Ransomware โดยบริษัท I-SECURE จำกัด
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
วิธีการป้องกัน <strong>Ransomware</strong><br />
โดยนายสุเมธ จิตภักดีบดินทร์, Counter Threat Unit, บริษัท I-<strong>SECURE</strong> จ ากัด<br />
<strong>Ransomware</strong> ถือเป็ น Malware ชนิดหนึ่ง พฤติกรรมของ Malware ชนิดนี้คือการเข ้ารหัสไฟล์นามสกุลต่างๆ<br />
ภายในเครื่องของเหยื่อที่ติด แล ้วท าการเรียกค่าไถ่ key ส าหรับในการถอดรหัสไฟล์เหล่านั้น ทั้งนี้มีการแพร่กระจายและ<br />
มีผลกระทบค่อนข ้างกว ้างในประเทศไทย อีกทั้งในหลายๆคนและองค์กรยังคงเชื่อในเรื่อง Antivirus สามารถจัดการกับ<br />
<strong>Ransomware</strong> ได ้(สามารถดูรายละเอียดเพิ่มเติมในเรื่องของ Antivirus ไม่สามารถต ้านทาน Malware ได ้ที่<br />
https://goo.gl/Te3eo8 ) ท าให ้ยังคงมีการติด malware เหล่านี้กันอย่างต่อเนื่อง ทีนี้จะป้องกันการแพร่กระจายหรือ<br />
การติด <strong>Ransomware</strong> เหล่านี้ยังไงล่ะ<br />
วิธีป้ องก ัน <strong>Ransomware</strong><br />
การจะป้องกัน <strong>Ransomware</strong> ได ้นั้นคงไม่สามารถที่จะพึ่ง Antivirus ไดเพียงอย่างเดียวเท่านั้น ้<br />
เนื่องด ้วย<br />
<strong>Ransomware</strong> เป็ นที่นิยมมาก เพราะฝั่งผู ้พัฒนาหาเงินได ้จากแพร่กระจาย malware ชนิดนึ้ถึงปีละหลายล ้านดอลล่า<br />
สหรัฐ ท าให ้เหล่า Hacker มีความสนใจอย่างมากจึงได ้พัฒนาออกมาหลากหลายชื่อ หลากหลายรูปแบบมากมาย อีก<br />
ทั้งยังคงมีการเปิดให ้บริการเช่าระบบ <strong>Ransomware</strong> หรือที่เรียกว่า <strong>Ransomware</strong>-as-a-service อีกด ้วย ท าให ้<br />
Antivirus ตาม malware เหล่านี้ไม่ทัน จึงต ้องอาศัยเครื่องมือเฉพาะทางในการคอยเฝ้าระวังพฤติกรรมที่เกี่ยวกับการ<br />
ท างานของ <strong>Ransomware</strong> โดยเฉพาะแทน โดยใชเครื่องมือหรือเทคนิดต่างๆเพื่อป้องกันโดยมีดังนี้<br />
้<br />
1. Malwarebytes Anti-<strong>Ransomware</strong><br />
Malwarebytes Anti-<strong>Ransomware</strong> ถือเป็ นเครื่องมือเฉพาะทางตัวแรกๆที่สร ้างขึ้นมาเพื่อป้องกัน<br />
<strong>Ransomware</strong> โดยเฉพาะ ซึ่งจะดูจากพฤติกรรมที่เข ้าข่ายว่าเป็ น <strong>Ransomware</strong> จากนั้นจะหยุด Process นั้นทันที<br />
สามารถท างานได ้บน Windows 7,8.1 โดยสามารถดูรายละเอียดเพิ่มเติมได ้ที่<br />
https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/<br />
2. Ransomwhere?<br />
Ransomwhere เป็ น Application ที่ท างานใน Mac OS X โดยหลักการท างานของ Ransomwhere คือการ<br />
คอยตรวจสอบของการเข ้ารหัสไฟล์จาก process ที่น่าสงสัย หากพบการเข ้ารหัสจะมีการถามขึ้นมาว่าจะอนุญาตหรือไม่<br />
โดยสามารถดูรายละเอียดเพิ่มเติมได ้ที่ https://objective-see.com/products/ransomwhere.html<br />
3. <strong>Ransomware</strong> BEGONE<br />
