนักไปทั่วโลก แม้ทาง Microsoft จะออกตัวอัพเดตป้องกันก่อนหน้า (หลังรู้ว่า NSA งานเข้า) แล้ว แต่ก็ยังมีผู้ใช้ ที่ไม่รู้ว่าใช้ Windows เถื่อน หรือไม่ได้อัพเดตระบบ ถูกมัลแวร์นี้เล่นงานเข้าจนได้

พฤติกรรมของมัลแวร์ตัวนี้ มันจะล่อลวงให้เราดาวน์โหลดไฟล์ติดตั้งของมัน ซึ่งมักจะแนบมากับ E-mail หรือตามเว็บดาวน์โหลดไฟล์ที่แฝงโฆษณาเยอะ ๆ เมื่อเราเผลอคลิกติดตั้งเข้าไป เราก็จะถูกมัลแวร์ตัวนี้ฝังลงในเครื่องคอมพ์ของเราทันที หลังจากนี้ทุกไฟล์ในเครื่องที่มีนามสกุลไฟล์ตรงตามกลุ่มเป้าหมาย ก็จะถูกเข้ารหัสทำให้ไม่สามารถเปิดใช้งานได้ตามปกติ (ไฟล์ที่โดนจะมีนามสกุลไฟล์เป็น .WNCRY) จากนั้นก็จะขึ้นหน้าต่างประมาณว่า “ไฟล์ของคุณถูกเข้ารหัส ถ้าอยากได้ไฟล์คืน โปรดโอนเงินมาให้เรา” (สูตรเดียวกับ CryptoLocker เป๊ะ ๆ) เท่ากับว่า ไฟล์ข้อมูลของเราโดนจับเป็นตัวประกันเรียบร้อย การชำระเงินจะเป็นแบบ Bitcoin ซึ่งจะมีราคาแพงถึง 300 – 600 เหรียญฯ หรือหมื่นกว่าบาทกันเลย ต่อไปมาดูวิธีป้องกันและบรรเทาหลังโดนมัลแวร์ตัวนี้กันครับ

1.Backup ข้อมูลสำคัญๆ


เป็นพื้นฐานไปแล้ว สำหรับคนในยุคนี้ ที่ต้องหมั่นสำรองข้อมูลไว้ตลอดเวลา ไม่เพียงแต่เฉพาะองค์กรใหญ่ๆแล้วที่จะเล่นงาน คนทั่วไปก็มีโอกาสโดนได้เช่นกัน ดังนั้น เราควรจะมีกิจวัตรใหม่คือ การสำรองข้อมูลสำคัญ ๆ ไว้เสมอ แล้วเราจะสำรองข้อมูลยังไงบ้างล่ะ ผมขอเสนอ “The 3-2-1 Backup Rule” หรือ กฎ 3-2-1 หมายถึง การเก็บสำรองข้อมูลไว้อย่างน้อย 3 ชุด สองชุดแรก คือ เก็บไว้บนสื่อบันทึก 2 ชุดที่แตกต่างกัน ซึ่งจะใช้การสำรองข้อมูลจากในคอมพิวเตอร์เป็นหลักคือ การใช้ฟีเจอร์ Windows Backup and Restore ที่จะมีอยู่ในระบบปฏิบัติการรุ่นปัจจุบันทั้ง Win 7 และ Win 8 หรือไม่ก็การสำรองข้อมูลด้วยใช้ Raid 1 ที่จะต้องการใช้ ฮาร์ดดิส 2 ตัวขึ้นไป และสุดท้าย การสำรองข้อมูลไว้บน Cloud Store เป็นต้น ชุดสุดท้ายคือ การเก็บไฟล์ Backup ไว้ในอุปกรณ์ภายนอก ที่ไม่ต้องเสียบคาเครื่องอย่าง Extranal Harddisk ซึ่งเป็นแหล่งบันทึกข้อมูลสุดท้าย หากเกิดกรณีไม่คาดฝัน ตัวสื่อบันทึกชนิดนี้ คือความหวังสุดท้าย

2.เลี่ยงการเปิด E-Mail แปลกๆ

สำหรับใครที่ตอนนี้ มีความจำเป็นจะต้องใช้งาน E-mail ในการติดต่อหรือทำงานอยู่เป็นประจำ ก็อาจมีแววที่จะถูกโจมตีจากมัลแวร์ตัวนี้ได้ด้วย ต้องบอกเลยว่า แหล่งแพร่กระจายหลักของมัลแวร์ชนิดนี้ อันดับต้น ๆ เลยคือ การหลอกให้คลิกไฟล์แนบจากใน E-mail นั้นเอง วิธีป้องกันคือ หากเจอเมลที่น่าสงสัย ตรวจสอบแหล่งที่มาของเมลก่อนเป็นอันดับแรก โดยดูจากชื่อผู้ส่ง และ เนื้อหาภายใน ให้ดูว่า มันเกี่ยวข้องกับงานที่เราทำอยู่หรือไม่ ที่นี้ มันจะแบ่งเป็นสองประเภทคือ มาในรูปแบบไฟล์ที่มีการอัด Zip เอาไว้ อันนี้ก็ต้องใช้วิจารณญาณพอสมควร ให้ดูรายละเอียดของเมลก่อนเลยว่า มันน่าสงสัยไหม สมมุติว่า ถ้าเป็นเมลประเภทงานธุรกรรม การเงิน หรือ อะไรที่มันดูสำคัญ “พวกนี้ต้องมีเบอร์โทรติดต่อกลับได้” หากมันสำคัญจริง เราจะได้โทรไปขอคำยืนยันได้ว่า นี้เป็นเมลงานของจริง อย่างที่สองคือ มีการแนบลิงค์ URL มาให้ด้วย อันนี้ง่ายๆ ก่อนคลิกไปที่ลิงค์ ให้เอาเมาส์ไปชี้ (อย่าเพิ่งคลิกเด็ดขาด) ค้างไว้ แล้วสังเกตรายละเอียดของ URL ที่จะแสดงอยู่บริเวณด้านมุมซ้ายล่างว่า มันนำเราไปที่ไหน หากเป็นเว็บแปลกๆ ให้เลี่ยงไว้เลย หากมีคำว่า .exe ตามท้าย อันนี้ลบทิ้งเลยครับ อย่าเหลือไว้ให้เสี่ยงจะดีกว่า

3.ใส่บุ๊คมาร์คสำหรับเว็บไซต์ที่เราชื่นชอบ

มัลแวร์เรียกค่าไถ่นั้นมีการพัฒนามากขึ้นเรื่อยๆ จนถึงขนาดมีผู้สร้างบางคน ยอมไปซื้อแบนเนอร์โฆษณา เพื่อกระจายมัลแวร์ตัวนี้โดยเฉพาะกันเลย สำหรับข้อแนะนำนี้ ก็มีเป็นนัยๆว่า อย่าไปเข้าพวกเว็บไซต์แปลกๆที่เราไม่รู้จัก โดยเฉพาะเว็บไซต์โหลดไฟล์ของสากล ที่มักจะเต็มไปด้วยมัลแวร์หลากชนิด อย่างบางเว็บแค่เข้าไปดู มันก็จะโหลดไฟล์ .exe ลงเครื่องเราอัตโนมัติทันที อย่าไปคลิกติดตั้งเป็นอันขาด พวกนี้คือมัลแวร์แทบทั้งสิ้น ฉะนั้น หากเรามีเว็บไหนที่เข้าเป็นประจำและเชื่อถือได้ ให้เราจับยัดใส่ไว้ใน “ปุ๊คมาร์ด”เอาไว้เลย และหลังจากนี้เวลาจะเข้าเว็บไซต์ต่างๆ ให้เข้าผ่านทางบุ๊คมาร์คเท่านั้น จะได้เป็นการหลีกเลี่ยงถูกหลอกให้คลิก URL อันตรายจากผู้สร้างโหลดมัลแวร์เรียกค่าไถ่ได้ในระดับหนึ่ง หวังว่า เราคงไม่ขยันไล่ตะเวนโหลดไฟล์ต่างๆอย่างเมามัน จะเผลอไปโดนมัลแวร์เล่นงานเข้าให้นะครับ

4.กำหนด Read Only ให้กับไฟล์ที่สำคัญ

ขอพูดถึงรูปแบบการทำงานของมัลแวร์เรียกค่าไถ่ซักนิด หลังจากที่มันสแกนเจอไฟล์ที่ต้องการแล้ว มันก็จะทำการแก้ไขไฟล์ข้อมูลของเรา (อธิบายแบบบ้านๆ) และยัดรหัสใส่เข้าไป ทำให้เราไม่สามารถเข้าถึงไฟล์ของเราได้นั้นเอง ดังนั้น วิธีป้องกันเบื้องต้น ให้เรามองหาไฟล์ข้อมูลที่สำคัญๆ โดยเฉพาะพวกไฟล์เอกสารที่มักจะเป็นเป้าหมายหลักที่จะโดนก่อนใครเพื่อน ตัวไหนสำคัญ(ต่อชีวิต) ให้จับเปลื่ยนเป็น “Read Only” ซะให้หมด วิธีคือ ให้คลิกขวาที่ไฟล์ หรือ โฟลเดอร์ แล้วให้เลือกไปที่ Porperties ที่อยู่ข้างล่างสุด จากนั้นให้ติ๊กถูกที่ช่อง Read Only แล้วกดโอเค เท่านี้ไฟล์ข้อมูลนั้น ก็จะถูกทำให้ อ่านได้อย่างเดียว ไม่สามารถแก้ไขได้ ซึ่งพอจะช่วยให้รอดต่อการถูกจับเป็นตัวประกันได้นั้นเองครับ ทั้งนี้หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ควรมีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลของผู้ใช้ไว้ก็ดีเหมือนกัน อาจจะยุ่งยากไปนิด แต่ก็ดีกว่าถูกเล่นงานไปทั้งยวง

5.เช็ค DNS ว่าตรงกับ ISP ที่เราใช้อยู่ไหม

ในบางครั้ง เจ้ามัลแวร์ตัวนี้ อาจจะมาในรูปแบบใหม่ นั้นคือการโจมตีเจาะช่องโหว่ของเว็บบราวเซอร์ ด้วยการเปลื่ยน DNS ของผู้ให้บริการอินเทอร์เน็ตของเรา (ISP) ไปเป็นอย่างอื่นได้ด้วย โดยมันสามารถหลอกให้เราเปิดเว็บไซต์ที่หน้าตาอาจจะเหมือนเว็บ Google หรือเว็บที่ต้องมีการใช้ Username กับ Password ในการเข้าสู่ระบบ ที่หากเราพิมพ์ไปปุ๊บ โจรรู้ปั๊บ งานเข้าทันใด ทีนี้หากเป็นกรณีของมัลแวร์เรียกค่าไถ่ หลังจากที่มันแอบเจาะ DNS ของเราแล้ว มันจะสามารถแอบยัด URL ที่เป็นลิงค์โหลด โดยอาจจะเป็น Pop-Up ที่อยู่ๆก็เด้งขึ้นมาก็ได้ เมื่อเราเผลอไปกด และโหลดไฟล์จาก URL มรณะเรียบร้อย ก็บรรลัยครับงานนี้ ดังนั้นเราจึงควรมีการไปเช็ค DNS ว่า มันตรงกับ ISP ของเราไหม อย่างไรก็ตาม ใช่ว่าการเจาะ DNS จะทำได้ง่ายขนาดนั้น ยิ่งถ้าเป็นการเจาะ DNS ที่เป็นของ IPS ตรงๆ ยิ่งยากครับ เว้นแต่ว่า คนที่มันจะเจาะเข้ามา มันมีความพยายามสูงจริงๆ แต่ยังไงเราก็ควรเข้าไปเช็คดูจะดีกว่า กันไว้ดีกว่าแก้

6.อัพเดตโปรแกรมด้านความปลอดภัย 

หากใครมีโปรแกรมด้านความปลอดภัย (หรือที่นิยมเรียกกันว่า Anti Virus) อาทิ Kaspersky, MalwareBytes, Norton, AVG ฯลฯ ติดตั้งเอาไว้ ก็ให้รีบไปอัพเดตตัวโปรแกรมไว้ก่อนเลย หลังอัพเดตแล้ว ก็กด Full Scan ไว้ซักหน่อยก็ดีเหมือนกัน

7.อัพเดต Windows Defender

ข้อสุดท้ายนี้ ถือได้ว่าเป็นวิธีที่สุดแสนสามัญแล้วคือ การหมั่นอัพเดต Windows Defender ที่จะช่วยเพิ่มการปกป้องได้ ซึ่งตอนนี้ใครยังงง ๆ อยู่ “จงรีบไปอัพเดตมันบัดเดี๋ยวนี้เลยครับ” พร้อมกดอัพเดต Windows ด้วย ช่วงนี้คงต้องกดอัพเดตบ่อย ๆ เพราะตัวมัลแวร์เรียกค่าไถ่ที่ระบาดอยู่นี้ มีการพัฒนาตัวเองด้วย ทำให้วิธีป้องกันแบบเก่าใช้งานไม่ได้ เราก็ต้องคอยอัพเดตวิธีป้องกันใหม่ ๆ ให้ทันสมัยอยู่เสมอนั้นเอง

วิธีบรรเทาหลังโดนเรียกค่าไถ่เข้าแล้ว

อย่างแรกเลย เมื่อโดนเข้าให้แล้ว เราไม่ต้องไปจ่ายเงินให้โจรนะครับ แม้ว่าเราอาจจะได้ไฟล์คืน แต่ก็เท่ากับว่า เราไปสนับสนุนมันทางอ้อม ฉะนั้นไม่แนะนำ ต่อไปให้สุดหายใจเข้าลึกๆ จัดการกำจัดมัลแวร์ด้วยโปรแกรมฆ่าไวรัสของเราให้เรียบร้อยก่อนเป็นอันดับแรก (หรือใช้ Malwarebytes) จากนั้นก็เผื่อใจไว้ซัก 50 เปอร์เซ็นว่า “มีโอกาสไม่สำเร็จ” แต่ก็ยังดีกว่าไม่ทำดูเลย วิธีก็ดังนี้

1.ใช้ System Restore กู้ข้อมูลไฟล์ ที่ก่อนจะโดนเล่นงานคืนได้ แต่วิธีนี้ใช่ว่าจะได้ผลเสมอไป เพราะมัลแวร์ประเภทนี้ หลัง ๆ เก่งขึ้น มาสามารถไล่ลบ system recovery point ของระบบได้ด้วย ทำให้ฟีเจอร์นี้กลายเป็นหมั๋นทันใด

2.ติดต่อขอความช่วยเหลือจากผู้เชี่ยญชาญ หากติดเข้าไปแล้ว อย่างแรกควรปิดอินเทอร์เน็ตก่อน จากนั้นก็ดึงอุปกรณ์เก็บข้อมูลให้ไว เสร็จแล้วให้แจ้งเจ้าหน้าที่ทางเทคนิด เช่น Thaicert หรือ i-secure เพื่อความขอความช่วยเหลือหรือขอคำปรึกษาเบื้องต้น

3. Format ล้างเครื่องแบบเต็มสูบ ถือเป็นวิธีสุดท้ายจริง ๆ หากที่ว่ามาทั้งหมดไม่ได้ผล หรือได้ผลบ้าง แต่บางส่วนช่วยไม่ทัน และเหลือค้างไว้ ให้เอาไฟล์ที่กู้ได้ มาเก็บไว้ในสื่อบันทึกข้อมูลอื่นก่อน จากนั้นก็จัดการล้างคอมพิวเตอร์แบบเต็มสูบ แล้วค่อยย้ายลงไปใหม่ตามท้าย

สำหรับวิธีแก้ไขที่ว่ามาทั้งหมดนี้ อาจช่วยได้ไม่ถึงร้อยเปอร์เซ็น เพราะมัลแวร์ หรือ Ransomware ประเภทนี้ ถือเป็นภัยคุกคามในโลกไซเบอร์ที่อันตรายมาก ๆ ตัวหนึ่ง เพราะมันมีแครกเกอร์หลายกลุ่ม เอามันมาพัฒนาต่อ จนมันมีความฉลาดล้ำ สามารถรับมือกับการแก้ไขได้แทบทุกรูปแบบแล้ว ดังนั้น ใครที่ยังไม่ติดมัลแวร์ชนิดนี้ ก็ให้อ่านวิธีป้องกันให้ดี ๆ เลยครับ ซึ่งถือเป็นการรับมือที่ดีที่สุดแล้ว เพราะหากติดเข้าไปแล้ว มันแก้ลำบากครับ

Post Author: Admin