จะทำอย่างไรหลังจาก Ransomware โจมตีคอมพิวเตอร์ Windows ของคุณ

การ โจมตีของไวรัสRansomwareคือ อะไร? คุณได้รับRansomwareอย่างไรและทำงานอย่างไร จะทำอย่างไรหลังจากการโจมตี ransomware? โพสต์นี้จะพยายามและหารือเกี่ยวกับคำถามเหล่านี้ทั้งหมด และแนะนำวิธีจัดการและกู้คืนจากการโจมตี Ransomware(Ransomware attacks)บนคอมพิวเตอร์Windows โพสต์นี้ยังให้ลิงก์ที่คุณสามารถรายงานแร(Ransomware) นซัมแว ร์ต่อFBI ตำรวจ(Police)หรือหน่วยงานที่เหมาะสม

Ransomwareกำลังเพิ่มขึ้น และในฐานะผู้ใช้คอมพิวเตอร์ คุณอาจเคยได้ยินคำนี้มาบ้างแล้วในตอนนี้ ปัจจุบันเป็นมัลแวร์รูปแบบที่ได้รับความนิยมอย่างมากซึ่งใช้โดยผู้เขียนโค้ดที่เป็นอันตราย เพื่อแพร่ระบาดในคอมพิวเตอร์ของผู้ใช้แล้วทำเงิน โดยเรียกค่าไถ่จากผู้ใช้เป็นจำนวนเงิน ไม่ว่าจะเป็นPetyaหรือ  Locky ransomwareทุกวันเว้นวัน เราจะได้อ่านเกี่ยวกับมัลแวร์ตัวล่าสุดที่เกิดขึ้นใหม่นี้ มัลแวร์ประเภทนี้ดูเหมือนจะเป็นที่ชื่นชอบในขณะนี้ เนื่องจากสามารถทำกำไรได้มาก ด้วยจำนวนเงินที่ได้รับจากกิจกรรมที่เป็นอันตรายนี้ ซึ่งมีมูลค่าหลายล้านดอลลาร์ ไฟล์และข้อมูลของผู้ใช้ที่ถูกล็อค จากนั้นจึงเรียกเงินเพื่อปลดล็อค(Lockdown user’s files and data, and then demand money to unlock them) – นั่นคือวิธีดำเนินการ(modus operandi)ในบรรทัด!

จะทำอย่างไรหลังจากการโจมตีของแรนซัมแวร์

หากคอมพิวเตอร์ของคุณติดไวรัส 'ไวรัสปกติ' คู่มือการกำจัดมัลแวร์(Malware Removal Guide) นี้ จะช่วยคุณได้ แต่ถ้าคุณต้องการกู้คืนจากการโจมตีของRansomware ให้อ่านต่อไป(Ransomware)

Ransomware คืออะไร

Ransomwareเป็นมัลแวร์ประเภทหนึ่งที่ส่งผ่านระบบคอมพิวเตอร์ของคุณผ่านไฟล์แนบอีเมลที่ติดไวรัสการดาวน์โหลดโดยไดรฟ์(drive-by-downloads) มัลแวร์ที่ออกแบบ ทางสังคม มัลแวร์ หรือ (malvertising)เว็บไซต์ที่ถูกแฮ็กโดยไม่รู้ตัว เมื่ออยู่ในระบบของคุณ แรนซัมแวร์จะทำงานและเริ่มเข้ารหัสและล็อคไฟล์ของคุณ

จากนั้นจะเรียกร้องคุณ โดยปกติแล้วจะผ่านทางป๊อปอัปบนหน้าจอคอมพิวเตอร์ของคุณเพื่อขอให้คุณส่งค่าไถ่เป็นสกุลเงินหรือโดยBitCoinsเพื่อแลกกับคีย์ที่จะปลดล็อกไฟล์ โฟลเดอร์ และข้อมูลที่ไม่สามารถเข้าถึงได้ของคุณ

ถ้าคุณไม่จ่ายเงินให้ อาชญากรไซเบอร์ Ransomwareภายในเวลาที่กำหนด พวกเขาจะขู่ว่าจะโพสต์ข้อมูลของคุณต่อสาธารณะหรือเพิ่มจำนวนเงินค่าไถ่ พวกเขาอาจขู่ว่าจะลบข้อมูลทั้งหมดและทำให้คอมพิวเตอร์ธุรกิจของคุณใช้งานไม่ได้หรือทำให้เครื่องไม่สามารถบูตได้ด้วยการเขียนทับMaster Boot Record(Master Boot Record)

คุณได้รับRansomwareอย่างไรและทำงานอย่างไร

ซอฟต์แวร์ป้องกันมัลแวร์ที่ใช้ลายเซ็นอาจช่วยได้หรือไม่ได้มาก คุณต้องเสริมการป้องกันของคุณโดยใช้ซอฟต์แวร์ต่อต้านแรนซัมแวร์(anti-ransomware software)และ/หรือ ซอฟต์แวร์ ตรวจจับและป้องกันการบุกรุกซึ่งเป็นซอฟต์แวร์ตามพฤติกรรม อีกครั้ง(Again)มีขั้นตอนพื้นฐานบางอย่างที่สามารถทำได้เพื่อป้องกันแร(prevent ransomware) นซัมแวร์ หรือกู้คืนจากแรนซัมแวร์ได้เร็วขึ้น เช่น อัปเดตระบบปฏิบัติการ ใช้ซอฟต์แวร์รักษาความปลอดภัยที่ดี(good security software)และสำรองข้อมูลของคุณแบบออฟไลน์เป็นประจำ แต่ถึงกระนั้น ก็ยังเกิดขึ้นได้ว่าคุณตกเป็นเหยื่อของแรนซัมแวร์บางตัว

สิ่งนี้เกิดขึ้นได้อย่างไร?(How does this happen?)

