หากเราโดน Ransomware โจมตีไปแล้ว จะแก้ไขปัญหาที่เกิดขึ้นนี้ได้อย่างไร เรามาหาแนวทางแก้ไขปัญหาได้จากบทความนี้กัน
แนวทางการแก้ไขในกรณีโดน Ransomware
เนื่องจาก Ransomware มีจุดประสงค์หลักในการเรียกค่าไถ่ไฟล์ที่อยู่ในเครื่องคอมพิวเตอร์ของเรา ซึ่งโดยมากแล้วเครื่องคอมพิวเตอร์จะยังสามารถทำงานได้อยู่ สำหรับผู้ใช้งานทั่วไปหากพบว่าโดน Ransomware แล้วแนะนำให้แจ้งเจ้าหน้าที่ไอทีโดยเร่งด่วนและไม่ควรใช้งานเครื่องคอมพิวเตอร์ดังกล่าว สำหรับเจ้าหน้าที่ไอทีแล้วเราสามารถจัดลำดับขั้นตอนการแก้ไขหากพบว่าถูก Ransomware โจมตี (อ้างอิงตามหลักการจอง NIST เรื่อง Computer Security Incident Handling Guide เวอร์ชัน SP800-61) โดยเขียนเป็นแผงผังได้ดังรูป
- สำรวจความเสียหาย เพื่อประเมินความเสียหายที่เกิดขึ้น มีไฟล์ใดบ้างหรือระบบไหนเสียหายจากการโดน Ransomware โจมตีไปบ้าง เริ่มโดนโจมตีตั้งแต่เมื่อไหร่ สังเกตได้จากวันที่ที่มีการแก้ไขของไฟล์นั้นๆ ซึ่งการโดน Ransomware จะพบว่าไฟล์จะมีการเปลี่ยนนามสกุลและมีเวลาแก้ไขที่ใกล้เคียงกัน เช่น ตัวอย่างรูปด้านล่างจะพบว่าโดน Ransomware โจมตีเมื่อวันที่ 17 มกราคม ค.ศ. 2022 เวลาประมาณ 16:37 น. ซึ่งโดนโจมตีโดย Ransomware ที่ใช้นามสกุล “Cryptedpay” หรือดูได้จากหน้าต่างการแจ้งให้ชำระเงินค่าไถ่ก็มักจะบอกว่าโดน Ransomware ชนิดไหนอยู่
-
แยกระบบที่เสียหายออกมา (Containment) เพื่อไม่ให้ Ransomware โจมตีไปยังระบบอื่นๆ ซึ่งสามารถแยกเป็นการจัดการได้ดังนี้
-
หากเป็นเครื่องคอมพิวเตอร์แบบเดสก์ท็อป เครื่องคอมพิวเตอร์แบบโน้ตบุ๊กที่ใช้สายแลนก็ทำการถอดสายแลนออก ห้ามเชื่อมต่อในระบบโดยเด็ดขาด
-
หากเป็นเครื่องคอมพิวเตอร์แบบโน้ตบุ๊กที่ใช้ WiFi ก็ให้ปิดการทำงาน (Disable) อุปกรณ์ WiFi บนระบบปฎิบัติการ
-
หากเป็นเครื่องเซิร์ฟเวอร์แบบ Physical หรืออุปกรณ์ NAS (Network Attached Storage) ให้ถอดสายแลนเครื่องดังกล่าวออก เพราะต่อให้เสียบสายแลนก็ไม่สามารถใช้งานเครื่องเซิร์ฟเวอร์ได้อยู่ดี
-
หากเป็นเครื่องเซิร์ฟเวอร์แบบ Virtual Machine หรือ VM ให้ยกเลิกการใช้ Ethernet ที่ระบบ Hypervisor อย่างเช่น Vmware, Hyper-V, Nutanix, Sangfor หรือ Proxmox หรืออื่นๆ ตามที่ใช้งานอยู่
-
