วิธีการป้องกันและป้องกันการโจมตีและการติดเชื้อของแรนซัมแวร์

คู่มือ(Ransomware)การป้องกัน และป้องกันแรน ซัม(Ransomware) แวร์นี้จะกล่าวถึงการป้องกันแรนซัมแวร์ และขั้นตอนที่คุณสามารถทำได้เพื่อบล็อกและป้องกันแร(Ransomware) นซัม แวร์ มัลแวร์ตัวใหม่ที่สร้างข่าวสารรอบด้านด้วยเหตุผลที่ไม่ถูกต้อง

ครั้ง(Time)แล้วครั้งเล่าที่เราได้เรียนรู้เกี่ยวกับภัยคุกคาม และมัลแวร์รูปแบบใหม่ๆ เช่นRansomwareที่เป็นอันตรายต่อผู้ใช้คอมพิวเตอร์ ไวรัสแรนซัมแวร์ล็อกการเข้าถึงไฟล์หรือคอมพิวเตอร์ของคุณและต้องการให้มีการจ่ายค่าไถ่ให้กับผู้สร้างเพื่อรับการเข้าถึงอีกครั้ง โดยปกติแล้วจะได้รับอนุญาตผ่านบัตรกำนัลเงินสดแบบชำระเงินล่วงหน้าที่ไม่ระบุชื่อหรือBitcoin ภัยคุกคามจากแรนซัมแว ร์เฉพาะที่สามารถดึงดูดความสนใจได้ในช่วงเวลาที่ผ่านมาคือCryptolockerนอกเหนือจาก แรนซัมแวร์ FBI , Crilock & Locker

ความพิเศษของแรนซัมแวร์คือมันมาด้วยตัวเอง (มักจะมาทางอีเมล์) หรือทางแบ็คดอร์หรือตัวดาวน์โหลด ซึ่งนำมาเป็นส่วนประกอบเพิ่มเติม คอมพิวเตอร์ของคุณอาจติดแรนซัมแวร์ เมื่อคุณคลิกลิงก์ที่เป็นอันตรายในอีเมล ข้อความโต้ตอบแบบทันที ไซต์เครือข่ายสังคมออนไลน์ หรือในเว็บไซต์ที่ถูกบุกรุก หรือหากคุณดาวน์โหลดและเปิดไฟล์แนบอีเมลที่เป็นอันตราย ยิ่งไปกว่านั้น เช่นเดียวกับไวรัสที่มีชื่อเสียง โปรแกรมป้องกันไวรัสส่วนใหญ่อาจตรวจไม่พบ และแม้ว่าซอฟต์แวร์แอนตี้ไวรัสของคุณสามารถลบแรนซัมแวร์ได้หลายครั้ง คุณก็จะเหลือไฟล์และข้อมูลที่ถูกล็อคไว้มากมาย!

ป้องกันการเข้ารหัสลับ ransomware

วิธีป้องกันแรนซัมแวร์

แม้ว่าสถานการณ์จะน่าเป็นห่วงและผลที่ตามมาอาจถึงแก่ชีวิตได้ในกรณีส่วนใหญ่ หากคุณไม่ปฏิบัติตามกฎของผู้สร้างมัลแวร์ เนื่องจากไฟล์ที่เข้ารหัสอาจเสียหายเกินกว่าจะซ่อมแซมได้ คุณสามารถใช้มาตรการป้องกันบางอย่างเพื่อป้องกันไม่ให้เกิดปัญหาได้ คุณสามารถป้องกันการเข้ารหัสแรนซัมแวร์ได้! ให้เราดูขั้นตอนการป้องกัน Ransomware(Ransomware prevention steps) ที่ คุณสามารถทำได้ ขั้นตอนเหล่า นี้สามารถช่วยคุณบล็อกและป้องกันRansomware

อัปเดตระบบปฏิบัติการและซอฟต์แวร์ความปลอดภัย(Updated OS & security software)

ไปโดยไม่บอกว่าคุณใช้ระบบปฏิบัติการสมัยใหม่ที่อัปเดตอย่างสมบูรณ์(fully updated modern operating system)เช่น Windows 10/8/7 ซอฟต์แวร์ป้องกันไวรัส(antivirus software)(good antivirus software or an Internet Security Suite)ที่ดีหรือInternet Security Suiteและเบราว์เซอร์ที่ปลอดภัยที่ได้รับการอัปเดต(updated secure browser)และโปรแกรมรับส่งอีเมลที่อัปเด(updated email client)ต ตั้งค่าไคลเอนต์อีเมลของคุณเพื่อบล็อกไฟล์ .(block .exe files) exe

