แนวทางป้องกันและแก้ไขหากโดน Ransomware โจมตี

หากเราโดน Ransomware หรือโปรแกรมเรียกค่าไถ่ โจมตีในระบบเราจะทำอย่างไร จะป้องกันได้อย่างไร หากเราโดนโจมตีแล้วแสดงว่าระบบการ Anti-Malware ของเราไม่ดีหรือไม่ ควรจะต้องเปลี่ยนเป็นโปรแกรมอื่นแล้วจะไม่โดนใช่หรือไม่ บทความนี้จะมาแชร์ข้อมูลให้ฟัง

Ransomware คืออะไร
หากเราลองค้นหาข้อมูลจาก Google จะพบคำอธิบายเกี่ยวกับ Ransomware จำนวนมาก ซึ่งคำว่า Ransomware มาจาก “Ransom” (ค่าไถ่) กับ “Software”  (ซอฟต์แวร์) หรือแปลตรงตัวว่าเป็นซอฟต์แวร์เรียกค่าไถ่ อธิบายในเชิงวิชาการนิดนึงจะได้ว่า Ransomware จัดเป็นเป็น “มัลแวร์ (Malware)” ชนิดหนึ่ง ซึ่งมัลแวร์ (ย่อมาจาก “Malicious Software” หรือ โปรแกรมที่เป็นอันตรายต่อระบบคอมพิวเตอร์) นั่นเอง ซึ่งเราอาจจะคุ้นเคยกับไวรัสคอมพิวเตอร์, Worm หรือหนอนคอมพิวเตอร์, ม้าโทรจัน (Trojan Horse) และโปรแกรมสอดแนม (Spyware) ก็ล้วนแล้วแต่เป็นมัลแวร์ทั้งสิ้น

 Ransomware_01.png

 Ransomware_02.png

จากภาพด้านบนเป็นตัวอย่างมัลแวร์ชนิดต่างๆ จากเว็บไซต์ผู้ผลิตโปรแกรมป้องกันมัลแวร์ยี่ห้อ Avast และ Norton ซึ่งจะเห็นได้ว่ามัลแวร์มีมากมายหลายชนิด โดย Ransomware ก็ถือว่าเป็นชนิดหนึ่งของมัลแวร์นั่นเอง เป็นสาเหตุที่โปรแกรมป้องกันไวรัสทั้งหลายมักจะเรียกตัวเองว่าโปรแกรมป้องกันมัลแวร์ (Anti-Malware) เพราะคำอธิบายครอบคลุมกว่าโปรแกรมป้องกันไวรัส (Anti-Virus) ในคราวหลังถ้าเราจะเรียกโปรแกรมป้องกันไวรัส ขอให้เรียกเป็นโปรแกรมป้องกันมัลแวร์จะครอบคลุมมากกว่า (และดูดีกว่าเหมือนเรามีความเข้าใจเรื่องดังกล่าวนั่นเอง 😊)

โดยลักษณะที่พบเมื่อเครื่องติด Ransomware แล้ว โปรแกรม Ransomware จะทำการเข้ารหัสไฟล์ทั้งหมดของเครื่องเหยื่อซึ่งเป้าหมายหลักคือไฟล์เอกสารต่างๆ ไม่ว่าจะเป็นไฟล์ MS Office, ไฟล์งาน, ไฟล์รูป, ไฟล์เพลง, ไฟล์วิดีโอต่างๆ โดยโปรแกรม Ransomware จะไม่แตะต้องไฟล์ของระบบปฎิบัติการเลย เพราะถ้าเข้ารหัสไฟล์เหล่านี้ เครื่องก็จะเปิดไม่ขึ้น เหยื่อก็จะไม่จ่ายเงินค่าไถ่นั่นเอง เมื่อโปรแกรม Ransomware เข้ารหัสเสร็จจะก็ขึ้นข้อความข่มขู่ให้จ่ายเงินค่าไถ่ ซึ่งแน่นอนว่าการจ่ายเงินมักจะมาในรูปแบบของสกุลเงินแบบคริปโต (Crypto-currency) เพราะมีคุณสมบัติเด่นคือที่ไม่สามารถติดตามตัวได้ หรืออีกนัยยะหนึ่งคือสืบกลับไม่ได้ว่าโจรเป็นใครนั่นเอง โดยการโจมตีด้วยโปรแกรม Ransomware เป็นที่นิยมเป็นอย่างมากของเหล่าโจรในโลกไซเบอร์ อาจจะลองจินตการง่ายๆ ว่าหากเราเป็นโจรในโลกไซเบอร์การโจมตีด้วย Ransomware เป็นช่องทางทำเงินที่ดีที่สุดเพราะหากเครื่องของเหยื่อติดและยอมจ่ายเงินจริงก็ได้เงินดีกว่าการโจมตีแบบอื่นๆ ความคาดหวังอาจจะขอแค่ 0.01% ที่จะมีคนหลงเชื่อยอมจ่ายเงินก็ได้ ซึ่งดีกว่าการโจมตีแบบอื่นที่ไม่มีการได้เงินที่ชัดเจนแบบ Ransomware 