เปลี่ยนรหัสผ่านทั้งหมด โดยเฉพาะของผู้ดูแลระบบ เนื่องจากเราไม่ทราบช่องทางการโจมตีว่ามาจากทางไหนบ้าง ซึ่งหนึ่งในความเสี่ยงคือโจรอาจจะเดารหัสผ่านได้ เช่นในระบบที่มีการใช้งาน Active Directory (AD) ในระบบ ซึ่งระบบที่โดนโจมตีนั้นอาจจะเป็นระบบหนึ่งในเครือข่าย แต่ภายใต้การใช้งานระบบ Active Directory จะเป็นการใช้งานผู้ดูแลระบบเดียวกันทั้งหมดในโดเมน ดังนั้นการเปลี่ยนรหัสผ่านทั้งหมดถือเป็นการป้องกันก่อนที่จะเสียหายไปมากกว่าเดิม
-
มีระบบสำรองข้อมูลอยู่หรือไม่ โดยแยกเป็น 2 กรณีดังนี้
-
มีระบบสำรองข้อมูลแล้ว และข้อมูลที่มีการสำรองเอาไว้ไม่ห่างจากตอนที่โดนโจมตีไม่มากนัก เช่นห่างกันไม่เกิน 1 – 2 วัน แนะนำว่าให้กู้คืนไฟล์ดังกล่าวแทน เพื่อให้ระบบสามารถกลับมาทำงานได้ได้เร็วที่สุด โดยการกู้คืนนั้นแนะนำให้เป็นการกู้คืน (Restore) แบบทั้งระบบหรือ Full Recovery ทั้งระบบปฎิบัติการและข้อมูล เนื่องจากระบบปฎิบัติการที่โดน Ransomware ไปแล้วมักจะมีไฟล์หรือโปรแกรมมัลแวร์หลงเหลืออยู่ การกู้คืนเฉพาะไฟล์ ก็มีความเสี่ยงที่จะโดน Ransomware โจมตีได้อีก โดยอาจจะพิจารณาเก็บไฟล์ที่โดน Ransomware โจมตีเอาไว้ก็ได้หรือไม่เก็บก็ได้ ซึ่งในความเห็นส่วนตัวแล้วโอกาสกู้คืนไฟล์จะค่อนข้างน้อยเนื่องจาก Ransomware ที่โจมตีมักจะเป็นเวอร์ชันใหม่ที่ระบบป้องกันมัลแวร์ไม่รู้จักเลยไม่สามารถป้องกันได้นั่นเอง
- หากไม่มีระบบสำรองข้อมูล แนะนำให้ติดตั้งระบบใหม่ทดแทนส่วนที่โดนโจมตี โดยอาจจะสำรองไฟล์ที่โดนโจมตีเอาไว้ก็ได้ (หากมีเวลา) โดยที่เราไม่ควรจะใช้งานระบบที่โดน Ransomware แล้ว เนื่องจากในระบบดังกล่าวถือว่าไม่ปลอดภัย มีความเสี่ยงสูงมากที่จะโดน Ransomware ได้อีกในอนาคตหากยังใช้งานระบบเดิมอยู่
-
กู้คืนไฟล์ที่โดน Ransomware โจมตี โดยขั้นตอนนี้มีโอกาสได้ไฟล์ที่ถูกเข้ารหัสได้น้อยมาก ขึ้นอยู่กับว่าโดน Ransomware ชนิดไหนโจมตี หากโชคดีโดน Ransomware เวอร์ชันเก่าที่มีคนเคยโดนโจมตีมาก่อน หรือผู้ผลิตโปรแกรมป้องกันมัลแวร์นำมาเผยแพร่ก็อาจจะกู้คืนไฟล์ดังกล่าวได้ ซึ่งมีเว็บไซต์ที่รวบรวมเครื่องมือถอดรหัส เช่น เว็บไซต์ https://www.nomoreransom.org ที่รวบรวมเครื่องมือถอดรหัสมาให้ แต่ไม่มีครบทุกตัวเนื่องจาก Ransomware มีจำนวนมากและเพิ่มขึ้นเรื่อยๆ ในทุกวันนั่นเอง
โดยเว็บไซต์ www.nomoreransom.org จะให้เราอัปโหลดไฟล์ที่โดน Ransomware โจมตีขึ้นไปในระบบในหัวข้อ “Crypto Sheriff” เพื่อระบุว่าโดน Ransomware ชนิดไหนโจมตี เนื่องจากไฟล์ที่โดนโจมตีอาจจะมีหลายนามสกุลตามที่โจรจะตั้งขึ้นมา การอัปโหลดไฟล์และรายละเอียดอื่นๆ ที่ปรากฏในข้อความเรียกค่าไถ่เพื่อตรวจสอบว่าเป็นโดน Ransomware ชนิดไหน ก่อนที่จะไปหาเครื่องมือถอดรหัสในหัวข้อ “Decryption Tools” ต่อไป
หรืออาจจะลองตรวจสอบจากเว็บไซต์ https://noransom.kaspersky.com ก็เป็นอีกทางเลือกหนึ่ง
-
สรุปผลที่เกิดขึ้น พร้อมทั้งหาแนวทางแก้ไขในอนาคต หรือ Post-Incident Activity ซึ่งขั้นตอนดังกล่าวเป็นการป้องกันปัญหาที่จะเกิดขึ้นซ้ำอีกในอนาคต ถือว่าเป็นการเรียนรู้จากปัญหาที่เกิดขึ้นนั่นเอง ซึ่งเว็บไซต์ www.nomoreransom.org ก็ได้ทำสรุปเอาไว้เป็นหัวข้อต่างๆ ที่น่าสนใจดังนี้
-
ติดตั้งโปรแกรมอัปเดททั้งส่วนของโปรแกรม และระบบปฎิบัติการให้ทันสมัยตลอดเวลา รวมไปถึงหาเครื่องมือควบคุมการอัปเดทระบบทั้งหมดเพื่อให้มั่นใจว่าระบบยังปลอดภัยอยู่ ซึ่งในปัจจุบันโปรแกรมป้องกันมัลแวร์แบบองค์กรมักจะมีฟีเจอร์ดังกล่าวมาให้เพื่อใช้ในการตรวจสอบเครื่องไคลเอนต์ในองค์กรทั้งหมด
-
สำรวจ และตรวจสอบข้อมูลที่สำคัญขององค์กร รวมไปถึงมีการแยกเครือข่ายที่สำคัญออกมาก (network segregation) เช่น การแยกเครื่องไคลเอนต์ภายออฟฟิสออกจากระบบ Wi-Fi สำหรับแขก (หรือ Guest Wi-Fi) รวมไปถึงการแยกเครือข่ายของเครื่องเซิร์ฟเวอร์ที่สำคัญ (อย่างเช่น ระบบ ERP) ออกจากเครือข่ายของเครื่องไคลเอนต์โดยอุปกรณ์ไฟร์วอลล์ควบคุม เป็นต้น
-
ป้องกันการรีโมทจากภายนอก โดยเฉพาะการ Remote Desktop (หรือ RDP Protocol) ที่ไม่ควรเปิดให้เข้าถึงจากอินเทอร์เน็ต หากเป็นไปได้อาจจะใช้งาน Multi-factor Authentication (MFA) เพื่อป้องกัน หรืออาจจะประยุกต์ใช้งาน VPN (Virtual Private Network) ในการเข้าถึงจากอินเทอร์เน็ต
-
ตรวจสอบไฟล์เป็นประจำ เพื่อดูว่าข้อมูลที่ใช้งานยังครบถ้วนปลอดภัยอยู่หรือไม่
-
ทดสอบความปลอดภัยของระบบ (Penetration Test) ซึ่งขั้นตอนนี้ขึ้นอยู่กับความสำคัญของระบบในแต่ละองค์กร บางองค์กรอาจจะเป็นการตรวจสอบช่องโหว่ (Vulnerability Assessment หรือ VA)
