ในปี 2015 ransomware ได้สร้างความเสียหายรวมมูลค่ากว่า $50M ต่อมาในช่วงปลายปี 2016 ได้มีการคาดการณ์ว่ากลุ่มผู้สร้าง Ransomware จะก่อความเสียหายขยายเป็นวงกว้างได้มากกว่าพันล้านดอลล่าร์ โดยมุ่งเป้าไปยังผู้ใช้งานทั่วไปและกลุ่มบริษัท – ดังนั้น โปรแกรมป้องกัน Ransomware คือเครื่องมือที่คุณต้องการ
พฤษภาคม 2017 – การโจมตีครั้งยิ่งใหญ่ที่สุดเท่าที่เคยเกิดขึ้นของ Ransomware
เมื่อวันที่ 12 พฤษภาคม WannaCry Ransomware ตัวล่าสุด ได้สร้างความตื่นตระหนกไปทั่วโลก ด้วยการทำให้เครื่องคอมพิวเตอร์กว่าล้านเครื่อง ใน 150 ประเทศติดไวรัส ซึ่งจากการโจมตีครั้งนี้ส่งผลกระทบไปยังหน่วยงานต่างๆมากมายทั่วโลก เช่น FedEx, Spain-based Telefonica, Britain’s National Health Service, German railway company Deutsche Bahn และ LATAM Airlines เป็นต้น
ถึงแม้ว่าจะมีการแก้ไขให้ผลกระทบจากตัว WannaCry เบาบางลงไปได้ในที่สุด แต่ Ransomware ตัวใหม่ๆก็ได้เกิดขึ้นเรียบร้อยแล้ว
“ สถานการณ์มีแต่จะแย่ลง และแย่ลงเรื่อยๆ และมันเป็นเรื่องที่ไม่ดีอย่างมากเพราะบริษัทต้องใช้เวลานานเป็นปีเพื่อรับมือกับความเสียหายเหล่านี้ ” Michael Gazeley ผู้บริหารของ Cybersecurity Firm Network Box ให้สัมภาษณ์แก่ CNN
ข่าวดีก็คือมันยังไม่สายเกินไปที่จะเตรียมพร้อมรับมือกับ Ransomware และเราจะอธิบายว่าคุณสามารถทำได้อย่างไรตามด้านล่าง
ในอนาคตต่อจากนี้ ไม่แน่ว่าบางที Ransomware จะเป็นเพียงแค่ในเชิงการเรียกขอค่าคุ้มครอง โดยการเก็บเงินเพื่อแลกกับการป้องกันผู้ไม่หวังดีจากการเข้ามาเปลี่ยนแปลงข้อมูลสำคัญต่างๆที่ทำให้บริษัทหรือตัวบุคคลเกิดความเสียหายก็เป็นได้ ซึ่งอาจจะฟังดูเหมือนเป็นภัยคุกคามที่น่ารังเกียจ แต่เราจะมีวิธีการอย่างไรบ้างที่จะป้องกันตัวเราจาก Ransomware ?
อะไรคือ Ransomware ?
เป็นที่รู้กันดีว่า Ransomware เป็นหนึ่งในภัยคุกคามทางอินเตอร์เน็ตที่เติบโตเร็วที่สุดในโลก แต่ว่า Ransomware จริงๆแล้วมันคืออะไรกันแน่?
Ransomware คือ มัลแวร์ชนิดหนึ่งที่ทำให้เครื่องคอมพิวเตอร์ของเราติดไวรัส ซึ่งเมื่ออุปกรณ์เหล่านั้นติดไวรัสแล้วก็จะถูกจำกัดการเข้าถึงบางส่วนหรือทั้งหมดของข้อมูลที่เราเก็บเอาไว้ หากต้องการที่จะปลดล็อคการเข้าถึงคอมพิวเตอร์หรือข้อมูลดังกล่าว ผู้ใช้จะต้องจ่ายเงินให้กับ ransom เพื่อปลดล็อค ซึ่งโดยมากจะทำการจ่ายเงินในรูปแบบเงินอิเล็กทรอนิกส์ โดยเมื่อกล่าวถึง Ransomware จะครอบคลุมถึง 2 รูปแบบของมัลแวร์ คือ Windows Blockers (ทำการบล็อคระบบปฏิบัติการหรือเบราว์เซอร์ ด้วย pop-up window) และอีกตัวหนึ่งคือ Encryption Ransomware ซึ่งรวมถึง Trojan-Downloaders ซึ่งมักจะมีแนวโน้มที่จะดาวน์โหลด encryption ransomware มายังเครื่องที่ติดไวรัส
ข้อมูลจากรายงานล่าสุดจาก Lab ของ Kaspersky
จากกราฟด้านบนจะเห็นว่าแนวโน้มผลกระทบมีแต่จะเพิ่มมากขึ้น อุตสาหกรรมที่เกี่ยวกับการป้องกันมัลแวร์ รวมทั้ง FBIและองค์กรอื่นๆเห็นด้วยกับคำกล่าวที่ว่าการคุกคามจาก Ransomware จะเป็นที่แพร่หลายมากขึ้นเรื่อยๆทั้งกับบริษัทขนาดเล็กและขนาดใหญ่
มันจะเป็นการดีกว่าหากเราสามารถป้องกันการโจมตีของ Ransomware ได้ตั้งแต่เนิ่นๆ เราหวังว่า เราจะสามารถหยุดการโจมตีได้ตั้งแต่ที่ Desktop ก่อนที่ Ransomware จะทำการเข้ารหัสไฟล์ใดๆก็ตาม แต่ในความเป็นจริงมันไม่ได้เป็นเช่นนั้น ดังนั้นจึงมีความจำเป็นอย่างมากที่เราจะเข้าใจและใช้ระบบป้องกันข้อมูลที่จะช่วยให้ทีมแก้ไขเข้ามาจัดการกับปัญหาได้อย่างรวดเร็ว โดยไม่ก่อให้เกิดผลกระทบต่อการใช้งานทั่วไป การทำงานของทีม network รวมถึงผู้ใช้อื่นๆที่อยู่ในระบบเดียวกันด้วย นี่ไม่ใช่การแก้ไขที่เหมาะสมกับแค่ระดับบริษัทเท่านั้น แต่เหมาะกับผู้ใช้งานทั่วไปด้วยเช่นกัน
Acronis ได้นำเสนอ solution เพื่อป้องกัน Ransomware โดยเหมาะสมกับทั้งสำหรับบริษัทและผู้ใช้งานทั่วไป solutionของเราสามารถใช้ได้เหมือนส่วนหนึ่งของผลิตภัณฑ์ Acronis consumer (and later, on corporate) หรือคุณสามารถใช้ควบคู่กับ solution ป้องกันมัลแวร์ตัวอื่นด้วยก็ได้ตามที่คุณต้องการ
โปรแกรมป้องกัน Ransomware | Acronis Active Protection™:
คำตอบอันทรงประสิทธิภาพสำหรับการจัดการ Ransomware
Acronis Active Protection คือ เทคโนโลยีอันล้ำสมัยสำหรับ Windows Operating Systems โดย Acronis มีแผนที่จะขยายการครอบคลุมไปยังระบบปฏิบัติการอื่นๆรวมถึง Android ด้วยในอนาคต แต่ ณ เวลานี้ ระบบปฏิบัติการที่ถูกโจมตีมากที่สุดนั้นก็ยังคงเป็น Windows ระบบปฏิบัติการของ Windows ในขณะนี้มีความจำเป็นต้องลดการวิจัยหรือความพยายามที่จะก่ออาชญากรรมออนไลน์ของ ransom มัลแวร์
เทคโนโลยี Acronis Active Protection ซึ่งอยู่ในระหว่างการจดสิทธิบัตรนี้ จัดเป็นพื้นฐานสำคัญสำหรับทุกๆการป้องกันการถูกเข้าถึงของข้อมูลสำคัญ ซึ่งสามารถนำไปใช้งานได้หลากหลาย แต่ขั้นแรก มาดูกันก่อนว่าเบื้องต้นนั้นมันทำงานยังไง และทำไม Acronis Active Protection จึงควรเป็นเครื่องมือแรกในการจัดการกับ Ransomware ของคุณ
การแก้ปัญหาของการตรวจจับ Ransomware
หัวใจของ Acronis Active Protection คือการวิเคราะห์พฤติกรรม ซึ่งคุณอาจเคยได้ยินมาก่อนแล้วเกี่ยวกับความเกี่ยวเนื่องกันของอุตสาหกรรม anti-malware การวิเคราะห์พฤติกรรมให้ได้ก่อนจะเกิดปัญหานี้ค่อนข้างจะใหม่และทันสมัยกว่าวิธีที่เคยมีมาก่อนหน้า ซึ่งเป็นในรูปแบบที่ว่า 1 signature สามารถตรวจจับได้เพียง 1 ตัวอย่าง ในขณะที่การวิเคราะห์พฤติกรรมนี้จะสามารถตรวจจับไฟล์ในปริมาณเล็กน้อยหรือแม้กระทั่งไฟล์เล็กๆหลายๆอันที่อยู่รวมกัน ซึ่งเรียกว่า family (ซึ่งโดยปกติจะมีความคล้ายคลึงกันหรือมีลักษณะการทำงานคล้ายๆกัน) การวิเคราะห์ในแง่ของพฤติกรรมที่พูดถึงนี้ เรากำลังกล่าวถึงการทำงานที่คล้ายๆกันเป็น chain (file system , ซึ่งจะมีความแม่นยำ) กระทำโดยโปรแกรม ที่จะคอยทำการเปรียบเทียบ chain ของเหตุการณ์ต่างๆที่เกิดขึ้นใน database ซึ่งดูแล้วเป็นไปใน pattern แนวทางที่ไม่ดี
การวิเคราะห์พฤติกรรมนี้เกี่ยวข้องกับ white and Blacklist ของหลากหลายโปรแกรม แล้วทำไมเราถึงต้องมี Whitelist เช็คด้วยล่ะ? ก็เพราะว่าการวิเคราะห์พฤติกรรมนี้สามารถช่วยให้ตรวจจับ Ransomware ตัวใหม่ๆได้ และในขณะเดียวกันโปรแกรมก็ได้ทำงานบนพื้นฐานของประสบการณ์/ผลของพฤติกรรม และ ต้องการการ control เผื่อสำหรับผลผิดพลาด(false positive) ซึ่งนั้นก็เป็นเหตุผลว่าทำไม Acronis Active Protection จึงทำการตรวจเช็คทุกๆกระบวนการที่น่าสงสัยไม่ว่าจะเป็น whitelist หรือ blacklist ก็ตาม ในขณะเดียวกันกับที่ผู้ใช้ทำการ block ไม่ให้ Ransomware โจมตี มันก็จะถูกจัดไปอยู่ในหมวด blacklist และจะไม่อนุญาติให้โปรแกรมที่โจมตีนี้สามารถทำงานได้ในการ reboot ครั้งต่อไป ซึ่งสิ่งนี้เป็นสิ่งที่สำคัญมากๆเนื่องจากผู้ใช้จะไม่ต้องทำการ block Ransomeware ที่คล้ายๆหันเหล่านี้ซ้ำๆอีกต่อไป
เห็นได้ชัดเจนว่าเป้าการโจมตีสำหรับ cyber criminal นี้จะเป็นการโจมตีไปที่ Acronis Program ซึ่งนั่นเป็นเหตุผลว่าทำไม Acronis Active Protection จึงต้องมีโมดูลป้องกันตนเองสำหรับ Acronis agent program โดยจะไม่มีกระบวนการไหนเลยในระบบนอกจาก Acronis software ที่อนุญาติให้ สามารถทำการ Modify Backup file ได้ เรายังได้ทำการติดตั้งระบบป้องกันตัวเองที่แข็งแรง ซึ่งจะช่วยกำจัดทุกๆรูปแบบของการโจมตีจาก Ransomeware และจะไม่อนุญาติให้การโจมตีใดๆเข้าไปรบกวนการทำงานของ backup software หรือเข้าไปรบกวน backup file นอกจากนี้ Acronis Active Protection ยังได้ติดตามผล Master Boot Record ของผู้ใช้จาก Windows-based hard drive และไม่อนุญาติให้ทำการเปลี่ยนแปลงใดๆจาก non-whitelisted utilities
Acronis Active Protection สามารถจัดการกับการโจมตีจากทุกๆรูปแบบของ Ransomware หรือไม่?
แน่นอนว่าทำได้ แต่อย่างไรก็ตาม เราต้องวางรูปแบบไว้อย่างเสถียร ทำการ active data protection จาก 3 ransomware vectors หลัก ดังต่อไปนี้
1.หยุดการโจมตีจาก Ransomware สำหรับทุกๆไฟล์
โดยทั่วๆไปวิธีการแก้ไขปัญหา ransomware สามารถทำได้ด้วยการ backed-up files เพื่อที่จะกู้คืนไฟล์ก่อนหน้ามา แต่อย่างไรก็ตาม ตอนนี้มีวิธีการใหม่ที่ง่ายกว่าในการจัดการซึ่งไม่เคยมีที่ไหนมาก่อน ถ้าคุณมี โปรแกรมป้องกัน Ransomware | Acronis Active Protection เพราะการกู้คืนไฟล์ที่มีการเข้ารหัสไปเพียงเล็กน้อยจะทำโดยอัตโนมัติ(หลังจากได้รับการยืนยัน) และเป็นเวอร์ชั่นที่อัพเดทล่าสุด เพราะว่าเทคโนโลยีนี้มีการทำงานแบบ real-time นั่นเอง หากลองพิจารณาถึงสถานการณ์ที่ว่า เมื่อเราจะทำการ Backup ในเวลาเที่ยงคืน แต่ในเวลาห้าทุ่ม ransomware ได้เข้ามาโจมตีเครื่องคอมพิวเตอร์ของเรา ถ้าคุณเพียงทำแค่การ recover ไฟล์จากที่ online backup ไว้ งานที่ได้ทำไว้ผ่านมานาน 11 ชั่วโมงก่อนหน้าก็จะหายไป เท่ากับไม่ได้ทำอะไรเลย แต่อย่างไรก็ดี ด้วยการเฝ้าติดตามดูกระบวนการและกิจกรรมต่างๆที่เกิดขึ้นอย่างสม่ำเสมอดังที่ได้กล่าวไว้ด้านบน ก็จะเป็นผลให้ไม่มีข้อมูล ได้สูญหายจากการโจมตีของ ransomware
2.เมื่อ ransomware ได้เข้าทำการโจมตี local backup file
สำหรับในกรณีนี้ Acronis Active Protection ได้ทำการ monitor ทุกๆ local drives และได้ทำการป้องกัน backup file จากการถูก modify โดย ransomware
3.Cloud backups ถูกเปลี่ยนแปลงโดย Ransomware
Cloud backup ไฟล์ ที่ถูกจัดเก็บที่ Acronis Storage จะได้รับการป้องกันโดยตรงจากการเปลี่ยนแปลงไฟล์โดย malicious code โดยการใช้วิธีเข้ารหัสที่แข็งแรง และทำการยับยั้งไม่ให้ Software อื่นใดที่ไม่ใช่ Acronis agent software เข้าไปทำการเปลี่ยนแปลงใดๆกับไฟล์ได้
หากถูกโจมตีโดย ransomware จะมีวิธีการรับมืออย่างไร
โปรดลองพิจารณาจากตารางด้านล่าง ซึ่งเป็นการอธิบายถึงเทคนิคและวิธีการต่างๆที่ใช้ในการต่อสู้กับ ransomware
| Ransomware attack | Explanation | Acronis Active Protection response |
| In-place overwrite | Ransomware เข้าทำการโจมตีและ modifies data file | Driver จะทำการส่งสัญญาณเตือนไปยัง service ด้วยข้อมูลจากการวิเคราะห์พฤติกรรม จะทำการ copy-on-write ข้อมูลที่น่าสงสัย
Service จะทำการตรวจจับ case เหล่านั้นและทำการระงับ ransomware และ driver จะทำการ roll back file จาก cache |
| Via rename | Ransomware ได้เข้าโจมตีโดยการสร้างไฟล์ขึ้นมาใหม่ ก็อปปี้ไฟล์เดิม ทำการเปลี่ยนแปลงไฟล์ และลบไฟล์ต้นฉบับทิ้ง | รูปแบบเดียวกันกับด้านบน |
| Via new file | Ransomware ได้เข้าโจมตีโดยการสร้างไฟล์ขึ้นมาใหม่ ก็อปปี้ไฟล์เดิม ทำการเปลี่ยนแปลงไฟล์ และลบไฟล์ต้นฉบับทิ้ง | รูปแบบเดียวกันกับด้านบน |
