สรุปสิ้นปี 2016 สุดจะปวดหัวกับ Ransomware และหาวิธีป้องกันกันเถอะ

สวัสดีครับ ห่างหายกันไปน้านนานเลย สำหรับบทความนี้ก็จะเป็นบทความสรุปเหตุการณ์สุดท้ายของปีนี้ เกี่ยวกับภัยคุกคามที่โดดเด่น ซึ่งแน่นอนว่าก็ไม่พ้นเรื่องของ Ransomware

ภัยคุกคามที่กำลังฮิตกันไปทั่วโลก ณ เวลานี้ที่ฝ่าย IT รู้จักกันดี คือไฟล์เรียกค่าไถ่ หรือ Ransomware นั้นเอง ด้วยลักษณะของการทำงานเป็นค่าล็อคไฟล์เข้ารหัสรูปแบบต่างๆกันและแจ้งไปตามตรงเลยว่า "ข้าพเจ้ามีชื่อ นามว่า.... ขอประสงค์เรียกร้องเงินเป็นจำนวน... Bitcoin กรุณาโอนมาจะได้ไฟล์คืน หรือไม่ได้พบไฟล์นี้อีกไปเลยตลอดชีวิต ฮ่าฮ่าฮ่า" มันถึงมีชื่อเรียกว่าไฟล์เรียกค่าไถ่นั้นเอง

Ransomware นั้นจัดเป็นปัญหาน่าปวดหัวอันดับต้นๆสำหรับผู้ให้บริการด้านความปลอดภัย อันที่จริงตลอดปี 2016 หรือ 2559 ที่ผ่านมาจัดว่าเป็นปีทองของ Ransomware กันเลยทีเดียว เพียงแค่ปีเดียวก็มีอัตราการ เจริญเติบโตขึ้นถึง 400% จากปี 2015 และมีการพัฒนาสายพันธุ์วิธีการเข้ารหัสวิธีการติดเชื้อรูปแบบต่างๆกันเป้าหมายต่างกันมากขึ้นถึง 600% ครองแชมป์ภัยคุกคามอันดับสูงสุดกินพื้นที่กว่า 60% (https://blog.barkly.com/ransomware-statistics-2016) ของภัยคุกคามทุกชนิดบนโลกใบนี้ไปแล้วเรียบร้อย โดยช่องทางการแพร่กระจายที่ได้รับความนิยมสูงสุด แน่นอนว่าเป็นทาง Email Link อันดับ 1 Email Attachment อันดับ 2 และ Phishing Site และสคริปท์แอบแฝงบน Web page เป็นอันดับ 3 (http://blogs.systweak.com/2016/08/ransomware-statistics-growth-of-ransomware-in-2016/) และส่วนใหญ่การเขียน Ransomware ให้ล็อค ไฟล์บนเครื่องก็เขียนด้วยสคริปง่ายๆ ขอทางผ่านกับ User ไม่ได้สลับซับซ้อนอะไรแค่ขอทำงานด้วยการแบกการเข้ารหัสทางคณิตศาสตร์มาเล็กๆน้อยๆ ไม่ได้ดูเป็นภัยคุกคามอะไรเลย

แต่นั้นก็ทำให้ตบตาโปรแกรมความปลอดภัยที่ไม่ได้มีการป้องกันเชิงรุกได้เป็นอย่างดี เป็นการ By Pass โปรแกรม Antivirus อย่างดีมาก กว่าจะรู้ตัวอีกทีก็เรียบร้อยยกเครื่อง แล้วด้วยความภัยคุกคามที่พัฒนากันทุกวี่ทุก วัน วันละหลายพันตัวการจะพัฒนาตามให้ทันนั้นก็ไม่ง่ายเช่นกัน

โดยสำหรับในภาคธุรกิจนั้น จากการสำรวจจากข้อมูล (in June 2016 by Osterman Research) พบว่าในปี 2016 นี้ 41% เจอเรียกค่าไถ่อย่างน้อย 1 ครั้ง และจำนวน 4% พบเจอการเรียกค่าไถ่ 6 ครั้งขึ้นไป (อะไรจะเจอบ่อย ขนาดนั้น) และมีมูลค่าการเรียกร้องเงินสูงขึ้นเป็นครั้ง 679$ หรือ 24,450 บาทโดยประมาณต่อครั้งต่อเครื่องไปแล้ว ถ้าโดนไป 6 ครั้งก็ 146,700 บาทเลยทีเดียวเชียว

ที่สำคัญ การเข้ารหัสของพวกมันแต่ละตัวก็มีการเข้ารหัสอันยากสลับซับซ้อน เช่น SHA-256, RSA-2048, RSA-4096 โดยเป็นการใช้วัตถุประสงค์การเข้ารหัสเพื่อความปลอดภัยในการรับส่งข้อมูลแบบผิดๆ (รายละเอียดการเข้ารหัสแบบ RSA https://writesara.wordpress.com/2008/04/10/การเข้ารหัสแบบ-rsa/) และถึงจะทำความสะอาดเครื่องไปได้ทั้งหมดแล้ว ก็ยังไม่สามารถเรียกไฟล์ที่โดนเข้ารหัสกลับคืนมาได้อยู่ดี และถึงแม้คุณ สามารถมีเครื่องมือเข้าสุ่มรหัสแบบ Brutal ก็อาจจะต้องสุ่มรหัสนานถึง 10-100 ปีเพื่อให้่ได้ไฟล์กลับมา ยกเว้นแต่ว่าคุณอยู่ที่จีนและมี Supercomputer เป็นของตัวเอง (ลองเล่นการเข้ารหัส RSA กันได้ที่ http://travistidwell.com/jsencrypt/demo/)

เรียกว่าเป็นมหาภัยพิบัติบนโลกไซเบอร์อีกเรื่องที่น่ากลัวไม่แพ้การ DDos และ พรบ.ความมั่นคงไซเบอร์เพื่อคุกคามผู้ใช้งานอินเทอเนทของประเทศแถวๆนี้เลยทีเดียว

ที่ผ่านมาตลอดปีทางผู้พัฒนาความปลอดภัยชั้นนำค่ายต่างๆอาทิเช่น avast! AVG Kaspersky Intel Trend Micro และอีกมากมายก็พยายามจับมือกันหยุดยั้งเหตุการณ์ที่เกิดขึ้นอย่างทันที ยกตัวอย่างเช่น https://http://www.nomoreransom.org/ รวมถึงการเก็บข้อมูลเพื่อรับทราบปัญหา รูปแบบการทำงาน และพยายามปล่อย Tools ปลดรหัสที่ได้จากการสืบค้นข้อมูลของตำรวจสากลและตำรวจกลางสหรัฐที่สามารถจับกุมได้บางส่วน (https://www.nomoreransom.org/decryption-tools.html) (http://www.avg.com/us-en/ransomware-decryption-tools) (https://www.avast.com/c-ransomware) แต่ก็ได้เพียงแค่ 0.00000002333% ของจำนวนภัย อันตรายทั้งหมดอยู่ด เรียกว่าเอาไม่อยู่จะเหมาะกว่า นั้นทำให้ทางเรานั้นปวดหัวปวดเกล้ากับการตอบปัญหาดังกล่าวมาก อันที่จริง 98% นั้นเป็นลูกค้าภายนอกไม่เคยใช้บริการกับทางเรามาก่อน ซึ่งเราก็ยินดีตอบปัญหา ไปตามตรงโดยทางเรามีเข้าใจดีว่าปัญหาที่พบเจอนั้นก็ทำผู้พบเจอปวดหัวกันหนักหน่วงพอแล้ว แต่อย่างไรก็ตามคำแนะนำของเราก็ช่วยได้ไม่มากนักถ้าระบบของทางลูกค้าไม่ได้มีการเตรียมการไว้ก่อนแล้ว สุดท้ายทางเราก็หนักใจเหมือนกันเพราะปัญหาของลูกค้าก็เสมือนเป็นปัญหาของเราเช่นกัน ช่างน่าหนักใจนัก

และถึงแม้ว่าจะมีการรณรงค์ไม่จ่ายค่าไถ่เพื่อต้องการต่อต้านและไม่สนับสนุนการเงินให้มิจฉาชีพในระยะยาวแต่สุดท้าย ไฟล์ของใครของใครก็ห่วง ไฟล์ใครใครก็ต้องหวง อยากได้กลับมาอยู่แล้วใช่มั้ย ? โดยเฉพาะ ไฟล์ทำเงินเดือนฝ่าย HR ในบริษัทตอนสิ้นเดือนถ้าโดนล็อคขึ้นมาละยิ้มแป้นกันเลย