ผู้เขียน มัลแวร์(Malware)พบว่าผู้ใช้คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการเวอร์ชันที่ล้าสมัยเป็นเป้าหมายที่ง่าย เป็นที่ทราบกันดีว่ามีช่องโหว่บางอย่างที่อาชญากรที่มีชื่อเสียงเหล่านี้สามารถใช้ประโยชน์เพื่อเข้าสู่ระบบของคุณอย่างเงียบ ๆ ดังนั้นควรแก้ไขหรืออัปเดตซอฟต์แวร์ของคุณ ใช้ชุดรักษาความปลอดภัยที่มีชื่อเสียง ขอแนะนำให้เรียกใช้โปรแกรมที่รวมทั้งซอฟต์แวร์ป้องกันมัลแวร์และไฟร์วอลล์ของซอฟต์แวร์ไว้ด้วยกัน เพื่อช่วยให้คุณระบุภัยคุกคามหรือพฤติกรรมที่น่าสงสัย เนื่องจากผู้เขียนมัลแวร์มักส่งรูปแบบใหม่ออกไป เพื่อหลีกเลี่ยงการตรวจจับ คุณอาจต้องการอ่านโพสต์นี้เกี่ยวกับเทคนิค Ransomware & พฤติกรรมของเบราว์เซอร์

อ่านเกี่ยวกับการป้องกันแร(Ransomware protection in Windows 10) นซัมแว ร์ ใน Windows 10(Read about Ransomware protection in Windows 10.)

สำรองข้อมูลของคุณ(Back up your data)

คุณสามารถลดความเสียหายที่เกิดขึ้นในกรณีที่เครื่องของคุณติดRansomwareโดยการสำรองข้อมูลเป็น(regular backups)ประจำ อันที่จริงMicrosoftทำทุกอย่างเต็มที่แล้วและกล่าวว่าการสำรองข้อมูลเป็นการป้องกันแรนซัมแวร์ที่ดีที่สุดรวมถึง Cryptolocker

อย่าคลิกลิงก์ที่ไม่รู้จักหรือดาวน์โหลดไฟล์แนบจากแหล่งที่ไม่รู้จัก(Never click on unknown links or download attachments from unknown sources)

นี้เป็นสิ่งสำคัญ. อีเมล(Email)เป็นเวกเตอร์ทั่วไปที่Ransomware ใช้ เพื่อเข้าถึงคอมพิวเตอร์ของคุณ ดังนั้นอย่าคลิกลิงก์ใด ๆ ที่คุณอาจคิดว่าน่าสงสัย แม้ว่าคุณจะมีข้อสงสัย 1% - อย่า! เช่นเดียวกับเอกสารแนบด้วย คุณสามารถดาวน์โหลดไฟล์แนบที่คุณคาดหวังจากเพื่อน ญาติ และเพื่อนร่วมงานได้อย่างแน่นอน แต่ระวังการส่งต่ออีเมลที่คุณอาจได้รับจากเพื่อนของคุณให้มาก กฎเล็ก ๆ ที่ควรจำในสถานการณ์เช่นนี้: หากสงสัย –(If in doubt – DONT)อย่า ! ดูข้อควรระวังในการเปิดไฟล์แนบอีเมล(when opening email attachments)หรือก่อนคลิกลิงก์ของ(clicking on web links)เว็บ

RansomSaverเป็นโปรแกรมเสริมที่มีประโยชน์มากสำหรับOutlook ของ Microsoft ที่ตรวจจับและบล็อกอีเมลที่มีไฟล์มัลแวร์เรียกค่าไถ่แนบมาด้วย

แสดงนามสกุลไฟล์ที่ซ่อนอยู่(Show hidden file-extension)

แสดงไฟล์นามสกุล

ไฟล์หนึ่งที่ทำหน้าที่เป็นเส้นทางเข้าสู่Cryptolockerคือไฟล์ที่มีนามสกุล “.PDF.EXE” มัลแวร์(Malware)ต้องการปลอมแปลงไฟล์ .exe ของพวกเขาเป็น .pdf ที่ดูไม่เป็นอันตราย (.pdf)ไฟล์ .doc หรือ .txt หากคุณเปิดใช้งานคุณสมบัตินี้เพื่อดูนามสกุลไฟล์แบบเต็ม จะสามารถระบุไฟล์ที่น่าสงสัยและกำจัดไฟล์เหล่านั้นได้ง่ายขึ้นตั้งแต่แรก หากต้องการแสดงนามสกุลไฟล์ที่ซ่อนอยู่ ให้ทำดังนี้:

เปิดแผงควบคุม(Control Panel)และค้นหาตัวเลือก(Options)โฟลเดอร์ (Folder) ภายใต้ แท็บ มุมมอง(View)ให้ยกเลิกการเลือกตัวเลือกซ่อนส่วนขยายสำหรับประเภทไฟล์ที่(Hide extensions for known file types)รู้จัก

Click Apply > OK.ตอนนี้ เมื่อคุณตรวจสอบไฟล์ของคุณ ชื่อไฟล์จะปรากฏพร้อมนามสกุลเสมอ เช่น.doc , .pdf , .txtเป็นต้น ซึ่งจะช่วยให้คุณเห็นนามสกุลจริงของไฟล์

Disable files running from AppData/LocalAppData folders

พยายามสร้างและบังคับใช้กฎภายในWindowsหรือใช้ซอฟต์แวร์ป้องกันการบุกรุก เพื่อไม่ให้แรน ซัม(Ransomware) แว ร์หลายตัวใช้งานรวมถึงCryptolockerเพื่อเรียกใช้ไฟล์สั่งการจากโฟลเดอร์App Data(App Data)หรือLocal App Data Cryptolocker Prevention Kitเป็นเครื่องมือที่สร้างขึ้นโดยThird Tier(Third Tier)ที่ทำให้กระบวนการสร้างนโยบายกลุ่ม(Group Policy) เป็นไปโดยอัตโนมัติ เพื่อปิดใช้งานไฟล์ที่เรียกใช้จาก โฟลเดอร์ข้อมูลแอป และข้อมูล(App Data)แอป(Local App Data)ในเครื่อง รวมถึงการปิดใช้งานไฟล์ที่เรียกใช้งานได้จากการเรียกใช้จากTempไดเร็กทอรีของยูทิลิตี้คลายซิปต่างๆ

แอปพลิเคชันไวท์ลิสต์(Application whitelisting)

รายการที่อนุญาตพิเศษของ แอปพลิเคชันเป็นวิธีปฏิบัติที่ดีที่ผู้ดูแลระบบไอทีส่วนใหญ่ใช้เพื่อป้องกันไม่ให้ไฟล์หรือโปรแกรมปฏิบัติการที่ไม่ได้รับอนุญาตทำงานบนระบบของตน เมื่อคุณทำเช่นนี้ เฉพาะซอฟต์แวร์ที่คุณอนุญาตพิเศษเท่านั้นที่จะได้รับอนุญาตให้ทำงานบนระบบของคุณ ด้วยเหตุนี้ ไฟล์ผู้บริหารที่ไม่รู้จัก มัลแวร์ หรือแรนซัมแวร์จะไม่สามารถเรียกใช้ได้ ดูวิธีการ ไวท์ ลิสต์โปรแกรม

ปิดการใช้งาน SMB1(Disable SMB1)

SMBหรือServer Message Blockเป็นโปรโตคอลการแชร์ไฟล์บนเครือข่ายที่มีไว้สำหรับแชร์ไฟล์ เครื่องพิมพ์ ฯลฯ ระหว่างคอมพิวเตอร์ มีสามเวอร์ชัน – Server Message Block ( SMB ) เวอร์ชัน 1 ( SMBv1 ), SMBเวอร์ชัน 2 ( SMBv2 ) และSMBเวอร์ชัน 3 ( SMBv3 ) ขอแนะนำให้คุณปิดใช้งาน SMB1ด้วยเหตุผลด้านความปลอดภัย

ใช้ AppLocker(Use AppLocker)

ใช้(Use)AppLocker ที่ มีคุณลักษณะในตัวของ Windows เพื่อป้องกันไม่ให้ผู้ใช้ติดตั้งหรือเรียกใช้แอป Windows Store(prevent Users from installing or running Windows Store Apps )และเพื่อควบคุมว่าซอฟต์แวร์ใดควรทำงาน คุณสามารถกำหนดค่าอุปกรณ์ของคุณตามนั้นเพื่อลดโอกาสของการติดเชื้อCryptolocker ransomware(Cryptolocker)

คุณยังสามารถใช้เพื่อบรรเทาแรนซัมแวร์ได้ด้วยการบล็อกไฟล์ปฏิบัติการที่ไม่ได้ลงชื่อ ในสถานที่ที่แรนซัมแวร์เช่น:

  • <โปรไฟล์ผู้ใช้>AppDataLocalTemp
  • \AppData\Local\Temp\ *
  • AppDataLocalTemp**

โพสต์นี้จะบอกวิธีสร้างกฎด้วย AppLocker(create rules with AppLocker)ให้กับแอปพลิเคชันปฏิบัติการและรายการที่อนุญาตพิเศษ

ใช้ EMET(Using EMET)

Enhanced Mitigation Experience Toolkit ปกป้องคอมพิวเตอร์ Windows จาก การโจมตีทางไซเบอร์และการหาช่องโหว่ที่ไม่รู้จัก จะตรวจจับและบล็อกเทคนิคการแสวงหาผลประโยชน์ที่มักใช้เพื่อใช้ประโยชน์จากช่องโหว่ของหน่วยความจำเสียหาย มันป้องกันการเอารัดเอาเปรียบจากการทิ้งโทรจัน(Trojan)แต่ถ้าคุณคลิกเปิดไฟล์ จะไม่สามารถช่วยได้ UPDATE : เครื่องมือนี้ไม่สามารถใช้งานได้ในขณะนี้ Windows 10 Fall Creators UpdateจะรวมEMETเป็นส่วนหนึ่งของWindows Defenderดังนั้นผู้ใช้ OS นี้จึงไม่จำเป็นต้องใช้

ปกป้อง MBR

ปกป้องMaster Boot Record ของคอมพิวเตอร์ของ คุณด้วยMBR Filter

ปิดใช้งานโปรโตคอลเดสก์ท็อประยะไกล(Disable Remote Desktop Protocol)

Ransomwareส่วนใหญ่รวมถึง มัลแวร์ Cryptolockerพยายามเข้าถึงเครื่องเป้าหมายผ่านRemote Desktop Protocol ( RDP ) ซึ่งเป็น ยูทิลิตี้ Windowsที่อนุญาตให้เข้าถึงเดสก์ท็อปของคุณจากระยะไกล ดังนั้น หากคุณพบว่าRDPไม่มีประโยชน์สำหรับคุณ ให้ปิดใช้งานเดสก์ท็อประยะไกล(disable remote desktop)เพื่อป้องกันเครื่องของคุณจากFile CoderและการโจมตีRDP อื่นๆ(RDP)

ปิดการใช้งาน Windows Scripting Host(Disable Windows Scripting Host)

ตระกูล มัลแวร์(Malware)และแรนซัมแวร์มักใช้WSHเพื่อเรียกใช้ไฟล์ .js หรือ .jse เพื่อทำให้คอมพิวเตอร์ของคุณติดไวรัส หากคุณไม่ได้ใช้คุณลักษณะนี้ คุณสามารถปิดใช้งาน Windows Scripting Hostได้เพื่อความปลอดภัย

ใช้เครื่องมือป้องกันหรือกำจัด Ransomware(Use Ransomware prevention or removal tools)

ใช้ซอฟต์แวร์ป้องกันแรนซัมแวร์(free anti-ransomware software)ฟรี ที่ดี BitDefender AntiRansomwareและRansomFreeเป็นสิ่งที่ดี คุณสามารถใช้RanSim Ransomware Simulatorเพื่อตรวจสอบว่าคอมพิวเตอร์ของคุณได้รับการป้องกันเพียงพอหรือไม่

Kaspersky WindowsUnlocker  อาจมีประโยชน์หากRansomwareบล็อกการเข้าถึงคอมพิวเตอร์ของคุณโดยสิ้นเชิง หรือแม้แต่จำกัดการเข้าถึงเพื่อเลือกฟังก์ชันที่สำคัญ เนื่องจากสามารถล้างค่าRegistry ที่ติดไวรัสแรนซัมแว ร์ได้

ป้องกันแรนซัมแวร์

หากคุณสามารถระบุ ransomwareได้ ก็สามารถทำให้สิ่งต่าง ๆ ง่ายขึ้นเล็กน้อยเนื่องจากคุณสามารถใช้เครื่องมือถอดรหัส ransomware ที่อาจพร้อมใช้งานสำหรับ ransomware นั้นโดยเฉพาะ(If you can identify the ransomware, it can make things a bit easier as you can use the ransomware decryption tools that may be available for that particular ransomware.)

นี่คือรายการRansomware Decryptor Tools ฟรี ที่สามารถช่วยคุณปลดล็อกไฟล์ได้

ตัดการเชื่อมต่อจากอินเทอร์เน็ตทันที(Disconnect from the Internet immediately)

หากคุณสงสัยเกี่ยวกับไฟล์ ให้ดำเนินการอย่างรวดเร็วเพื่อหยุดการสื่อสารกับเซิร์ฟเวอร์ C&C ก่อนที่ไฟล์จะเข้ารหัสเสร็จสิ้น ในการดำเนินการดังกล่าว เพียงตัดการเชื่อมต่ออินเทอร์เน็ต(Internet) , WiFiหรือเครือข่าย(Network) ของคุณ ทันที เนื่องจากกระบวนการเข้ารหัสต้องใช้เวลา ดังนั้นแม้ว่าคุณจะไม่สามารถลบล้างผลกระทบของRansomwareได้ แต่คุณสามารถบรรเทาความเสียหายได้อย่างแน่นอน

ใช้การคืนค่าระบบเพื่อกลับสู่สถานะสะอาดที่รู้จัก(Use System Restore to get back to a known-clean state)

หากคุณ เปิดใช้งานการ คืนค่าระบบใน เครื่อง Windowsซึ่งฉันยืนยันว่าคุณมี ให้ลองนำระบบของคุณกลับสู่สถานะสะอาดที่รู้จัก นี่ไม่ใช่วิธีการหลอก แต่ในบางกรณีอาจช่วยได้

ตั้งนาฬิกา BIOS กลับคืนมา(Set the BIOS clock back)

Ransomwareส่วนใหญ่รวมถึงCryptolockerหรือFBI Ransomwareเสนอกำหนดเวลาหรือกำหนดเวลาที่คุณสามารถชำระเงินได้ หากขยายเวลา ราคาของคีย์ถอดรหัสอาจสูงขึ้นอย่างมาก และ – คุณไม่สามารถต่อรองได้ สิ่งที่คุณสามารถลองได้อย่างน้อยคือ "เอาชนะนาฬิกา" โดยการตั้งค่า นาฬิกา BIOSกลับเป็นเวลาก่อนที่กรอบเวลาของกำหนดเวลาจะหมดลง รีสอร์ทแห่งเดียวเมื่อกลอุบายทั้งหมดล้มเหลวเพราะสามารถป้องกันไม่ให้คุณจ่ายในราคาที่สูงขึ้น แรนซัมแวร์ส่วนใหญ่เสนอระยะเวลา 3-8 วันให้กับคุณ และอาจต้องการมากถึง USD 300หรือมากกว่าสำหรับคีย์เพื่อปลดล็อกไฟล์ข้อมูลที่ถูกล็อคของคุณ

แม้ว่ากลุ่มเป้าหมายส่วนใหญ่จาก Ransomware จะอยู่ในสหรัฐอเมริกาและสหราชอาณาจักร แต่ก็ไม่มีข้อจำกัดทางภูมิศาสตร์ ทุกคนสามารถได้รับผลกระทบจากมัน และทุกๆ วันผ่านไปมีการตรวจพบมัลแวร์เรียกค่าไถ่เพิ่มมากขึ้นเรื่อยๆ ดังนั้น ทำตามขั้นตอนบางอย่างเพื่อป้องกันไม่ให้ Ransomware เข้าสู่คอมพิวเตอร์ของคุณ โพสต์นี้จะกล่าวถึงRansomware Attacks & FAQเพิ่มเติมเล็กน้อย
(While most of the targeted groups by Ransomware have been in the US and the UK, there exists no geographical limit. Anyone can be affected by it – and with every passing day, more and more ransomware malware is being detected. So take some steps to prevent Ransomware from getting onto your computer. This post talks a little more about Ransomware Attacks & FAQ.)

ตอนนี้อ่านแล้ว: (Now read:) จะทำอย่างไรหลังจากการโจมตี(What to do after a Ransomware attack) Ransomware



อังคณา ยอดยาใจ

About the author

ฉันเป็นวิศวกรซอฟต์แวร์และบล็อกเกอร์ที่มีประสบการณ์เกือบ 10 ปีในสาขานี้ ฉันเชี่ยวชาญในการสร้างบทวิจารณ์เครื่องมือและบทช่วยสอนสำหรับแพลตฟอร์ม Mac และ Windows รวมถึงการให้ความเห็นจากผู้เชี่ยวชาญในหัวข้อการพัฒนาซอฟต์แวร์ ฉันยังเป็นวิทยากรและผู้สอนมืออาชีพ โดยได้นำเสนอผลงานในการประชุมเทคโนโลยีทั่วโลก


Related posts