-
ลดความเสี่ยงที่อาจจะเกิดขึ้นในการโดนโจมตีมัลแวร์ เช่น ยกเลิกการใช้งาน Macro ในโปรแกรม Microsoft Office เป็นต้น ติดตั้งระบบไฟร์วอลล์ เปิดการใช้งาน URL Filtering บนไฟร์วอลล์เพื่อป้องกันผู้ใช้งานเข้าเว็บไซคต์ที่มีความเสี่ยง เช่นเว็บลามกอนาจาร เว็บ Phishing เป็นต้น รวมไปถึงการปิดช่องทาง VPN จากออฟฟิสไปยังระบบภายนอกโดยไม่จำเป็น
-
กำหนดรหัสผ่านให้มีความแข็งแรง ยากต่อการคาดเดา รวมไปถึงการบังคับให้มีการเปลี่ยนรหัสผ่านตามระยะเวลาที่กำหนด
-
เปิดการใช้งาน Multi-Factor Authentication (MFA) หากระบบรองรับ
-
ตรวจสอบสิทธิการใช้งานของผู้ใช้งานแต่ละคน รวมไปถึงของเจ้าหน้าที่ไอทีให้มีสิทธิการใช้งานเท่าที่จำเป็น (Least Privileges) เพราะหากโดนโจมตีก็จะเสียหายไม่มาก หรือเสียหายเฉพาะไฟล์ที่ผู้ใช้งานคนนั้นมีสิทธิ
-
ตรวจสอบอุปกรณ์ที่เข้าใช้งานผ่านทางรีโมท โดยเฉพาะองค์กรที่มีนโยบายทำงานจากที่บ้าน (Work from home) เนื่องจากเครื่องคอมพิวเตอร์ที่เชื่อมต่อเข้ามาอาจจะเป็นเครื่องคอมพิวเตอร์ส่วนตัวของพนักงานซึ่งในบางครั้งอาจจะไม่ปลอดภัย
-
ติดตั้งโปรแกรมที่ใช้งานจากแหล่งที่เชื่อถือได้ หากเป็นโปรแกรมให้ดาว์นโหลดจากผู้ผลิตโดยตรง
-
อบรมพนักงาน (Security Awareness Training) ให้ตระหนักถึงความเสี่ยง และเข้าใจเรื่องของความปลอดภัยด้านไซเบอร์ เนื่องจากบ่อยครั้งของการโจมตีเกิดจากความไม่รู้ของพนักงานในองค์กร
-
ติดตั้งระบบสำรองข้อมูล พร้อมทั้งทดสอบการทำงานและพิจารณาการสำรองข้อมูลให้เหมาะสม ซึ่งอาจจะใช้รูปแบบการสำรองข้อมูลด้วยกฎ 3-2-1 ก็ถือว่าเป็นวิธีการสำรองข้อมูลที่เหมาะสม
-
พิจารณาใช้โปรแกรมประเภท Endpoint Detection and Recovery (EDR) เพื่อช่วยป้องกันมัลแวร์ที่หลุดจากการป้องกันมัลแวร์แบบดั้งเดิมที่เรียกว่า Endpoint Protection Platform หรือ EPP
บทสรุป
หากโดน Ransomware โจมตีแล้ว โอกาสในการกู้คืนไฟล์นั้นถือว่าต่ำมาก การจ่ายเงินค่าไถ่อาจจะไม่คำตอบที่ดีนัก ซึ่งในบางครั้งค่าไถ่ที่จ่ายมากกว่าการติดตั้งระบบสำรองข้อมูลหรือระบบรักษาความปลอดภัยหลายเท่าเลยทีเดียว ความเห็นส่วนตัวของผมคิดว่าการป้องกันดีกว่าการแก้ไข ดั่งสุภาษิตไทยที่ว่า “วัวหายล้อมคอก” หรือ “เสียน้อยเสียยาก เสียมากเสียง่าย” นั่นเอง
อ้างอิง: