November 24, 2024

ทำความรู้จัก Ransomware ประเภท “หนอนไถพรวน (Ransomworm)”

ภัยคุกคามที่น่ากลัวของมัลแวร์เรียกค่าไถ่ ที่เกิดขึ้นอย่างต่อเนื่อง ทำให้หลายฝ่ายที่มีบทบาทในวงการรักษาความปลอดภัยไซเบอร์พากันออกมาให้คำแนะนำแก่ผู้ใช้ ล่าสุด Fortinet แนะนำองค์กรและผู้ใช้งานคอมพิวเตอร์ให้ลงมือป้องกันภัยไซเบอร์แรนซัมแวร์ประเภทต้องการเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่าเพ็ทยา (Petya) ที่กำลังแพร่คุกคามในองค์กรและหลายอุตสาหกรรมทั่วโลกในขณะนี้ ซึ่งรวมถึง ระบบการขนส่งรายใหญ่ ธนาคารและองค์กรด้านพลังงาน

001

Petya เป็นภัยแรนซัมแวร์ประเภท “หนอนไถพรวน” ที่เราเรียกกันว่า “Ransomworm”  ที่อาศัยใช้ประโยชน์จากการที่แฝงอยู่ในระบบอย่างเงียบๆ แล้ว โจมตีในโอกาสที่เหมาะสม หนอนไถพรวนนี้ได้รับการออกแบบให้เคลื่อนที่ข้ามระบบต่างๆ ได้โดยอัตโนมัติแทนที่จะอยู่ในที่ที่เดียว  และดูเหมือนว่าหนอนไถพรวน Petya นี้ได้ใช้ช่องโหว่ที่มีอยู่ที่คล้ายคลึงกันกับการโจมตี Wannacry ที่เกิดขึ้นล่าสุด

Petya นี้แตกต่างจากวอนนาครายตรงที่วอนนาครายจะเข้ารหัสไฟล์ในคอมพิวเตอร์และเรียกค่าไถ่ แต่ Petya จะเข้ารหัสส่วนหนึ่งของฮาร์ดไดร้ฟที่ส่งผลทำให้คอมพิวเตอร์ทั้งหมดไม่สามารถทำงานได้ ทั้งนี้ เป้าหมายการโจมตีครั้งนี้และมีความเสี่ยงมากคือ ผู้ที่ใช้ระบบแบบเดิมและเก่ารวมถึงโครงสร้างพื้นฐานที่สำคัญต่างๆ

นอกจากการอัปเดทระบบโดยทันทีแล้ว ยังมีขั้นตอนอื่นๆ ที่องค์กรและบุคคลต่างๆ ควรใช้เพื่อป้องกันตนเอง ดังนี้:

สำหรับฝ่ายไอที:

  1. ทำสำรองไฟล์ข้อมูลที่อยู่ในระบบที่สำคัญๆ ไว้ และให้ทำสำรองไฟล์แบบออฟไลน์
  2. ตรวจสอบให้แน่ใจว่าท่านมีดิสก์และการตั้งค่าของระบปฏิบัติการที่เป็นมาตรฐานชั้นเยียม เพื่อให้ท่านมีความมั่นใจในเวลาที่ต้องนำเดสท้อปกลับมาใช้ใหม่
  3. ลงมือใช้แพ้ทช์ปิดช่องโหว่นั้น
  4. ตรวจสอบให้แพ้ทช์ทันสมัยอยู่ตลอดเวลา

สำหรับผู้ใช้งาน:

  1. อย่าเปิดไฟล์ที่มาจากแหล่งที่ท่านไม่รู้จัก

สำหรับการปฏิบัติการด้านความปลอดภัย:

  1. ใช้ Signature ยืนยันตัวบุคคล ใช้แอนตี้ไวรัส
  2. ใช้คุณสมบัติด้านความปลอดภัยแซนบ๊อกซิ่ง (Sandboxing) ตรวจสอบไฟล์ที่แนบมาทางอีเมล์
  3. ใช้วิธีการตรวจตราด้วยการสังเกตพฤติกรรม (Behavior-based detections)
  4. ใช้อุปกรณ์ไฟร์วอลล์ และที่ไฟร์วอลล์ ให้ตรวจสอบเหตุการณ์ที่เกิดขึ้นที่ Command & Control
  5. จัดการแยกส่วน (Segment) เพื่อป้องกันไม่ให้แรนซัมแวร์นั้นแพร่กระจายไปในเครือข่าย  และทำสำรองข้อมูลที่ได้เข้ารหัสไว้แล้วนั้นด้วย
  6. ตรวจสอบให้แน่ใจว่า โปรแกรมควบคุมเครื่องคอมพิวเตอร์ระยะไกลที่มากับวินโดวส์(Remote Desktop Protocol) นั้นปิดอยู่และ / หรือมีการตรวจสอบสิทธิ์อย่างถูกต้อง หรือไม่เช่นนั้น ให้จำกัดไม่ให้มีการเปิดเดสท้อปในระยะไกลได้อย่างเสรี

ข้อแนะนำทั่วไป:

  1. ถ้าเครือข่ายของท่านเกิดติดภัยนี้แล้ว อย่าจ่ายค่าไถ่
  2. ติดต่อหน่วยงานที่มีความน่าเชื่อถือ และแบ่งปันข้อมูลของท่าน เช่น ตำรวจ เพื่อให้ความช่วยเหลือแก่ผู้อื่นๆ โดยรวม ในการวิเคราะห์ จำกัดภัยและแก้ไขการโจมตีที่เกิดขึ้น

นอกจากนี้ ท่านสามารถดูภัยเรียกค่าไถ่ที่เกิดขึ้นทั้งหมดและรับคำแนะนำอื่นๆ  ได้ที่  http://blog.fortinet.com/2017/06/27/new-ransomware-follows-wannacry-exploits

Leave a Reply

Your email address will not be published. Required fields are marked *