Ransomware คืออะไร?
เผยแพร่แล้ว: 2022-06-29Ransomware เป็นโปรแกรมที่เป็นอันตรายหรือมัลแวร์ประเภทหนึ่งที่สามารถจำกัดการเข้าถึงอุปกรณ์อินเทอร์เน็ตหรือข้อมูลของคุณจนกว่าคุณจะจ่ายค่าไถ่เพื่อแลกกับความสามารถในการเข้าถึงอุปกรณ์หรือข้อมูลของคุณ
ในบทความนี้ เราจะสำรวจว่าแรนซัมแวร์เข้าสู่ระบบคอมพิวเตอร์ของคุณอย่างไร มันทำงานอย่างไร และวิธีป้องกันการโจมตีของแรนซัมแวร์
มาดำน้ำกัน:
Ransomware โจมตีคืออะไร?
การโจมตีของแรนซัมแวร์เป็นการโจมตีมัลแวร์ประเภทหนึ่งที่จำกัดหรือป้องกันไม่ให้คุณเข้าถึงอุปกรณ์หรือข้อมูลของคุณจนกว่าจะจ่ายค่าไถ่ ที่แย่กว่านั้นคือ ผู้มุ่งร้ายที่โจมตี ransomware ขู่ว่าจะเผยแพร่หรือขายข้อมูลบนเว็บที่มืดถ้าไม่มีการจ่ายค่าไถ่
ตามรายงานของ Verizon แรนซัมแวร์มีส่วนทำให้เกิดการละเมิดข้อมูลทั้งหมด 10% ทุกวันนี้ คุณไม่จำเป็นต้องพัฒนาชุดแรนซัมแวร์ด้วยตัวเอง ผู้ให้บริการแรนซัมแวร์จำนวนมากเสนอแรนซัมแวร์เป็นบริการ ซึ่งช่วยให้ผู้คุกคามสามารถเข้าถึงเครื่องมือที่ซับซ้อนและซอฟต์แวร์ที่เป็นอันตรายสำหรับการโจมตีแบบกำหนดเป้าหมายได้อย่างง่ายดาย
Ransomware สองรูปแบบต่อไปนี้ถูกใช้อย่างแพร่หลายโดยผู้กระทำความผิดเกี่ยวกับ ransomware ทั่วโลก:
- Locker ransomware ที่ล็อคการเข้าถึงของคุณไปยังระบบคอมพิวเตอร์หรืออุปกรณ์มือถือ
- Crypto ransomware ที่เข้ารหัสไฟล์และข้อมูลที่ละเอียดอ่อนบนอุปกรณ์
Ransomware ทำงานอย่างไร?
เช่นเดียวกับมัลแวร์อื่น ๆ Ransomware สามารถเข้าสู่อุปกรณ์คอมพิวเตอร์ของคุณได้หลายวิธี แต่เมื่อพูดถึงวิธีการทำงาน ตัวแปร ransomware ทั้งหมดมีขั้นตอนที่เหมือนกันดังต่อไปนี้:
- Ransomware เข้าสู่อุปกรณ์คอมพิวเตอร์ของคุณและอยู่เฉยๆสองสามวัน/เดือน เพื่อประเมินข้อมูลที่สำคัญของคุณ
- เมื่อแรนซัมแวร์เข้าถึงข้อมูลสำคัญของคุณ จะเริ่มเข้ารหัสไฟล์ด้วยคีย์การเข้ารหัสที่ควบคุมโดยผู้โจมตี Ransomware ยังสามารถลบไฟล์สำรองหรือเข้ารหัสข้อมูลสำรอง
- หลังจากเข้ารหัสไฟล์หรือล็อกระบบคอมพิวเตอร์ของคุณแล้ว จะมีการเรียกร้องค่าไถ่
อาจมีขั้นตอนเพิ่มเติมอีกสองสามขั้นตอน ขึ้นอยู่กับตัวแปรของแรนซัมแวร์ ตัวอย่างเช่น ตัวแปรแรนซัมแวร์สองสามตัวจะกรองข้อมูลก่อนที่จะส่งหมายเหตุเรียกค่าไถ่
แม้ว่าผู้โจมตี ransomware สัญญาว่าจะปล่อยคีย์ถอดรหัสเมื่อได้รับค่าไถ่ แต่ก็ไม่เสมอไป นอกจากนี้ การจ่ายค่าไถ่ยังกระตุ้นให้ผู้คุกคามติดอุปกรณ์อื่นๆ ดังนั้น การจ่ายเงินค่าไถ่ไม่ควรจะอยู่ด้านบนของรายการของคุณเมื่อต้องรับมือกับการโจมตีของแรนซัมแวร์
ประวัติโดยย่อของการโจมตีของแรนซัมแวร์
ต่อไปนี้เป็นประวัติโดยย่อของการโจมตีแรนซัมแวร์:
- Joseph Popp, Ph.D. นักวิจัยด้านโรคเอดส์ เป็นผู้ริเริ่มการโจมตี ransomware ครั้งแรกในปี 1989 โดยแจกจ่ายฟลอปปีดิสก์ให้กับนักวิจัยด้านโรคเอดส์
- CryptoLocker เวอร์ชันแรกปรากฏในเดือนธันวาคม 2013
- CryptoWall โผล่ขึ้นมาในปี 2014 ก่อให้เกิดความเสียหายประมาณ 18 ล้านดอลลาร์
- Locky ปรากฏตัวในปี 2559 และมีหลายรุ่น
- แรนซัมแวร์ชื่อดังอย่าง WannaCry แพร่ระบาดในเครื่องคอมพิวเตอร์มากกว่า 200,000 เครื่องทั่วโลกในปี 2560
- ในปี 2564 กลุ่มแรนซัมแวร์ DarkSide โจมตี Brenntag โดยเรียกค่าไถ่จากบริษัทไป 4.4 ล้านดอลลาร์เพื่อเป็นค่าไถ่
การโจมตีแรนซัมแวร์สมัยใหม่นั้นซับซ้อนและต้องการค่าไถ่จำนวนมาก ตามการประมาณการจาก Cybersecurity Ventures ต้นทุนอาชญากรรมในโลกไซเบอร์ทั่วโลกจะเพิ่มขึ้น 15% ต่อปีในช่วง 5 ปีข้างหน้า แตะระดับ 10.5 ล้านล้านดอลลาร์ต่อปีภายในปี 2568
วิธีป้องกันการติดเชื้อแรนซัมแวร์
ระบบที่ติดแรนซัมแวร์สามารถแพร่ระบาดในอุปกรณ์เพิ่มเติมที่เชื่อมต่อกับเซิร์ฟเวอร์เครือข่าย ก่อนที่คุณจะสามารถลบแรนซัมแวร์ได้ ดังนั้นจึงจำเป็นที่จะต้องป้องกันแรนซัมแวร์ในเชิงรุก
นี่คือกลยุทธ์บางอย่างในการป้องกันการติดเชื้อแรนซัมแวร์:
1. มีนโยบายเครือข่ายที่ดี
ไม่ว่าจะเป็นเครือข่ายในบ้านหรือเครือข่ายองค์กร คุณควรปฏิบัติตามแนวทางปฏิบัติด้านเครือข่ายที่ดีที่สุดเพื่อป้องกันแรนซัมแวร์หรือการโจมตีทางไซเบอร์อื่นๆ
คุณควรตรวจสอบให้แน่ใจว่า:
- คุณติดตั้งโปรแกรมแก้ไขซอฟต์แวร์และอัปเดตเฟิร์มแวร์ทั้งหมดทันเวลา
- ปลายทางได้รับการปกป้อง
- ใช้แนวทางการป้องกันแบบหลายชั้นเพื่อรักษาความปลอดภัยเครือข่าย
นอกจากนี้ การไม่แบ่งกลุ่มเครือข่ายของคุณสามารถแพร่กระจายแรนซัมแวร์จากปลายทางไปยังเซิร์ฟเวอร์ได้ ดังนั้น ตรวจสอบให้แน่ใจว่าเครือข่ายของคุณมีการแบ่งส่วน การทำเช่นนี้สามารถหยุดแรนซัมแวร์ไม่ให้แพร่กระจายจากระบบที่ติดไวรัสหนึ่งไปยังอีกระบบหนึ่ง
2. รักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ
ฮาร์ดแวร์และซอฟต์แวร์ของคุณ รวมถึงระบบปฏิบัติการ ควรเป็นปัจจุบัน และคุณไม่ควรใช้รหัสผ่านเริ่มต้นสำหรับอุปกรณ์ของคุณ ปกป้องอุปกรณ์ของคุณด้วยรหัสผ่านที่รัดกุมเสมอ
หากเป็นไปได้ ให้ใช้คีย์ SSH มีความปลอดภัยมากกว่ารหัสผ่าน
3. สำรองข้อมูล
Ransomware สามารถเข้ารหัสข้อมูลและไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์หรือเซิร์ฟเวอร์ของคุณ ในหลายกรณี เหยื่อแรนซัมแวร์ไม่สามารถเข้าถึงข้อมูลที่เข้ารหัสหรือไฟล์ที่เข้ารหัสได้ ดังนั้น คุณควรสำรองข้อมูลสำคัญทั้งหมดแบบออฟไลน์และออนไลน์เป็นประจำ
คุณสามารถค้นหาที่เก็บข้อมูลบนคลาวด์ที่เชื่อถือได้พร้อมตัวเลือกในการเข้ารหัสไฟล์เพื่อเพิ่มความปลอดภัย
4. ส่งเสริมพฤติกรรมออนไลน์ที่ปลอดภัย
คุณและพนักงานของคุณควรฝึกพฤติกรรมออนไลน์ที่ปลอดภัย
คุณควรตรวจสอบให้แน่ใจว่าพนักงานของคุณ:
- อย่าปิดการอัปเดตระบบปฏิบัติการ
- อย่าดาวน์โหลดซอฟต์แวร์ที่แคร็ก
- หลีกเลี่ยงการคลิกลิงก์ที่เป็นอันตราย
- อย่าเปิดป๊อปอัปบนเว็บไซต์ที่เป็นอันตราย
การให้พนักงานของคุณได้รับการฝึกอบรมเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีที่สุดเป็นประจำสามารถช่วยให้คุณปลอดภัยจากแรนซัมแวร์หรือการโจมตีมัลแวร์ประเภทอื่นๆ
5. ติดตั้งซอฟต์แวร์รักษาความปลอดภัย
ไม่มีเครื่องมือใดที่หยุดแรนซัมแวร์ได้อย่างสมบูรณ์ แต่การมีแอพพลิเคชั่นเฉพาะแรนซัมแวร์สามารถบล็อกสิ่งที่แนบมาที่เป็นอันตรายในอีเมลฟิชชิ่งและเก็บไฟล์และข้อมูลที่มีค่าของคุณให้ปลอดภัยในระดับที่มีนัยสำคัญ
การตอบสนองต่อการโจมตีของแรนซัมแวร์
หากคุณมีเครื่องที่ติดแรนซัมแวร์ กลยุทธ์ทีละขั้นตอนต่อไปนี้สามารถช่วยคุณผ่านวิกฤตได้:
ขั้นตอนที่ 1:
แยกอุปกรณ์ที่ติดไวรัสและล็อคเครือข่ายของคุณเพื่อหยุดแรนซัมแวร์ไม่ให้แพร่กระจายออกไปอีกและเข้ารหัสไฟล์บนระบบอื่น
ขั้นตอนที่ 2:
ประเมินความเสียหายของคุณ และสแกนระบบของคุณด้วยเครื่องมือป้องกันแรนซัมแวร์ที่ดีเพื่อกำจัดโปรแกรมเรียกค่าไถ่ที่ทำงานอยู่
ขั้นตอนที่ 3:
ตรวจสอบแหล่งข้อมูล เช่น Id Ransomware และ No MoreRansom เพื่อดูว่ามีคีย์ถอดรหัสสำหรับเข้ารหัสแรนซัมแวร์ที่ส่งผลต่อระบบของคุณหรือไม่
ในประเทศส่วนใหญ่ เจ้าหน้าที่แนะนำไม่ให้จ่ายค่าไถ่ แต่ทั้งหมดขึ้นอยู่กับสถานการณ์ของคุณ
หากคุณไม่ต้องการจ่ายค่าไถ่ คุณควรพิจารณาเข้ารหัสข้อมูลที่ผู้คุกคามได้เข้ารหัสไว้แล้ว สิ่งนี้สามารถป้องกันการใช้ข้อมูลที่ควบคุมโดยผู้คุกคามในทางที่ผิด
ขั้นตอนที่ 4:
กู้คืนเครื่องจากการสำรองข้อมูลใหม่ทั้งหมดหรือติดตั้งระบบปฏิบัติการอีกครั้งเพื่อลบมัลแวร์ออกจากอุปกรณ์ของคุณโดยสมบูรณ์
มันไม่ง่ายเลยที่จะนำทางผ่านการโจมตีของแรนซัมแวร์ คุณอาจไม่รู้ว่าคุณกำลังติดต่อกับแฮ็กเกอร์คนเดียวหรือกลุ่มแรนซัมแวร์
ดังนั้นจึงเป็นการดีที่จะขอความช่วยเหลือจากผู้เชี่ยวชาญเพื่อเพิ่มโอกาสในการกู้คืนข้อมูลและลบ ransomware ออกโดยสมบูรณ์
Ransomware เข้ามาในคอมพิวเตอร์ของคุณได้อย่างไร?
อีเมลขยะและฟิชชิ่งเป็นสาเหตุหลักของแรนซัมแวร์ที่เข้ามาในอุปกรณ์ของคุณ สาเหตุอื่นๆ ของการติดเชื้อแรนซัมแวร์รวมถึงแต่ไม่จำกัดเพียงป๊อปอัปที่เป็นอันตรายบนเว็บไซต์แบบสุ่ม ซอฟต์แวร์ละเมิดลิขสิทธิ์ โปรโตคอลเดสก์ท็อประยะไกล (RDP) USB และสื่อที่ถอดออกได้ การดาวน์โหลดโดยไดรฟ์ และรหัสผ่านที่ไม่รัดกุม
ผู้โจมตี Ransomware ได้รับเงินอย่างไร?
ผู้โจมตี Ransomware ต้องการรับเงินเป็นสกุลเงินดิจิตอล โดยเฉพาะใน Bitcoin เนื่องจากธรรมชาติของสกุลเงินดิจิทัลเป็นความลับ ไม่ระบุตัวตน และติดตามได้ยาก
Ransomware สามารถแพร่กระจายผ่าน Wi-Fi ได้หรือไม่?
ใช่ แรนซัมแวร์สามารถแพร่กระจายผ่าน Wi-Fi ได้ การโจมตีของแรนซัมแวร์ที่ทำผ่าน Wi-Fi สามารถแพร่ระบาดไปยังอุปกรณ์ทั้งหมดที่เชื่อมต่อกับเครือข่าย Wi-Fi ในบางครั้งอาจเป็นวิธีที่ง่ายสำหรับแฮกเกอร์ในการแพร่กระจายโค้ดที่เป็นอันตรายและทำให้เกิดการติดเชื้อแรนซัมแวร์ที่ใช้งานอยู่
ภาพ: องค์ประกอบ Envato