| Master Boot Record overwriting | Ransomware ทำการเปิด PhysicalDrive, เขียนข้อมูลทับ MBR, the system is rebooted, HDD/MFT is encrypted on reboot (chkdsk disguised). | The driver ทำการตรวจสอบกระบวนการ WRITE/SCSI to MBR โดย RAW FS, ทำการแจ้งเตือน service, service จะทำการตรวจสอบและตัดสินใจ |
| In-place overwrite/or rename/or new file with injection into known processes | Ransomware is injected into a well-known process and performs malicious actions. | The driver provides injection attempt notifications to the service and the service instructs the driver to start watching the process without performing copy-on-write. If suspicious patterns are noticed, a user can be instructed to recover files from the cloud. |
เหตุใด โปรแกรมป้องกัน Ransomware | Acronis Active Protection จึงดีกว่าโปรแกรม Antivirus หรือ Backup software
คำตอบนั้นง่ายมากๆ ทั้ง 2 ผลิตภัณฑ์ข้างต้นไม่ได้ทำการป้องกันข้อมูลของคุณจากการโจมตีของ ransomware เลย ทั้ง 2 โปรแกรมไม่รู้จักการทำงานประสานกัน ข้อมูลใดๆก็ตามที่ถูกเข้าใจผิดจากโปรแกรม anti-malware จะถูกลบ เนื่องจากไม่มี solution ที่ทำการ backs up file ไว้ที่ cloud และไม่มี backup solution ที่ทำการตรวจจับมัลแวร์ อย่างไรก็ดี เมื่อ Acronis Active Protection ได้ถูกใช้งานควบคู่กับ Acronis Cloud โดย Acronis endpoint agent ข้อมูลต้นฉบับสามารถ recover ได้จาก Local caches, Local backups หรือ Cloud backups สิ่งนี้ช่วยกำจัดหนึ่งในชนิดของ ransomware ที่อันตรายที่สุดไปได้
Anti-malware software สามารถที่จะพลาดในการ ransom-demanding malware ได้ และการก่อกวนทางออนไลน์นั้นรู้ข้อจำกัดในส่วนนี้อย่างดี จากที่เราได้กล่าวไปแล้วข้างต้น การป้องกันแบบเดิมๆนั้นใช้ไม่ได้แล้วในปัจจุบัน เนื่องจากการโจมตีทางออนไลน์นั้นมีความจำเป็นต้องทำการเข้ารหัสมัลแวร์เพื่อป้องกันการถูกตรวจจับได้ของโปรแกรม และ free anti-virus มากมายก็ยังคงใช้วิธีการนี้อยู่ ซึ่งนั่นก็เป็นเหตุผลว่าทำไม anti-malware vendors ถึงได้แนะนำให้ใช้วิธีการ backup ดังที่เราได้บอกไปแล้ว
และในขณะเดียวกัน cloud backup solution ทั้งหมดก็ทำการป้องกันการโจมตีแบบพื้นฐาน ซึ่งก็คือความเสียหายบน local machine แต่ไม่มีใครป้องกัน ต่อการโจมตีที่มีเป้าหมายเป็น backup solution เอง
Update April,10
The Independent IT Security Institute AV Test ได้ทำการวาง 4 โปรแกรมสำหรับการเทสและได้ผลสรุปว่า ผลการทดสอบแสดงให้เห็นอย่างชัดเจนว่า มันจะเป็นประโยชน์อย่างมากหากโปรแกรมป้องกัน malware จะมีการเพิ่มในส่วนของ backup software เข้าไปด้วย และ Acronis True Image 2017 New Generation Premium เป็น backup solution เพียงหนึ่งเดียวที่สามารถหยุดการโจมตีจาก ransomware ได้