<strong>Ransomware</strong> BEGONE เป็ น Application ที่คอยตรวจสอบการใช ้งาน Win32 API calls เมื่อเจอพฤติกรรม<br />
การใช ้งาน Win32 API Call ที่เกี่ยวกับการแก ้ไขไฟล์ที่เป็ นการเข ้ารหัส ตัวโปรแกรมจะปิด Process นั้นทิ้ง โดย<br />
สามารถท างานได ้บน Windows 7 สามารถดูรายละเอียดเพิ่มเติมได ้ที่<br />
https://github.com/ofercas/ransomware_begone<br />
4. CryptoPrevent<br />
จริงๆแล ้ว CryptoPrevent เกิดมาจากการสร ้างเครื่องมือเพื่อใช ้ป้องกัน CryptoLocker ที่เริ่มแพร่ระบาดมา<br />
ตั้งแต่ปี 2013 จากนั้นก็มีการพัฒนาต่อมาเรื่อยๆ ท าให ้กลายเป็ น Anti-Virus ที่พร ้อมกับ Feature ที่ป้องกัน<br />
<strong>Ransomware</strong> ต่างๆได ้ โดยสามารถท างานได ้บน Windows 7,8,8.1 และ 10 สามารถดูรายละเอียดเพิ่มเติมได ้ที่<br />
https://www.foolishit.com/cryptoprevent-malware-prevention/
5. ปิ ดการเข้าถึง Remote Desktop Protocol จาก Internet<br />
มีกลุ่ม Hacker หลายๆกลุ่มที่พยายามแพร่กระจาย <strong>Ransomware</strong> โดยการเดารหัสผ่าน(Bruteforcing)<br />
Remote Desktop ที่สามารถเข ้าถึงได ้จากภายนอก ซึ่งวิธีการนี้ถูกน ามาใช ้โจมตีเหล่า Server ในไทยจ านวนมาก จึง<br />
แนะน าให ้ท าการปิด Remote Desktop Service จาก Internet ในเครื่อง Server ใดๆ หากต ้องการใช ้ Remote<br />
Desktop Service จริงๆ แนะน าให ้เครื่องผู ้ใช ้งานต่อ VPN เข ้าองค์กรก่อน จึงจะสามารถเข ้าถึง Remote Desktop<br />
Service ของ Server ใดๆได ้แทนจะเหมาะสมกว่าครับ<br />
6. วิธีการปิ ดการท างาน Windows Script Host<br />
มีหลายๆครั้งที่ <strong>Ransomware</strong> มักจะมาในรูปแบบของ zip file ซึ่งภายใน zip file ก็จะมี .js อยู่ หาก User กด<br />
เปิด .js นั้น ก็จะกลายเป็ นเรียกการท างาน Windows Script host เราสามารถเข ้าไปปิดการท างานของ Windows<br />
Script Host ได ้โดยเข ้าไปแก ้ไข Registry ที่<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings<br />
สร ้าง DWORD Value ขึ้นมาโดยให ้ชื่อว่า “Enabled” และก าหนดค่าเป็ น 0 จากนั้น Save ก็จะปิดการ Auto<br />
run พวก script ต่างๆเช่น .js, .vbs เป็ นต ้น<br />
รูปภาพการปิด Windows Script Host<br />
7. ปิ ดการท างานของ Macro ใน Microsoft Office<br />
<strong>Ransomware</strong> บางประเภทจะมีการแฝงมากับไฟล์เอกสารต่างๆ เมื่อเปิดไฟล์เอกสารเหล่านั้น จะมีการ<br />
สอบถามว่าจะ Enable Macro หรือไม่ หากท าการ Enable จะกลายเป็ นรัน script ที่แฝงมากับไฟล์เอกสารนั้นๆทันที<br />
เราสามารถปิดการท างาน Macro ได ้ในหลายๆรูปแบบ โดยเข ้าไปที่ File -> Word Options-> Trust Center ->Trust<br />
Center Settings
รูปภาพการเข ้าถึง Trust Center Settings<br />
จากนั้นเลือกตัวเลือกของการจัดการ Macro โดยมีดังนี้<br />
้<br />
้<br />
Disable all macros without notification จะปิดการท างานของ Macro และจะไม่มีการแจ ้งเตือน<br />
ใดๆ (แนะน าให ้เลือกข ้อนี้เพื่อป้องกัน User enable Macro)<br />
Disable all macros with notification จะปิดการท างานของ Macro และจะมีการแจ ้งเตือนเมื่อ<br />
เอกสารนั้นๆมี Macro<br />
Disable all macros except digitally signed macros Macros จะถูกปิดการใช ้งานไว , แต่จะมี<br />
alert หาก Macro มีอยู่ในเอกสาร หาก macro มีการ signed โดย trusted publisher (เช่น Microsoft เป็ น<br />
ต ้น), macro จะท างาน. หากเราไม่ trust publisher จะมีการแจ ้งเตือนให enable signed macro และ trust<br />
publisher<br />
Enable all macros (not recommended, potentially dangerous code can run) อนุญาต<br />
ให ้รัน macros โดย default ซึ่งไม่แนะน าครับ<br />
Trust access to the VBA project object model อนุญาตหรือไม่ที่จะเข ้าถึง Visual Basic for<br />
Applications (VBA) object model จาก automation client. Option นี้ส าหรับการเขียน code เข ้าไปใน<br />
Office program และการแก ้ไข VBA environment และ object model.
รูปภาพการเลือก Option ของ Macro ใน Microsoft Office<br />
8. การใช้ Enterprise Mail Service และ Spam Filter<br />
โดยปกติ <strong>Ransomware</strong> มักแพร่กระจายผ่าน Email เป็ นส่วนใหญ่ ซึ่งบริการ Email อย่าง Gmail, Office365<br />
ก็เป็ นบริการที่มีการป้องกัน Spam Mail ให ้อยู่แล ้ว ซึ่งจะท าให ้เรากรอง Email ที่ปกติออกจาก Email ที่ประสงค์ร ้ายได ้<br />
ในระดับหนึ่งเลยทีเดียว<br />
หรือหากต ้องการจะใช ้งาน Mail Server ภายในองค์กรและต ้องการ filter Spam ต่างๆก็สามารถท าไดเช่นกัน<br />
้<br />
โดยการติดตั้งเครื่องมือการป้องกัน Spam Mail เช่น Spam Assassin, Mail Scanner เป็ นต ้น หรือหากต ้องการเป็ น<br />
Appliance ก็มีหลากหลายเช่นกัน เช่น Proofpoint, Cisco Email Security Appliance เป็ นต ้น<br />
9. ตรวจสอบไฟล์ว่าเป็ น Malware หรือไม่<br />
การเปิดไฟล์ใดๆที่ไม่ทราบถึงที่มา รวมถึงมีลักษณะที่ผิดปกติ เราสามารถตรวจสอบได ้ว่าไฟล์นั้นเป็ น<br />
Malware ที่รู ้จักกันทั่วไปหรือไม่ โดยการ upload ไปที่ http://www.virustotal.com หรือ https://nodistribute.com<br />
เพื่อตรวจสอบไฟล์ก่อนเปิดทุกครั้ง<br />
10. ตรวจสอบ URL นั้นน่าเชื่อถือหรือไม่<br />
การเปิดเข ้าไปใน link ที่อันตรายหรือไม่ทราบที่มาแน่ชัด อาจส่งผลให ้เราถูกโจมตีด ้วยช่องโหว่ต่างๆของ<br />
Browser หรือ Adobe Flash Player ก็เป็ นได ้ หากเราต ้องการตรวจสอบความน่าเชื่อถือของ link สามารท าได ้โดยเข ้า<br />
ไปตรวจสอบที่ http://www.virustotal.com ในส่วนของ URL หรือเข ้าไปตรวจสอบได ้ที่ https://urlvoid.com,<br />
https://sucuri.net/scanner เพื่อตรวจสอบความปลอดภัยของ URL
รูปภาพตัวอย่างการ scan URL ด ้วย Virustotal<br />
11. ใช้ Add-on ของ Browser ปิ ดโฆษณาต่างๆบนเว็บไซด์<br />
มีหลายครั้งที่เราได ้พบว่ามีการแพร่กระจาย Malware และ Exploit ต่างๆผ่านการซื้อโฆษณา ดังนั้นสิ่งที่เราท า<br />
ได ้คือปิดการแสดงโฆษณาเหล่านั้นโดยใช ้ Add-on ต่างๆของ Browser(Google Chrome, Mozilla Firefox) เช่น<br />
Adblock Plus, uBlock Origin เป็ นต ้น<br />
12. อนุญาต Javascript เฉพาะบางเว็บไซด์<br />
หลายๆครั้งที่ Hacker มักจะแฮ็คเว็บไซด์ทั่วไปแล ้วฝังโค ้ด Javascript ที่ไปดึง Javascript ที่อันตรายจากเว็บ<br />
ไซด์ของ Hacker มาใช ้งาน เราสามารถป้องกันเบื้องต ้นในการท างาน Javascript ใดๆได ้ ด ้วย Add-on ของ Browser<br />
ต่างๆ เช่น ScriptSafe, NoScript เป็ นต ้น อีกทั้ง Add-on เหล่านั้นยังสามารถก าหนดได ้ด ้วยว่าจะอนุญาตให ้รัน<br />
Javascript จากเว็บไซด์ใดบ ้าง<br />
13. ปิ ดการใช้งาน Adobe Flash<br />
เนื่องด ้วยเว็บไซด์ในปัจจุบันมีการใช ้งาน Adobe Flash Player น ้อยลง รวมถึงการมาของ HTML5 ซึ่งแทบจะ<br />
แทนการท างานของ Adobe Flash Player ไปเสียแล ้ว อีกทั้ง Adobe Flash Player เป็ นช่องทางหนึ่งที่ท าให ้ Browser<br />
ของเรามีช่องโหว่ได ้ เราสามารถปิดการใช ้งาน Adobe Flash Player ใน Browser ต่างๆได ้ดังนี้<br />
<br />
Google Chrome<br />
ใส่ URL เป็ น “chrome://plugins/” จากนั้นกดที่ปุ ่ ม Disable ข ้างใต ้ Adobe Flash Player
รูปภาพ Disable การใช ้งานใน Adobe Flash Player ใน Google Chrome<br />
<br />
Mozilla Firefox<br />
ใส่ URL เป็ น “about:addons” เลือกส่วน Plugins จากนั้นเลือกด ้านขวาสุดเป็ น “Never Activate”<br />
Internet Explorer 8, 8.1, 10<br />
รูปภาพ Disable การใช ้งานใน Adobe Flash Player ใน Mozilla Firefox<br />
ให ้ไปที่ Menu -> Manage Add-ons เลือก All Add-ons ที่ Shockwave Flash Object เลือกเป็ น Disable
รูปภาพ Disable การใช ้งานใน Adobe Flash Player ใน Internet Explorer 10<br />
<br />
Disable<br />
Microsoft Edge<br />
ให ้ไปที่ Menu -> Settings -> View Advance Settings -> ภายใต ้ Use Adobe Flash Player เลือกเป็ น<br />
รูปภาพ Disable การใช ้งานใน Adobe Flash Player ใน Microsoft Edge
14. ป้ องกันการรันโปรแกรมในบาง path<br />
เราสามารถใช ้ Feature ของ Windows ที่ชื่อว่า AppLocker ในการป้องกันการรันโปรแกรมในบาง path ของ<br />
เครื่องได ้ โดยในที่นี้เราจะป้องกันที่ path %TEMP% เนื่องด ้วย <strong>Ransomware</strong> และ Malware ส่วนใหญ่มักจะท าการรัน<br />
ที่ path นี้ โดยท าดังนี้<br />
Start -> Run -> gpedit.msc<br />
ไปที่ Computer Configuration -> Windows Settings -> Security Settings -> Application Control<br />
Policies -> AppLocker -> Executable Rules<br />
Click ขวาเลือก “Create Default Rules”<br />
รูปภาพการใช ้งาน AppLocker<br />
โดย Rule ที่ถูกสร ้างขึ้นมานี้จะท าให ้มีการป้องกันไม่ให ้รันโปรแกรมนอก path %PROGRAMFILES%,<br />
