Ransomware หรือไวรัสเรียกค่าไถ่เป็นภัยที่น่ากลัวมากในปัจจุบัน เพราะเล็งเป้าหมายไปที่ข้อมูลในองค์กรหรือคอมพิวเตอร์ส่วนตัวที่จะโดนล็อกและเรียกค่าไถ่ปลดล็อกไฟล์ ซึ่งปีนี้มีเคส Ransomware ที่ดังระดับโลกคือ Garmin ที่โดนจน Cloud ของบริษัทที่ให้บริการลูกค้า Garmin ทั่วโลกใช้ไม่ได้ และจบลงด้วยรายงานข่าวว่า Garmin ยอมจ่ายเงินกว่า 300 ล้านบาทเพื่อปลดล็อกไฟล์ ส่วนที่ใกล้ตัวเข้ามาหน่อยคือการไฟฟ้าส่วนภูมิภาค ก็ถูก Ransomware โจมตีเมื่อช่วงเดือนมิถุนายนที่ผ่านมา จนไม่สามารถรับชำระค่าไฟไปเป็นสัปดาห์
และล่าสุดคือโรงพยาบาลสระบุรีที่โดน Ransomware เข้าล็อกข้อมูลทั้งหมดตั้งแต่ช่วงวันที่ 7 ก.ย. ที่ผ่านมา ซึ่งล่าสุดกระทรวง DE ได้เข้าช่วยเหลือแล้ว
โดยคุณหมอ Jarinya Jupanich ได้โพสต์ข้อความในวันที่ 8 กันยายน 2563 ว่าระบบคอมพิวเตอร์ของโรงพยาบาลนั้นถูกโจมดีด้วย Ransomware เรียกเงินค่าไถ่ (ซึ่งคุณหมอไม่ได้ระบุจำนวนค่าไถ่) แลกกับข้อมูลของโรงพยาบาล ซึ่งทำให้การทำงานของแพทย์และเจ้าหน้าที่เป็นไปอย่างยากลำบาก เพราะเรียกใช้ข้อมูลคนไข้ ข้อมูลการรักษาต่างๆ ไม่ได้ การตรวจคนไข้ใช้เวลานานขึ้น เพราะต้องซักคนไข้ทุกคนใหม่ และไม่มีระบบคอมพิวเตอร์ประสานการทำงานระหว่างแผนกต่างๆ ทำให้การทำงานต้องล่าช้าออกไป ส่งผลให้คนไข้ต้องรอนาน และบุคลากรทางการแพทย์ต้องทำงานหนักขึ้น
แม้ว่าเราอยากจะประณามผู้ก่อการร้ายไซเบอร์ว่าทำไมต้องโจมตีเป้าหมายที่เป็นโรงพยาบาลด้วย แต่ข้อเท็จจริงคือ Ransomware นั้นเน้นกระจายตัว และเลือกโจมตีเป้าหมายแบบไม่เลือกหน้าด้วย (แต่มี Ransomware อีกกลุ่มที่เขียนมาเป็นพิเศษสำหรับโจมตีองค์กรแบบเจาะจง ที่คาดว่า Garmin โดน)
คำถามถ้าเราโดน Ransomware มีวิธีแก้ไขไหม
คำตอบคือมี แต่บอกเลยว่ายาก เพราะ Ransomware มีการพัฒนากระบวนการเข้ารหัสไฟล์ตลอด ransomware ยุคหลังๆ จึงแทบไม่สามารถแก้ไฟล์ที่ถูกล็อกได้ด้วยตัวเองเลย ต้องรอให้มี key หลุดออกมา แล้วมีคนทำเครื่องมือปลดล็อกออกมาให้ ถึงจะแก้ได้ ซึ่งถ้าเราโดน Ransomware ที่มีคนทำเครื่องมือช่วยแก้ไขออกมาแล้วก็โชคดีไป แต่ส่วนใหญ่จะไม่ได้โชคดีแบบนั้น
ปลายทางของการโดน Ransomware ก็มักจบลงที่การยอมจ่ายเงินค่าไถ่ ถ้าเงินค่าไถ่สูงเกินไปก็ต้องตัดใจทิ้งข้อมูลเหล่านั้น แถมเมื่อจ่ายเงินไปแล้วก็ไม่มีอะไรรับประกันด้วยว่าจะได้ข้อมูลคืนมา
วิธีจัดการเมื่อรู้ว่าติด Ransomware
- ตัดการเชื่อมต่อเครือข่ายทันที
- ถ้าข้อมูลไม่สำคัญจริง ๆ อย่าจ่ายเงินเพื่อกู้ไฟล์คืน เพราะเป็นเหมือนกับการสนับสนุนแฮกเกอร์ และมีโอกาสที่จะไม่ได้ไฟล์คืนสูง
- พยายามค้นหาข้อมูลว่า Ransomware ที่เราติดมีชื่อว่าอะไร เพราะบางครั้งจะมีกลุ่ม White hat ซึ่งเป็น hacker สายขาว ที่เปิดเผยวิธีกู้ข้อมูลมาเปิดเผยในอินเทอร์เน็ตอยู่บ้าง
- ทำการล้างเครื่องทั้งหมดแบบ Clean format ไม่ให้ข้อมูลหลงเหลือใน Hard Disk ก่อนทำการลงเครื่องใหม่ทั้งหมด แต่ถ้าไม่มี backup ข้อมูล ทุกอย่างก็หายไป
เพราะฉะนั้นการรับมือ Ransomware ที่ดีที่สุดคือการป้องกัน
Ransomware นั้นมีนิสัยคล้ายไวรัส คือสามารถติดผ่านแฟลขไดรฟ์ ผ่านเครือข่ายได้ หรือบางทีก็มาจากเมล มาจากเว็บอันตราย เพราะฉะนั้นทางป้องกันสำหรับผู้ใช้ทั่วไปจึงคล้ายกับการป้องกันไวรัสคือ
- ลดการใช้ flashdrive ในการโอนถ่ายข้อมูล เพราะปัจจุบัน Cloud Services อย่าง Google Drive, OneDrive ดีและปลอดภัยกว่ามาก
- อย่าเข้าถึงเว็บไซต์ที่ดูไม่น่าไว้ใจ หรือ Link ที่ผิดปกติ (ซึ่งหลายครั้งอาจมาในรูปแบบ Link ย่ออย่าง bit.ly) รวมไปถึงการดาวน์โหลดโปรแกรมเถื่อนมาใช้ เพราะส่วนใหญ่มักแฝงมาด้วยมัลแวร์ และอาจรวมไปถึง Ransomware ด้วย
- อย่าเปิดไฟล์ในอีเมลที่เราไม่รู้จัก หรือดูผิดปกติแม้จะเป็นผู้ส่งที่เรารู้จัก เพราะไฟล์ที่แนบมาอาจเป็น Ransomware สูงมาก
- อย่าเปิดเผยข้อมูลส่วนตัวเช่น E-mail หรือเบอร์โทรศัพท์โดยไม่จำเป็น
แน่นอนว่าโปรแกรม Antivirus ก็ช่วยได้ แต่ก็ต้องอยู่บนพื้นฐานของ Windows หรือ OS ที่อัปเดตแก้ไขช่องโหว่ตลอดเวลา และ Antivirus ก็ต้องอัปเดตด้วย โดยจะใช้ของ Windows ที่ติดมากับเครื่องก็ได้ ไม่หนักเครื่องดี
และการทำงานยุคใหม่ สามารถทำงานผ่าน Cloud ได้ เช่นทำงานบน Google Docs, Word Online หรือบริการการจัดการการทำงานอื่นๆ ที่ทำผ่าน Cloud ก็จะลดปัญหาความปลอดภัยแบบนี้ได้ เพราะเมื่อโดนไวหัสหรือ Ransomware บุก ก็จะไม่เข้าไปกินข้อมูลที่อยู่บน Cloud ไปด้วย
แต่เรื่องที่สำคัญที่สุดคือการ Backup ข้อมูล
คนที่ต้องดูแลระวังมากที่สุดในเรื่องนี้คือฝ่าย IT ในองค์กร เพราะจะเห็นได้ว่าการทำงานในองค์กรนั้นมี User มาก รูรั่วจากผู้ใช้คนต่างๆ ก็เยอะ การ Backup จึงเป็นทางป้องกัน Ransomware ที่สำคัญที่สุด ต่อไปนี้องค์กรต้องลงทุนกับการ Backup ข้อมูล
หลักการ Backup ที่ปลอดภัยสำหรับ Ransomware คือ Backup ข้อมูลเก็บไว้หลายๆ ชุด และเก็บมากกว่าสถานที่เดียวนะครับ เช่นมีข้อมูลอยู่ในเครื่องส่วนตัวพนักงาน ไปเก็บอยู่ใน NAS (กล่องฮาร์ดดิสก์แบบต่อเครือข่าย) ของบริษัท และข้อมูลใน NAS ก็ซิงก์ให้เก็บข้อมูลสำคัญขึ้น Cloud อย่าง Google Drive, Dropbox แล้วถ้าใครใช้ Office 365 อยู่แล้ว ก็จะได้ OneDrive 1 TB เอาไว้เก็บไฟล์ได้เยอะ หรือองค์กรไหนต้องการความเป็นส่วนตัวของข้อมูลสูงๆ ก็ใช้เป็น Private Cloud ก็ได้ และสุดท้ายก็ควรสำรองข้อมูลบางส่วนลง External Harddisk แล้วนำไปไว้ที่อื่นนอกจากสถานที่เก็บข้อมูลหลักด้วย
เพราะเมื่อโดน Ransomware บุก มันจะไม่ได้ไล่ล็อกไฟล์ในเครื่องที่โดนอย่างเดียว แต่มันจะสแกนเครือข่ายที่เครื่องนั้นต่อและกระจายไปล็อกเครื่องอื่น ๆ ซึ่งถ้าเซิร์ฟเวอร์หรือ NAS เชื่อมกับเครื่องที่โดน ก็จะถูกล็อกไฟล์ในเซิร์ฟเวอร์ไปด้วย
แต่ถ้าเรามีการเก็บข้อมูลหลายแหล่ง มีการ Backup ที่สามารถย้อนไปได้มากกว่า 1 ช่วงเวลา และจัดการผู้เข้าถึงข้อมูลที่ Backup ได้ ก็จะปลอดภัยเมื่อโดน Ransomware บุกครับ และถ้ามีการเก็บข้อมูลออกไปนอกองค์กร ก็ยังปลอดภัยต่อภัยร้ายอื่น ๆ เช่นไฟไหม้ด้วย
พิสูจน์อักษร : สุชยา เกษจำรัส