ทำความรู้จัก Ransomware ประเภท “หนอนไถพรวน (Ransomworm)”

ภัยคุกคามที่น่ากลัวของมัลแวร์เรียกค่าไถ่ ที่เกิดขึ้นอย่างต่อเนื่อง ทำให้หลายฝ่ายที่มีบทบาทในวงการรักษาความปลอดภัยไซเบอร์พากันออกมาให้คำแนะนำแก่ผู้ใช้ ล่าสุด Fortinet แนะนำองค์กรและผู้ใช้งานคอมพิวเตอร์ให้ลงมือป้องกันภัยไซเบอร์แรนซัมแวร์ประเภทต้องการเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่าเพ็ทยา (Petya) ที่กำลังแพร่คุกคามในองค์กรและหลายอุตสาหกรรมทั่วโลกในขณะนี้ ซึ่งรวมถึง ระบบการขนส่งรายใหญ่ ธนาคารและองค์กรด้านพลังงาน

001

Petya เป็นภัยแรนซัมแวร์ประเภท “หนอนไถพรวน” ที่เราเรียกกันว่า “Ransomworm”  ที่อาศัยใช้ประโยชน์จากการที่แฝงอยู่ในระบบอย่างเงียบๆ แล้ว โจมตีในโอกาสที่เหมาะสม หนอนไถพรวนนี้ได้รับการออกแบบให้เคลื่อนที่ข้ามระบบต่างๆ ได้โดยอัตโนมัติแทนที่จะอยู่ในที่ที่เดียว  และดูเหมือนว่าหนอนไถพรวน Petya นี้ได้ใช้ช่องโหว่ที่มีอยู่ที่คล้ายคลึงกันกับการโจมตี Wannacry ที่เกิดขึ้นล่าสุด

Petya นี้แตกต่างจากวอนนาครายตรงที่วอนนาครายจะเข้ารหัสไฟล์ในคอมพิวเตอร์และเรียกค่าไถ่ แต่ Petya จะเข้ารหัสส่วนหนึ่งของฮาร์ดไดร้ฟที่ส่งผลทำให้คอมพิวเตอร์ทั้งหมดไม่สามารถทำงานได้ ทั้งนี้ เป้าหมายการโจมตีครั้งนี้และมีความเสี่ยงมากคือ ผู้ที่ใช้ระบบแบบเดิมและเก่ารวมถึงโครงสร้างพื้นฐานที่สำคัญต่างๆ

นอกจากการอัปเดทระบบโดยทันทีแล้ว ยังมีขั้นตอนอื่นๆ ที่องค์กรและบุคคลต่างๆ ควรใช้เพื่อป้องกันตนเอง ดังนี้:

สำหรับฝ่ายไอที:

  1. ทำสำรองไฟล์ข้อมูลที่อยู่ในระบบที่สำคัญๆ ไว้ และให้ทำสำรองไฟล์แบบออฟไลน์
  2. ตรวจสอบให้แน่ใจว่าท่านมีดิสก์และการตั้งค่าของระบปฏิบัติการที่เป็นมาตรฐานชั้นเยียม เพื่อให้ท่านมีความมั่นใจในเวลาที่ต้องนำเดสท้อปกลับมาใช้ใหม่
  3. ลงมือใช้แพ้ทช์ปิดช่องโหว่นั้น
  4. ตรวจสอบให้แพ้ทช์ทันสมัยอยู่ตลอดเวลา

สำหรับผู้ใช้งาน:

  1. อย่าเปิดไฟล์ที่มาจากแหล่งที่ท่านไม่รู้จัก

สำหรับการปฏิบัติการด้านความปลอดภัย:

  1. ใช้ Signature ยืนยันตัวบุคคล ใช้แอนตี้ไวรัส
  2. ใช้คุณสมบัติด้านความปลอดภัยแซนบ๊อกซิ่ง (Sandboxing) ตรวจสอบไฟล์ที่แนบมาทางอีเมล์
  3. ใช้วิธีการตรวจตราด้วยการสังเกตพฤติกรรม (Behavior-based detections)
  4. ใช้อุปกรณ์ไฟร์วอลล์ และที่ไฟร์วอลล์ ให้ตรวจสอบเหตุการณ์ที่เกิดขึ้นที่ Command & Control
  5. จัดการแยกส่วน (Segment) เพื่อป้องกันไม่ให้แรนซัมแวร์นั้นแพร่กระจายไปในเครือข่าย  และทำสำรองข้อมูลที่ได้เข้ารหัสไว้แล้วนั้นด้วย
  6. ตรวจสอบให้แน่ใจว่า โปรแกรมควบคุมเครื่องคอมพิวเตอร์ระยะไกลที่มากับวินโดวส์(Remote Desktop Protocol) นั้นปิดอยู่และ / หรือมีการตรวจสอบสิทธิ์อย่างถูกต้อง หรือไม่เช่นนั้น ให้จำกัดไม่ให้มีการเปิดเดสท้อปในระยะไกลได้อย่างเสรี

ข้อแนะนำทั่วไป:

  1. ถ้าเครือข่ายของท่านเกิดติดภัยนี้แล้ว อย่าจ่ายค่าไถ่
  2. ติดต่อหน่วยงานที่มีความน่าเชื่อถือ และแบ่งปันข้อมูลของท่าน เช่น ตำรวจ เพื่อให้ความช่วยเหลือแก่ผู้อื่นๆ โดยรวม ในการวิเคราะห์ จำกัดภัยและแก้ไขการโจมตีที่เกิดขึ้น

นอกจากนี้ ท่านสามารถดูภัยเรียกค่าไถ่ที่เกิดขึ้นทั้งหมดและรับคำแนะนำอื่นๆ  ได้ที่  http://blog.fortinet.com/2017/06/27/new-ransomware-follows-wannacry-exploits

Related posts:

FTTH FOR THAILAND 4.0 งานสัมมนาเทคโนโลยีไฟเบอร์ออปติกครั้งแรกของปี 2017
แคสเปอร์สกี้ แลป ระบุแรนซัมแวร์ตัวใหม่ที่ระบาดอยู่ตอนนี้ไม่ใช่ Petya แต่ใหม่กว่านั้น
ปูนซีเมนต์นครหลวง ทุ่มงบกว่า 172 ล้านบาท พร้อมก้าวสู่ยุค Industry 4.0 เปิดตัว “โรงงานดิจิทัลอัจฉริยะ...
อุดช่องโหว่ Meltdown และ Spectre ให้ถูกวิธี
เทรนด์ไมโครเปิดตัวนวัตกรรมใหม่ ยกระดับความปลอดภัยกับทั้งแพลตฟอร์ม Google Cloud, Kubernetes, และ G Su...
ผลการสำรวจพบอุปกรณ์คอมพิวเตอร์ในไทยติดมัลแวร์กว่า 21 ล้านเครื่อง

Leave a Reply

Top
ปิดโหมดสีเทา