 Ransomware_03.png

จากภาพด้านบน เป็นตัวอย่างข้อความเรียกค่าไถ่ของ WannaCry ransomware ที่โด่งดังมากในช่วงปี ค.ศ. 2017 โดยมีเป้าหมายโจมตีเครื่องที่ใช้ระบบปฎิบัติการ Microsoft Windows เป็นหลัก ซึ่งจะเห็นได้ว่าโจรมีการอธิบายข้อมูลรายละเอียดเอาไว้ทั้งหมด พร้อมทั้งคู่มืออธิบายซื้อ Crypto-Current ที่ชื่อ Bitcoin เอาไว้ อีกทั้งยังมีช่องทางการติดต่อ (Contact Us) เผื่อเอาไว้ในกรณีที่ไม่สามารถชำระเงินได้อีกด้วย

โปรแกรม Anti-Malware สามารถป้องกัน Ransomware ได้จริงหรือไม่?
ข้อความดังกล่าวเป็นจริงบางส่วนแต่ไม่ทั้งหมด หรืออธิบายได้ว่าหากเป็น Ransomware เก่าๆ ก็อาจจะป้องกันได้ แต่ถ้าหากเป็นเวอร์ชันใหม่ก็จะหลุดแน่นอน แล้วในกรณีอย่างนี้จะป้องกันได้อย่างไร? ก่อนอื่นเลยคงต้องอธิบายหลักการทำงานของโปรแกรม Anti-Malware ก่อนเพื่อจะได้เห็นภาพ ซึ่งโดยทั่วไปโปรแกรมป้องกันมัลแวร์จะแบ่งการทำงานออกเป็น 2 แบบหลักๆ ดังนี้

1. Endpoint Protection Platform (EPP) เป็นโปรแกรมป้องกันที่ทำงานโดยใช้ฐานข้อมูล (Malware Signature หรือ Signature based) เพื่อตรวจสอบว่าไฟล์ดังกล่าวเป็นไฟล์มัลแวร์หรือไม่ หากไฟล์ดังกล่าวมี Digital Signature ตรงกันกับฐานข้อมูลก็ถือว่าเป็นมัลแวร์ และจัดการตามที่ได้คอนฟิกเอาไว้

2. Endpoint Detection and Response (EDR) เป็นโปรแกรมป้องกันที่ทำงานโดยพิจารณาจากพฤติกรรมของโปรแกรมนั้นๆ (Behavior หรือ Behavior based) หากมีพฤติกรรมต้องสงสัย เช่น มีการอ่านเขียนไฟล์จำนวนมากๆ ในระยะเวลาสั้นๆ ก็ถือว่ามีความเสี่ยงที่จะเป็น Ransomware เป็นต้น เทคนิคการตรวจจับเรียกว่า “Sandbox” (สนามทราย เป็นการเปรียบเทียบสนามทรายของสนามเด็กเล่นในต่างประเทศเพื่อให้เด็กมาเล่นบนพื้นที่ดังกล่าวโดยไม่เกี่ยวข้องกับพื้นที่จริง) ส่วนวิธีจัดการขึ้นอยู่กับฟีเจอร์ของโปรแกรมนั้นว่าสามารถจัดการได้อย่างไร บางยี่ห้อสามารถปิดโปรแกรม Ransomware และกู้คืนไฟล์ที่เสียหายได้บางส่วน บางนี่ห้อได้แค่แจ้งเตือนผู้ดูแลระบบ เป็นต้น

