รายงานข่าวจาก ThaiCERT (ไทยเซิร์ต) ภายใต้สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์(องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) ออกประกาศแจ้งเตือนให้ระวังภัย รวมถึงแนะนำวิธีการป้องกันความเสียหายจากมัลแวร์หรือโปรแกรมประสงค์ร้ายที่เรียกว่า แรนซัมแวร์ (Ransomware) หรือการเรียกค่าไถ่ข้อมูลด้วยมัลแวร์และแนวทางแก้ไขหากตกเป็นเหยื่อมัลแวร์ตัวนี้ สืบเนื่องจากกรณีล่าสุดที่ สำนักเทคโนโลยีและศูนย์ข้อมูลการตรวจสอบกรมสอบสวนคดีพิเศษ (ดีเอสไอ) มีหนังสือแจ้งเตือนแก่เจ้าหน้าที่ภายในดีเอสไอ เรื่อง"แจ้งเตือนการเปิดอ่านจดหมายอิเล็กทรอนิกส์”ซึ่งมีมัลแวร์/ไวรัสส่งผ่านจดหมายอิเล็กทรอนิกส์การเปิดไฟล์แนบจะทำให้ติดมัลแวร์ประเภทแรนซัมแวร์นี้ทันที
เมื่อเปิดไฟล์แนบ แรนซัมแวร์จะโจมตีด้วยวิธีการเข้ารหัสลับ (Encryption) ไฟล์เอกสารต่าง ๆบนเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ รวมถึงเอกสารที่แชร์ผ่านเครือข่ายและจากอุปกรณ์ ExternalDrive ที่เสียบอยู่กับเครื่องคอมพิวเตอร์ซึ่งไฟล์ของเครื่องเหยื่อจะยังอยู่ แต่ไม่สามารถเปิดอ่านข้อมูลได้ จนกว่าจะจ่ายเงินเป็นสกุลเงินบิทคอยน์(Bitcoin) เพื่อเป็นค่าใช้จ่ายในการส่งรหัสสำหรับถอดรหัสลับข้อมูล (Decryption) กลับมา หากแต่ในความเป็นจริงมีหลายกรณีที่พบว่าการจ่ายเงินค่าไถ่ไปแล้ว เหยื่อกลับไม่ได้ข้อมูลคืนมาอย่างที่อ้างไว้ซึ่งส่งผลเสียหายทั้งในระดับบุคคล บริษัท หรือองค์กรโดยเฉพาะการสูญเสียข้อมูลสำคัญของบริษัทหรือองค์กร การตระหนักถึงอันตรายและการป้องกันแรมซัมแวร์จึงเป็นมาตรการที่มีประสิทธิภาพในการลดผลกระทบมากกว่าการแก้ไข
ไทยเซิร์ตขอแนะนำวิธีการป้องกันด้วยตัวเอง เพื่อไม่ให้ตกเป็นเหยื่อภัยคุกคามดังกล่าวคือ
1. สำรองข้อมูลสำคัญที่ใช้งานอย่างสม่ำเสมอและหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
2. อัปเดตโปรแกรมป้องกันไวรัส (Antivirus) รวมถึงโปรแกรมอื่น ๆโดยเฉพาะโปรแกรมที่มักมีปัญหาเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ PDF Reader
3. ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัยหากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือ หรือไม่เคยรู้จักมาก่อน
4. ดาวน์โหลดซอฟต์แวร์ที่น่าเชื่อถือเท่านั้น เพราะผู้ร้ายอาจฝังมัลแวร์ในซอฟต์แวร์ที่เปิดดาวน์โหลดได้ฟรี
สำหรับกรณีที่ผู้ใช้งานอีเมลตกเป็นเหยื่อแรนซัมแวร์ ไทยเซิร์ตแนะนำให้
ตัดการเชื่อมต่อระหว่างเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ กับระบบเครือข่ายคอมพิวเตอร์ขององค์กรและเครือข่ายอินเทอร์เน็ตในทันที
ตัดการเชื่อมต่อระหว่างเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อกับอุปกรณ์เก็บข้อมูลเคลื่อนที่ (Portable Storage) หรือระบบเก็บข้อมูลบนเครือข่าย (Network Storage) ทุกประเภท หลังการตัดการเชื่อมต่อข้างต้น ให้ติดต่อกับเจ้าหน้าที่ IT ของหน่วยงานในทันที