%WINDIR%, และให ้เฉพาะ Administrator เท่านั้นที่จะสามารถรันโปรแกรมได ้<br />
หากเราต ้องการป้องกันไม่ให ้รัน Application ใดๆได ้ภายใต ้ %TEMP% ให ้ท าดังนี้<br />
<br />
<br />
<br />
คลิ ๊กขวาเลือก Create New Rule<br />
ก าหนด Action: Deny<br />
เลือก User เป็ น Everyone หรือจะเลือกเป็ นเฉพาะบุคลลก็ได ้เช่นกัน
ระบุ Path เป็ น C:\Users\\AppData\Local\Temp\ (มาจาก %TEMP% เราสามารถทราบได ้<br />
ว่า path %TEMP% คือ path ใด สามารถท าได ้โดยน าค่า %TEMP% ไปใส่ใน Address bar ไดเลยครับ)<br />
้<br />
จากนั้นกด Create<br />
รูปภาพการสร ้าง Rule ภายใต ้ AppLocker<br />
<br />
<br />
<br />
<br />
เนื่องด ้วย AppLocker จะท างานก็ต่อเมื่อ Application Identity ท างานเป็ นแบบ Automatic โดยไปที่<br />
Services<br />
คลิ ๊กขวาที่ Application Identity<br />
เลือก Properties<br />
ก าหนดให ้ Startup type: เป็ น Automatic<br />
หรือเข ้าไปที่<br />
HKLM\SYSTEM\CurrentControlSet\Services\AppIDSvc<br />
จากนั้นก าหนดค่า Start เป็ น 2<br />
15. ต ั้งค่า User Access Control<br />
<strong>Ransomware</strong> ปกติจะท างานโดยใช ้สิทธิ์ของ user ธรรมดาทั่วไป แต่ก็มี <strong>Ransomware</strong> บางประเภทเช่นกัน<br />
ที่จะมีการใช ้สิทธิ์ของ admin เพิ่มเติม รวมถึงบางครั้งจะมีจะท าการลบไฟล์ Shadow Copy ที่เป็ น Backup ของเครื่อง<br />
โดยการกระท าดังกล่าวก็ต ้องใช ้สิทธิ์ admin เช่นกัน เราสามารถตั้งค่าของ User Access Control (UAC) ให ้มีการถาม<br />
password ทุกครั้งที่มีการพยายามใช ้สิทธิ์มากกว่า User ธรรมดาโดยไปที่
Start -> Run -> gpedit.msc<br />
ไปที่ Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -><br />
Security Options -> User Access Control: Behavior of the elevation prompt for administrator in<br />
Admin Approval Mode<br />
เลือกเป็ น “Prompt for credentials on the secure desktop”<br />
รูปภาพการ set ค่าของ UAC<br />
โดยการกระท าดังกล่าวจะเป็ นการก าหนดว่าเมื่อมีการพยายามใช ้งานสิทธิ์ของ Administrator จะมีการถาม<br />
password ขึ้นมา
16. ควรมีการส ารองข้อมูลไว้ภายนอก<br />
รูปภาพการถาม password เมื่อมีการพยายามใช ้สิทธิ์ของ Administrator<br />
ในปัจจุบันมีบริการส าหรับการฝากข ้อมูลเป็ นแบบ Drive หลากหลายที่ เช่น OneDrive ของ Microsoft,<br />
Google Drive ของ Microsoft เป็ นต ้น ซึ่งแหล่งฝากข ้อมูลเหล่านั้นมีการท า versioning ไว ้ด ้วย กล่าวคือเราสามารถ<br />
ติดตามการเปลี่ยนแปลงข ้อมูลรวมถึงการกู ้ข ้อมูลจาก version เก่าๆในกรณีที่ไฟล์นั้นๆถูกเข ้ารหัสจาก <strong>Ransomware</strong><br />
ได ้อีกด ้วย<br />
หากเป็ น Developer แนะน าให ้ใช ้ SVN หรือ Github ส าหรับในการฝาก Source Code เพื่อใช ้ในการดึง<br />
version เก่าๆมาใช ้ได เช่นกัน ้<br />