คุณได้รับไฟล์แนบอีเมลจากแหล่งที่ไม่รู้จักและคลิกเพื่อเปิด ไม่ใช่สิ่งที่ไร้เดียงสาอย่างที่คุณคิด ไฟล์อาจเป็นไฟล์อันตรายที่อาจเกิดจากการคลิกของคุณ และล็อกไฟล์ของคุณต่อไป หรืออาจดาวน์โหลดโค้ดที่เป็นอันตรายเพิ่มเติม ซึ่งอาจเข้ารหัสไฟล์ของคุณและทำให้ไม่สามารถเข้าถึงได้หรือใช้งานไม่ได้

หรือคุณสามารถเยี่ยมชมเว็บไซต์ที่ถูกแฮ็ก ซึ่งแม้แต่เจ้าของก็อาจไม่ทราบ คุณอาจหรือไม่คลิกอะไรก็ได้ เพียงเข้าไปที่มันอาจทำให้เกิดการ ดาวน์โหลด โทรจัน(Trojan) ที่เป็นอันตราย ซึ่งสามารถดาวน์โหลดและส่งมอบเพย์โหลด ที่อาจติดอยู่ในระบบของคุณ

อีกครั้ง เครือข่ายโฆษณาออนไลน์อาจถูกบุกรุก และเจ้าของเครือข่ายอาจไม่รู้ด้วยซ้ำ คุณเยี่ยมชมเว็บไซต์ที่สะอาดถูกต้องตามกฎหมายซึ่งให้บริการโฆษณาที่ดูเหมือนไร้เดียงสานี้ และคุณคลิกที่มัน – และBAM –การดำเนินการสามารถเริ่มต้นได้ ซึ่งจะดาวน์โหลดโค้ดที่เป็นอันตรายไปยังพีซี ที่ ใช้ Windows ของคุณ(Windows)

การใช้ซอฟต์แวร์ที่แคร็ก โปรแกรมสร้างคีย์ซอฟต์แวร์ เครือข่าย P2Pอาจทำให้คอมพิวเตอร์ของคุณติดเชื้อได้ แม้แต่การใช้USB ที่ติด ransomware ก็สามารถทำให้คอมพิวเตอร์ของคุณติดไวรัสได้

ฉันจะรู้ได้ อย่างไรว่าฉันติดRansomware

คุณรู้ว่าคุณเป็นเหยื่อของ ransomware เมื่อคุณพบว่าไฟล์ รูปภาพ & ข้อมูลของคุณได้รับการเข้ารหัส และคุณไม่สามารถเปิดไฟล์ได้ นอกจากนี้ คุณมักจะเห็นหน้าจอป๊อปอัปที่ขอให้คุณจ่ายค่าไถ่หรือลบไฟล์ของคุณ

This is where having backups can help! If you have backed up your files, you could simply ignore the warnings, format and clean install your Windows OS and restore your backed-up files.

สัญญาณบอกเล่าอื่น ๆ ที่คุณเห็นคือถ้าคุณพบว่าซอฟต์แวร์ความปลอดภัยของคุณถูกปิดใช้งานหรือแสดงผลไม่ได้ผลSystem RestoreหรือStartup Repair ของคุณ ถูกปิดใช้งานหรือหากบริการ(Services)Windows ที่สำคัญบางอย่าง เช่นWindows Update , Background Intelligent Transfer Service , WinDefend , Windows Shadow Copies ถูกปิดการใช้งาน

จะทำอย่างไรหลังจากการโจมตี ของ แร นซัมแวร์(Ransomware)

ในกรณีที่คุณพบว่าคอมพิวเตอร์ของคุณถูกล็อกโดย ransomware คุณควรทำตามขั้นตอนต่อไปนี้:

1] หากคอมพิวเตอร์ของคุณเป็นส่วนหนึ่งของเครือข่าย ให้ลบระบบที่ติดไวรัสออกจากเครือข่าย

2] หากต้องการ คุณสามารถสร้างสำเนาของดิสก์หรือไฟล์ที่ได้รับผลกระทบสำหรับการวิเคราะห์ในภายหลัง ซึ่งอาจจำเป็นสำหรับการถอดรหัสไฟล์

3] หากคุณมีจุดคืนค่าระบบที่ดี ให้ดูว่าคุณสามารถกลับไปได้หรือไม่ และดูว่าเหมาะกับคุณหรือไม่