Acronis Active Protection กับการป้องป้องคุณจากภัยคุกคามในอนาคต
เหตุใดการโจมตีในปัจจุบันจึงมุ่งเน้นไปที่ backups? สาเหตุเป็นเพราะการโจมตีนี้จะสามารถได้เงินอย่างรวดเร็ว โปรเจคที่ชื่อว่า www.nomoreransom.org/prevention-advice.html จูงใจให้ผู้ใช้ทำ 2 สิ่งสำคัญดังต่อไปนี้
- backup ข้อมูลอยู่เสมอ
- อย่าจ่ายเงินค่าไถ่
อย่างไรก็ตามนี่ก็ยังไม่เพียงพอสำหรับในทุกๆเคส แม้ว่าในหลายๆ backup solutions จะมี cloud Storage ในกรณีที่ต้องการแก้ไข cloud-based backup พวกเขายังมีความจำเป็นที่จะต้องเข้าถึงข้อมูลส่วนบุคคล ซึ่งโดยส่วนใหญ่แล้ว ransomware และ malware attacker จะยังไม่มีความสามารถที่จะเข้าถึงได้
และในเวลาอันใกล้นี้ ผู้ไม่หวังดีจะหาทาง ที่จะตอบคำถามที่ว่า “ข้อมูลนั้นถูกส่งเข้าไปเก็บที่ cloud ได้อย่างไร?” ซึ่งคำตอบนั้นก็ชัดเจนอยู่แล้วว่า เข้าไปผ่านทาง agent ของอุปกรณ์ของเรา โดยทางเทคนิคแล้วมีวิธีการมากมายที่จะปล่อยโค้ดแย่ๆให้แก่ local agent และส่งผลกระทบไปยัง backup data บน cloud ซึ่ง backup software เพียงตัวเดียวที่จะสามารถหยุดการกระทำเหล่านี้ได้ก็คือ Acronis product with active Protection นั่นเอง
บางสิ่งเล็กๆน้อยๆที่ควรจดจำ
โปรแกรมป้องกัน Ransomware | Acronis Active Protection นี้เป็นนวัตกรรมรุ่นใหม่ของการป้องกันข้อมูล ซึ่งประกอบไปด้วย
1.Real-time backup and protection จากการโจมตีของ ransomware สำหรับระบบปฏิบัติการ Windows ซึ่งจะไม่มี gap เวลาในการ restore version ของไฟล์ ซึ่งทำให้มันไม่ส่งผลกระทบต่อ progress ของคุณ
2.พิสูจน์แล้วว่าเป็นการป้องกันการเพิ่มขึ้นในอนาคตของ new ransomware ที่จะส่งผลกระทบออกมาเรื่อยๆได้
3. transparent และ user friendly interface ซึ่งทำงานได้อย่างอัตโนมัติ
คุณจะเห็นได้ว่า Acronis Active Protection ได้เพิ่มสิ่งที่ดีกว่าเกี่ยวกับ layer ของการป้องกันข้อมูลจากการโจมตีของ Ransomware ทั้งในวันนี้และต่อไปในอนาคต และมีมาพร้อมในผลิตภัณท์ด้านล่าง
Consumer Product : Acronis True Image
Corporate Product : Acronis Backup 12.5
ความรู้เพิ่มเติม เรื่อง Sand Boxing
Technique ที่สำคุญที่ทาง Security Vendor ใช้ในการจัดการกับ Ransomware และ Zero-day attack คือ สร้างพื้นที่เสมือน เพื่อให้ Threat ได้ไปทำงานแล้วจับพฤติกรรม เทคนิคนี้ฟังดูก็ดู้ว่าจะเกิด delay ขึ้นเพราะโปรแกรมดังกล่าวจะต้องถูกตรวจสอบก่อนว่าปลอดภัย จึงจะได้ทำงานจริง
สิ่งที่ Active Protection ทำก็เหมือนกับที่เกิดใน Sand Boxing ต่างกันแค่ Threat เหล่านั้นได้ทำงานจริง บนไฟล์จริงและ Memory จริง โดยที่ ไฟล์ที่ถูกใช้งานระหว่าง threat เหล่านั้นทำงานจะมี Local cache backup เป็น Shadow ไว้ทั้งหมด หากโปรแกรมตรวจพบพฤติกรรมผิดปกติ จะหยุด Process และ restore ไฟล์กลับจาก cache ทั้งหมด