หรือหากข ้อมูลมีขนาดใหญ่มาก แนะน าให ้ท าการ Backup ข ้อมูลเหล่านั้นไปใน External Harddisk อยู่เสมอ<br />
เพื่อที่หากเกิดโดน <strong>Ransomware</strong> เข ้ารหัสไฟล์และลบไฟล์ Shadow Copy ภายในเครื่องก็ยังสามารถที่จะกู ้ข ้อมูล<br />
กลับมาได ้จาก External Harddisk นั่นเอง<br />
17. ติดต ั้ง Antivirus<br />
แม ้ Antivirus จะช่วยไม่ได ้มากในการป้องกัน <strong>Ransomware</strong> ใหม่ที่มีมาตลอด แต่ Antivirus ก็ถือเป็ น<br />
เครื่องมือหนึ่งที่ใช ้รับมือภัยคุกคามได ้อย่างดี ดังนั้นยังไงก็ควรจะมีติดเครื่องไวเสมอเช่นกันครับ<br />
้<br />
18. ตรวจสอบว่า <strong>Ransomware</strong> ด ังกล่าวมีวิธีการแก้แล้วหรือไม่<br />
หากเครื่องติด <strong>Ransomware</strong> ไปแล ้ว เราสามารถตรวจสอบได ้ว่า <strong>Ransomware</strong> ที่เราติดมีชื่อว่าอะไรและมี<br />
วิธีการถอดรหัสไฟล์นั้นๆได ้อย่างไร (มีแค่เฉพาะบางตัวเท่านั้นที่สามารถถอดรหัสไฟล์ได ้) โดยให ้น าไฟล์ที่ถูกเข ้ารหัส<br />
upload ขึ้นเว็บไซด์ https://id-ransomware.malwarehunterteam.com เพื่อท าการตรวจสอบได ้ครับ
รูปภาพเว็บไซด์ ID <strong>Ransomware</strong> เว็บไซดส าหรับการตรวจสอบชื่อของ ransomware พร ้อมทั้งตรวจสอบวิธีแก ้ไข<br />
19. Update Program ให้ใหม่อยู่เสมอ<br />
แม ้การติด <strong>Ransomware</strong> จะไม่เกี่ยวกับเรื่อง Program ภายในเครื่อง แต่ก็ถือเป็ น Best Practice อย่างหนึ่งที่<br />
จะท าให ้เราปลอดภัยจาก Exploit Kit ต่างๆ โดยควรที่จะท าการ update ทั้ง Anti-Virus, Windows, Browser และ<br />
โปรแกรมต่างๆที่เราใช ้งานอยู่เสมอ<br />
สรุป<br />
เทคโนโลยีในปัจจุบันมีการเติบโตอย่างรวดเร็ว ยิ่งมีการใช ้งาน Internet มากเท่าไหร่ ก็มีอันตรายแฝงมามาก<br />
ขึ้นเท่านั้น ซึ่งตรงส่วนนี้ผมเคยย ้าหลายรอบในเรื่องการพยายามมีสติตลอดเวลาใช ้งาน Internet อย่าคลิ ๊ก link ที่ดูน่า<br />
สงสัย ไม่รู ้จักที่มา รวมถึงไม่ควรกด link ใดๆที่สื่อไปในเรื่องทางเพศหรือข่าวลือ เพราะเนื่องด ้วย link เหล่านั้นมักจะ<br />
เป็ น suspicious link หรือ link อันตรายเสมอๆครับ<br />
แม ้ <strong>Ransomware</strong> จะมีการระบาดในวงกว ้างอย่างมากในประเทศไทย แต่หากเราเตรียมพร ้อมรับมือไว ้อย่างดี<br />
เยี่ยมแล ้ว ก็ยากหรือเกิดผลกระทบค่อนข ้างน ้อยมาก ดังนั้นสิ่งที่เราควรท าคือมีสติและเตรียมรับมือกับอันตรายที่อาจ<br />
เกิดขึ้นได ้กับการใช ้งาน Internet อยู่เสมอครับ<br />
Reference::<br />
- 2600Thailand Group<br />
- http://pe3zx.blogspot.com/2016/04/ransomware.html<br />
- https://4sysops.com/archives/stopping-cryptolocker-and-other-ransomware/<br />
- http://www.thewindowsclub.com/windows-script-host-access-is-disabled-on-this-machine<br />
- https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-<br />
174f-47e2-9611-9efe4f860b12