4] หากคุณมีการสำรองข้อมูลล่าสุดของคุณให้ดียิ่งขึ้น ฟอร์แมต(Format)และล้างการติดตั้งWindows ใหม่ และกู้คืนข้อมูลที่สำรองไว้ของคุณเพื่อเริ่มต้นใหม่

5] ดูว่าคุณสามารถใช้คุณลักษณะShadow Volume Copy Serviceเพื่อกู้คืนไฟล์เวอร์ชันเก่าได้หรือไม่ ฟรีแว ร์ ShadowExplorerอาจทำให้สิ่งต่างๆ ง่ายขึ้น

6] บูตเข้าสู่เซฟโหมด(Boot into Safe Mode)และเรียกใช้ซอฟต์แวร์ป้องกันไวรัส(antivirus software) ของคุณ แบบลึกและหวังว่าจะสามารถฆ่าเชื้อคอมพิวเตอร์ของคุณได้ โอกาสที่มันจะไม่ แต่ไม่เป็นอันตรายในการพยายาม

7] ถัดไประบุ Ransomwareที่ติดไวรัสคอมพิวเตอร์ของคุณ สำหรับสิ่งนี้ คุณอาจใช้บริการออนไลน์ฟรีที่เรียกว่าID Ransomware(ID Ransomware)

8] หากคุณสามารถระบุแรนซัมแวร์ได้ ให้ตรวจสอบว่ามีเครื่องมือถอดรหัสแรนซัมแวร์สำหรับประเภทแรนซัมแวร์ของคุณหรือไม่ จากนั้นใช้ความช่วยเหลือจากหนึ่งในเครื่องมือถอดรหัส ransomware(ransomware decryptor tools) เหล่านี้ ที่มีอยู่ในปัจจุบัน

9] หากRansomwareบล็อกการเข้าถึงคอมพิวเตอร์ของคุณโดยสิ้นเชิง หรือแม้แต่จำกัดการเข้าถึงเพื่อเลือกฟังก์ชั่นที่สำคัญ ให้ใช้  Kaspersky WindowsUnlocker เนื่องจากสามารถล้าง Registryที่ติด ransomware และให้คุณเข้าถึงกลับได้

10] บางทีคุณอาจต้องการความช่วยเหลือจากCryptoSearchซึ่งเป็นเครื่องมือฟรีที่ระบุ ไฟล์ที่ เข้ารหัส Ransomware(Ransomware-encrypted)แล้วโอนไปยังตำแหน่งใหม่เพื่อความปลอดภัย

11] แม้ว่าจะเป็นเรื่องง่ายที่จะแนะนำว่าอย่าจ่ายให้กับอาชญากรไซเบอร์หากข้อมูลของคุณมีความสำคัญและคุณไม่มีทางเลือกอื่นนอกจากต้องเข้าถึงข้อมูลคืนได้ การจ่ายค่าไถ่เป็นทางเลือกเดียวที่คุณมี น่าเสียดายที่หลายคนทำสิ่งนี้ – แม้ว่าพวกเขาไม่ต้องการรับทราบสิ่งนี้ต่อสาธารณะ แต่นี่คือความจริงอันยากลำบากของชีวิต ดังนั้นคุณหรือองค์กรของคุณจะต้องรับสายในเรื่องนี้ ไม่ว่าในกรณีใด คุณอาจต้องการแจ้งเตือนหน่วยงานบังคับใช้กฎหมายในโลกไซเบอร์ในประเทศของคุณ

12 ] สุดท้าย(] Finally)นี้ อย่าลืมรายงานคดีแรนซัมแวร์ของคุณต่อเซลล์อาชญากรไซเบอร์ เจ้าหน้าที่ตำรวจ หรือเอฟบีไอ(FBI) ในพื้นที่ของ คุณ ลิงค์นี้จะบอกคุณว่าคุณสามารถรายงานแร(report ransomware)นซัมแวร์ได้ที่ไหน

เมื่อคุณถอดรหัสไฟล์และลบแรนซัมแวร์แล้ว คุณสามารถใช้RansomNoteCleanerเพื่อลบRansomware Notesและขยะที่เหลือทิ้ง

ทั้งหมดที่ดีที่สุด(All the best.)



ณิชารีย์ พิทักษ์ไทย

About the author

ฉันเป็นนักพัฒนาซอฟต์แวร์ฟรีแวร์และเป็นผู้ให้การสนับสนุน Windows Vista/7 ฉันได้เขียนบทความหลายร้อยบทความเกี่ยวกับหัวข้อต่างๆ ที่เกี่ยวข้องกับระบบปฏิบัติการ รวมถึงคำแนะนำและเคล็ดลับ คู่มือการซ่อม และแนวทางปฏิบัติที่ดีที่สุด ฉันยังเสนอบริการให้คำปรึกษาเกี่ยวกับสำนักงานผ่านทางบริษัท Help Desk Services ของฉัน ฉันมีความเข้าใจอย่างลึกซึ้งเกี่ยวกับวิธีการทำงานของ Office 365 ฟีเจอร์ และวิธีใช้งานอย่างมีประสิทธิภาพสูงสุด


Related posts