อย่างไรก็ตามนับว่าแสงอันริบหรี่ในการต่อต้านและป้องกัน Ransomware ยังไม่หมดไปซะทีเดียว จากการจับหลักรูปแบบการทำงานทำให้พอจะมีวิธีทางแก้ไขได้ให้สถานการณ์พอจะดีขึ้นให้ชุ่มฉ่ำใจได้บ้าง โดยทาง Cybereason ได้ปล่อย Tool เล็กๆออกมานามว่า RansomFree ออกมาให้ใช้งานกันได้ฟรี วิธีการทำงานก็ไม่ซับซ้อนมากนักคือย้อนรอยการทำงานของ Ransomware ในปัจจุบัน มากกว่า 100,000 ชนิดในทุกๆวัน ซึ่ง เรื่องอื่นนอกจากนั้นผมขอไม่สาธยายมากนัก (แนะนำให้ติดตามอ่านได้ที่ https://www.cybereason.com/blog-cybereason-ransomfree-protecting-your-data-from-being-held-hostage/) แต่หลักๆคือ Ransomware ที่มุ่ง การล็อคไฟล์นั้นย่อมมีการพยายามแก้ไขไฟล์จำนวนมากๆภายในคราวเดียว

นั้นเป็นจุดที่ RansomFree มองเห็นและทำการแจ้งเตือนทันทีว่าเกิดเหตุไม่ปกติมีอะไรบางอย่างพยายามแก้ไขไฟล์คุณหลายๆไฟล์พร้อมกัน รวมถึงวิเคราะห์วิธีการเข้ารหัสที่คล้ายๆกันเพื่อให้ผู้ใช้ได้ทราบก่อนที่ทุกอย่างก่อนจะสายเกินไป โดยทางผู้พัฒนาได้เคลมไว้ว่าป้องกันได้ 99% กับภัยคุกคามที่แพร่ระบาดกันอย่างหนักอย่างพวก Locky, Dridex, RockLoader (https://ransomfree.cybereason.com/demo/)


สามารถดาวน์โหลดได้ที่ https://ransomfree.cybereason.com/

แต่แค่นี้คงไม่พอ นอกจากที่ Cybereason ได้วิจัยแล้วนั้น และประสบการณ์ที่เรา ทีมงาน PaceTo โดนมาอย่างหนักหน่วง ก็จับจุดได้อีกอย่างหนึ่งว่าโดยกว่า 80% ของการแพร่เชื้อของ Ransomware นั้นเป็นการแพร่เชื้อ ผ่าน Email และ Website ซึ่งการป้องกันการสแกนและป้องกัน Spam Email และ Phishing site นั้นเป็นอะไรที่ง่ายกว่าการไล่จับนามสกุลของไฟล์ตั้งต้น Ransomware เยอะมาก

โดยโปรแกรมที่ป้องกัน Spam Mail และ Phishing Site ที่ทรงประสิทธิภาพมากๆตัวนึงก็จะเป็นประเภท Internet Security ต่างๆที่มีรูปแบบการทำงานป้องกันการทำงานบนอินเทอเนทโดยเฉพาะและติดตั้งได้สะดวกกว่าในราคาเหมาะสมกับธุรกิจขนาดเล็กและกลางที่มักเป็นเป้าหมายของ Ransomware ที่ไม่ได้วางมาตรการรองรับไว้ล่วงหน้า เช่น
- AVG Internet Security
http://avg.antivirus-soft.com/pr_internet_h.html
- AVG Internet Security Business
http://avg.antivirus-soft.com/pr_internet_b.html
- avast! Endpoint Protection Plus
http://avast.antivirus-soft.com/pr_endpoint_protection_plus.html

เพียงเท่านี้สถานการณ์ความปลอดภัยเกี่ยวกับ Ransomware ในปัจจุบันก็น่าจะดีขึ้นบ้าง แม้จะเป็นแค่เพียงชั่วคราวก็ตาม เพราะอย่างไรก็ตามฝ่ายภัยคุกคามถัยร้ายก็มีการพัฒนาอยู่เช่นกัน เราก็เพียงแต่ต้องระมัดระวังตัวให้อยู่รอดปลอดภัยในไม่ให้ได้รับผลกระทบรุนแรงก็พอ

อย่างไรก็ตามก็ยังไม่สามารถไว้วางใจได้ 100% เต็ม แม้ว่าจะติดตั้งโปรแกรมป้องกันไว้มากมายแค่ไหนก็ตามก็อย่าลืมสำรองข้อมูลที่สำคัญเก็บไว้ด้วยนะครับ เดี๋ยวนี้ฝากขึ้น Google Drive ไม่ยากมากมายครับ พอช่วยได้ ^^

ทีมงาน PaceTo
http://www.antivirus-soft.com

info @ paceto.co.th
sale @ paceto.co.th
02 950 1410

บทความนี้รวบรวมทั้งปีเขียนทีเดียว เขียนเหนื่อยมากครับ