ในสถานการณ์จริง โจรไซเบอร์ก็มักจะทราบอยู่แล้วว่าเครื่องเป้าหมายมีการติดตั้งโปรแกรม EPP เอาไว้ อาจจะเป็นยี่ห้อใดยี่ห้อหนึ่ง ซึ่งโจรไซเบอร์จะต้องสร้าง Ransomware ที่ใหม่และยังไม่มีข้อมูลในฐานข้อมูลของโปรแกรม Anti-Malware นั่นเอง หากโปรแกรม Ransomware มีข้อมูลอยู่ในฐานข้อมูลมัลแวร์แล้วก็ไม่สามารถยึดเครื่องได้ หรือแปลในอีกนัยยะหนึ่งได้ว่าหารายได้ไม่ได้นั่นเอง ในทางปฎิบัติแนะนำให้ติดตั้งโปรแกรมป้องกันมัลแวร์แบบ EPP เป็นการป้องกันขั้นต่ำในองค์กร ส่วนโปรแกรม EDR จะเป็นส่วนเสริมเผื่อในกรณีที่ไฟล์ดังกล่าวหลุดจาก EPP ก็คาดหวังให้ EDR สามารถป้องกันได้นั่นเอง หรืออธิบายในอีกมุมหนึ่งคือทำงานเสริมซึ่งกันและกัน ไม่ได้ทำงานทดแทนกัน ซึ่งติดตั้งในองค์กรนั้นจะต้องติดตั้งทุกเครื่องในระบบทั้งหมดไม่ว่าจะเป็นเครื่องไคลเอนต์ และเครื่องเซิร์ฟเวอร์ บ่อยครั้งผู้เขียนมักจะโดนถามว่าติดตั้งแค่เครื่องเซิร์ฟเวอร์ได้หรือไม่ เพียงพอหรือไม่ ให้ลองคิดภาพตามหากเครื่องเซิร์ฟเวอร์ดังกล่าวเป็นไฟล์เซิร์ฟเวอร์ที่มีการเปิดสิทธิในเครื่องไคลเอนต์สามารถอ่านเขียนไฟล์ได้ทั้งหมด แล้วเกิดเครื่องไคลเอนต์ในองค์กรเครื่องหนึ่งติด Ransomware ขึ้นมา หรือเครื่องส่วนตัวของพนักงาน VPN เข้าในในองค์กรบังเอิญเครื่องดังกล่าวมีการทำ Network Drive เอาไว้ด้วย สิ่งที่ไฟล์เซิร์ฟเวอร์เห็นก็จะพบว่ามีเครื่องไคลเอนต์อย่างน้อย 1 เครื่องที่อ่านเขียนไฟล์ตลอดแต่ไม่สามารถป้องกันได้เพราะเครื่องที่ติด Ransomware ไม่ได้เป็นเซิร์ฟเวอร์นั่นเอง ซึ่งเคสดังกล่าวเป็นเคสที่ผู้เขียนมักพบเสมอและยกตัวอย่างเป็นกรณีศึกษานั่นเอง

กันไว้ดีกว่าแก้ หากป้องกัน Ransomware ไม่สำเร็จ การสำรองข้อมูลถือเป็นสิ่งที่ต้องทำ
หากพิจารณาจากความเสี่ยงแล้ว ต่อให้เรามีโปรแกรม EPP และ EDR เอาไว้ในระบบ แต่ก็ไม่สามารถมั่นใจได้ว่าป้องกันได้ 100% อยู่ดี การมีระบบสำรองข้อมูลจึงเป็นการป้องกันอีกขึ้นหนึ่งเพราะถ้าหากเกิดปัญหาจริง ก็ยังสามารถกู้ข้อมูลที่มีปัญหากลับมาได้ และถ้าจะให้ดีก็ควรจะสำรองข้อมูลด้วยกฎ 3-2-1 เพื่อให้มั่นใจว่าข้อมูลที่สำรองเอาไว้นั้นปลอดภัยตามข้อกำหนด

ส่วนตัวแล้ว ผู้เขียนเคยเจอเคสที่มีการทำการสำรองข้อมูลเอาไว้และพื้นที่สำรองข้อมูลนั้นอยู่บน NAS ภายนอก แต่ NAS ดังกล่าวมีการเปิดแชร์ไฟล์เอาไว้โดยไม่มีการป้องกันการเข้าถึงเฉพาะเครื่องเซิร์ฟเวอร์สำหรับการสำรองข้อมูล แต่เป็นการเปิดเอาไว้ให้ผู้ใช้งานทั้งองค์กรสามารถเข้าถึงได้ เพราะใช้งาน NAS ดังกล่าวเป็นแชร์ไฟล์ภายในองค์กรด้วย เมื่อโดน Ransomware โจมตีก็เข้ารหัสไฟล์ทั้งหมดรวมไปถึงพื้นที่ที่สำรองข้อมูลเอาไว้ด้วย ในกรณีศึกษานี้ถือได้ว่าการสำรองข้อมูลมีการจัดการที่ไม่ดีเพียงพอ (ไม่ได้ทำตามกฎ 3-2-1) จึงส่งผลกระทบดังกล่าวนั่นเอง

หากโดน Ransomware ไปแล้ว จะทำยังไงดี จ่ายเงินแล้วจะได้ไฟล์คืนกลับมาหรือไม่
กรณีที่โดน Ransomware แล้ว ไม่ควรจ่ายเงินค่าไถ่ให้โจรเพราะไม่สามารถยืนยันได้ว่าค่าไถ่ที่เสียไปจะได้ไฟล์คืนกลับมา ดังสุภาษิตไทยที่ว่า “ไม่มีสัจจะในหมู่โจร” นั่นเอง แนวทางการแก้ไขอ้างอิงจากกรอบแนวคิดการป้องกันจาก NIST (สถาบันมาตรวิทยาแห่งชาติ ประเทศสหรัฐอเมริกา) ได้ออกมาตรฐานเรื่อง “Computer Security Incident Handling Guide” เวอร์ชัน SP800-61 revision 2 ซึ่งอธิบายเอาไว้ดังรูป

Ransomware_04.png 

1. Preparation คือ การเตรียมความพร้อม เช่น การติดตั้งไฟร์วอลล์ในระบบ, การติดตั้งโปรแกรม Anti-Malware ทั้งแบบ EPP และ EDR รวมไปถึงการอบรมการใช้งานคอมพิวเตอร์อย่างปลอดภัยให้กับพนักงานภายใน เป็นต้น
2. Detection & Analysis คือ การตรวจสอบผลที่ได้จากขั้นตอนแรก หากตรวจสอบพบปัญหาจึงทำการประเมินความเสียหายที่เกิดขึ้นและแจ้งผู้ที่เกี่ยวข้อง
3. Containment, Eradication & Recovery คือ การควบคุมความเสียหายไม่ให้ลุกลามมากขึ้น (Containment) จากนั้นค่อยทำการแก้ไขส่วนที่เสียหายและกู้คืนระบบดังกล่าว (Eradication & Recovery)
4. Post-incident activity คือ การสรุปเก็บรวบรวมปัญหาที่เกิดขึ้นทั้งหมดเพื่อนำมาวางแผนป้องกันการเกิดซ้ำในอนาคต

หากเปรียบเทียบกับกรณีการเกิด Ransomware ในบริษัท เมื่อค้นพบว่าติด Ransomware แล้ว ให้แยกส่วนที่ติด Ransomware ออกมาจากระบบหลักเพื่อป้องกันความเสียหายลุกลามไปยังระบบอื่นๆ จากนั้นจึงค่อยซ่อมแซมระบบที่เสียหายดังกล่าวโดยอาจจะกู้คืนไฟล์โดยอาศัยกุญแจที่มีการเปิดเผยออกมาแล้วในเว็บไซต์ https://www.nomoreransom.org หรืออาจจะกู้คืนไฟล์ที่ได้จากระบบสำรองข้อมูลนั่นเอง

อ้างอิง: