Ransomware คืออะไร ป้องกันและแก้ไขอย่างไร

Ransomware หรือ มัลแวร์เรียกค่าไถ่ ชื่อที่หลายคนอาจจะเคยได้ยินมาบ้าง หรือแม้กระทั่งบางคนเคยโดนภัย Ransomware มากับตัวเอง โดยพฤติกรรมของ Ransomware มักจะทำการ Lock file หรือ encryption file เพื่อไม่ให้เหยื่อเข้าใช้งานไฟล์ที่ถูก Lock ไว้ได้ จากนั้นจะมีข้อความเพื่อทำการเรียกค่าไถ่ข้อมูลที่ได้ Lock ไว้ หากเหยื่อยินยอมจ่ายค่าไถ่แฮกเกอร์ก็จะปลดล็อคให้ แต่ในระยะหลังเริ่มมีการขู่ว่าจะปล่อยข้อมูลสู่สาธารณะดังเช่น ในข่าว ขู่ปล่อยข้อมูล Ransomware ที่ทำมากกว่ามัลแวร์เรียกค่าไถ่ หรือ นำไปประมูลขาย เช่น ข่าว DoppelPaymer อ้างเข้าถึงข้อมูลบริษัทผู้ดูแลระบบไอทีให้กับ NASA ได้ เป็นต้น

โดยส่วนใหญ่การที่จะตกเหยื่อของ Ransomware นั้นจะมีสาเหตุมาจากการที่ผู้ใช้งานดาวน์โหลดไฟล์ผ่านทางเว็บไซต์ที่ไม่น่าเชื่อถือและเป็นอันตราย เมื่อดาวน์โหลดมาแล้วกลับได้ Ransomware มาแทน ซึ่ง โดยหลักแล้ว Ransomware มักจะมุ่งเน้นโจมตีผ่านระบบปฏิบัติการ Microsoft Windows แต่ผลของการเข้า Lock ไฟล์นั้น สามารถลามไป Online Storage ต่าง ๆ ได้ด้วย

1. วิธีการป้องกัน Ransomware สำหรับผู้ใช้งานทั่วไป (End user)

• เมื่อพบ website, link, file ที่ไม่น่าไว้ใจ ให้รีบลบทิ้ง ไม่ควรลองคลิกดูเพื่อทดสอบว่าเป็นโปรแกรมอะไร
• ติดตั้ง Antivirus หมั่น update และ scan อยู่เสมอ
• ทำการ backup file สำคัญไว้หลายๆ ที่โดยเฉพาะควรสำรองข้อมูลแบบออฟไลน์ด้วย เช่น copy ไฟล์เก็บไว้ใน Harddisk หรือ แฟลชไดร์ฟ เป็นต้น

2. ในส่วนของผู้ดูแลระบบที่ต้องดูแลองค์กร (Admin)

• ทำการ block blacklist IP จากข้อมูล Threat Intelligence เพื่อเป็นการป้องกันเบื้องต้นในการเข้าถึง Server ต่าง ๆ ที่เป็นอันตราย
• ทำการตรวจสอบการเข้าถึงของอุปกรณ์ security โดยเปิดเฉพาะ Port ที่จำเป็นต้องใช้งานเท่านั้น
• ทำการตั้งค่า Group Policy เช่น ไม่ให้ใช้งาน ไฟล์ที่สามารถ execution ได้ , ปิด autoplay ต่าง ๆ และกำหนดให้ติดตั้งเฉพาะ software ที่องค์กรให้ใช้งาน เท่านั้น
• Backup file หรือ Backup ข้อมูล ควรมีการ Backup แยกอีกชุดนึง ออกจากระบบที่ใช้งานอยู่ และควรเข้ารหัสไฟล์ที่ Backup ด้วย
• อบรมความรู้เกี่ยวกับภัยคุกคามทาง Internet เช่น ภัยที่มาจาก E-mail เป็นต้น

3. สิ่งที่ควรทำทุกเดือน (End user/Admin)

• ตรวจสอบทุกเดือน เช่น ช่องโหว่ของ OS และ หมั่น Update Patch สม่ำเสมอ
• กำหนดสิทธิ์การเข้าถึงไฟล์ที่สำคัญให้ได้เพียง Read-only เท่านั้น และหมั่นตรวจสอบการเข้าถึงไฟล์หรือ Folder เมื่อไม่มีการใช้งาน ให้ยกเลิกการแชร์ไฟล์ด้วย
• ไฟล์หรือ Folder ที่สำคัญ ให้กำหนดสิทธิ์การเข้าถึงจากบุคคลภายนอกให้เพียง Read only เท่านั้น
• Backup Backup และ Backup

ถ้าสามารถทำตาม 3 ข้อหลักดังกล่าวมาข้างต้นแล้ว ก็ถือว่าเพียงพอที่จะป้องกันและรับมือกับ Ransomware ในเบื้องต้นได้แล้วหรือต่อให้เกิดเหตุที่ไม่คาดคิดขึ้น ในส่วนของการรับมือก็จะสามารถกู้คืนข้อมูลจาก Backup เพื่อนำกลับมาใช้งานได้

ท้ายที่สุด เรื่องภัยไซเบอร์ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเมื่อเราใช้อินเทอร์เน็ตมากขึ้นก็ย่อมมีการโจมตีทางไซเบอร์เพิ่มมากขึ้นเป็นเงาตามตัวไปด้วย ถึงแม้รูปแบบวิธีการของภัยคุกคามจะมีมากมายแต่ไม่ว่าจะเป็นแบบไหน ผลของมันรุนแรงเสมอ ในฐานะผู้ใช้ และผู้ดูแลระบบการป้องกันจึงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ เริ่มต้นใส่ใจเรื่อง IT Security ตั้งแต่วันนี้ เพื่อเพิ่มความปลอดภัยอย่างยั่งยืนของระบบ IT