ไทยเซิร์ตขอแนะนำให้ทุกคนระมัดระวังและไม่ควรเปิดอีเมลที่มีการส่งมาจากบุคคลที่ไม่รู้จักพร้อมกับให้ลบอีเมลนั้นทิ้งไป เพราะอาจทำให้ติดแรนซัมแวร์ชนิดนี้ได้ สำหรับผู้ใช้งานที่ตกเป็นเหยื่อแรนซัมแวร์หรือได้รับผลกระทบจากภัยคุกคามในลักษณะดังกล่าวและต้องการคำแนะนำหรือความช่วยเหลือสามารถแจ้งปัญหาเพื่อขอคำปรึกษาได้ที่ไทยเซิร์ต ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212
เมื่อเปิดไฟล์แนบ แรนซัมแวร์จะโจมตีด้วยวิธีการเข้ารหัสลับ (Encryption) ไฟล์เอกสารต่าง ๆบนเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ รวมถึงเอกสารที่แชร์ผ่านเครือข่ายและจากอุปกรณ์ ExternalDrive ที่เสียบอยู่กับเครื่องคอมพิวเตอร์ซึ่งไฟล์ของเครื่องเหยื่อจะยังอยู่ แต่ไม่สามารถเปิดอ่านข้อมูลได้ จนกว่าจะจ่ายเงินเป็นสกุลเงินบิทคอยน์(Bitcoin) เพื่อเป็นค่าใช้จ่ายในการส่งรหัสสำหรับถอดรหัสลับข้อมูล (Decryption) กลับมา หากแต่ในความเป็นจริงมีหลายกรณีที่พบว่าการจ่ายเงินค่าไถ่ไปแล้ว เหยื่อกลับไม่ได้ข้อมูลคืนมาอย่างที่อ้างไว้ซึ่งส่งผลเสียหายทั้งในระดับบุคคล บริษัท หรือองค์กรโดยเฉพาะการสูญเสียข้อมูลสำคัญของบริษัทหรือองค์กร การตระหนักถึงอันตรายและการป้องกันแรมซัมแวร์จึงเป็นมาตรการที่มีประสิทธิภาพในการลดผลกระทบมากกว่าการแก้ไข
ไทยเซิร์ตขอแนะนำวิธีการป้องกันด้วยตัวเอง เพื่อไม่ให้ตกเป็นเหยื่อภัยคุกคามดังกล่าวคือ
1. สำรองข้อมูลสำคัญที่ใช้งานอย่างสม่ำเสมอและหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
2. อัปเดตโปรแกรมป้องกันไวรัส (Antivirus) รวมถึงโปรแกรมอื่น ๆโดยเฉพาะโปรแกรมที่มักมีปัญหาเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ PDF Reader
3. ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัยหากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือ หรือไม่เคยรู้จักมาก่อน
4. ดาวน์โหลดซอฟต์แวร์ที่น่าเชื่อถือเท่านั้น เพราะผู้ร้ายอาจฝังมัลแวร์ในซอฟต์แวร์ที่เปิดดาวน์โหลดได้ฟรี
สำหรับกรณีที่ผู้ใช้งานอีเมลตกเป็นเหยื่อแรนซัมแวร์ ไทยเซิร์ตแนะนำให้
ตัดการเชื่อมต่อระหว่างเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ กับระบบเครือข่ายคอมพิวเตอร์ขององค์กรและเครือข่ายอินเทอร์เน็ตในทันที
ตัดการเชื่อมต่อระหว่างเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อกับอุปกรณ์เก็บข้อมูลเคลื่อนที่ (Portable Storage) หรือระบบเก็บข้อมูลบนเครือข่าย (Network Storage) ทุกประเภท หลังการตัดการเชื่อมต่อข้างต้น ให้ติดต่อกับเจ้าหน้าที่ IT ของหน่วยงานในทันที
ไทยเซิร์ตขอแนะนำให้ทุกคนระมัดระวังและไม่ควรเปิดอีเมลที่มีการส่งมาจากบุคคลที่ไม่รู้จักพร้อมกับให้ลบอีเมลนั้นทิ้งไป เพราะอาจทำให้ติดแรนซัมแวร์ชนิดนี้ได้ สำหรับผู้ใช้งานที่ตกเป็นเหยื่อแรนซัมแวร์หรือได้รับผลกระทบจากภัยคุกคามในลักษณะดังกล่าวและต้องการคำแนะนำหรือความช่วยเหลือสามารถแจ้งปัญหาเพื่อขอคำปรึกษาได้ที่ไทยเซิร์ต ทางอีเมล report@thaicert.or.th หรือโทรศัพท์ 0-2123-1212
