จากเหตุการณ์ ransomeware โจมตี ระบบของ รพ ETDA ได้ทำข้อมูลเพิ่อให้ความรู้ในการป้องกัน ransomeware นี้!!!
11 ก.ย. 2563 / กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมข้อมูลพื้นฐานเกี่ยวกับ VoidCrypt
- VoidCrypt คืออะไร
VoidCrypt เป็น Ransomware หรือมัลแวร์เรียกค่าไถ่ ถูกออกแบบมาเพื่อให้เข้ารหัสข้อมูลในเครื่องเหยื่อ ทำให้ไม่สามารถเปิดไฟล์ข้อมูลใช้งานได้ และเรียกค่าไถ่เป็นบิตคอยน์มูลค่าประมาณ 500 ถึง 1,500 เหรียญสหรัฐโดยเริ่มระบาดตั้งแต่ปี 2563 VoidCrypt แพร่กระจายผ่าน Spam Emails หรือ Email Attachments มีพฤติกรรมเข้ารหัสไฟล์ทุกประเภท โดยการต่อท้ายนามสกุลไฟล์ด้วยที่อยู่อีเมล ข้อความสุ่ม 15 ตัวอักษร และ.spade (.[email][string{15}].Spade) ทำให้ไม่สามารถเข้าถึงได้ และทิ้งบันทึกเรียกค่าไถ่ (Read-For-Decrypt.HTA) ที่แนะนำให้ผู้ที่ตกเป็นเหยื่อสามารถกู้คืนข้อมูลได้หากมีการจ่ายค่าธรรมเนียมค่าไถ่ ทั้งนี้ปัจจุบันยังไม่มีเครื่องมือที่สามารถถอดรหัสได้
รูปตัวอย่างการแจ้งเรียกค่าไถ่โดยมัลแวร์เรียกค่าไถ่สายพันธุ์ VoidCrypt
- ผลกระทบจาก VoidCrypt
ผลกระทบของ VoidCrypt หากระบบคอมพิวเตอร์ในหน่วยงานติด VoidCrypt จะทำให้ข้อมูลในระบบคอมพิวเตอร์ถูกเข้ารหัสและไม่สามารถใช้งานได้หากไม่จ่ายเงินค่าไถ่ การเข้าใช้งานข้อมูลไม่ได้อาจทำให้หน่วยงานต้องระงับการให้บริการที่เกี่ยวข้องกับข้อมูลดังกล่าว ส่งผลต่อความต่อเนื่องของธุรกิจ ภาพลักษณ์ของหน่วยงาน ตลอดจนความสามารถในการดำเนินการตามสัญญากับผู้ใช้บริการ
- วิธีการป้องกัน (กรณียังไม่มีคอมพิวเตอร์ในหน่วยงานติด VoidCrypt)
- นำข้อมูล IOC ไปตั้งค่าเพื่อป้องกันการโจมตี
- ปรับปรุงระบบปฏิบัติการของเครื่องคอมพิวเตอร์ทั้งหมดในหน่วยงานให้เป็นเวอร์ชันล่าสุด
- สำรองข้อมูลเป็นเวอร์ชันในพื้นที่ออฟไลน์ หรือพื้นที่ในระบบ Cloud ซึ่ง Ransomware เข้าไม่ถึง
- แนะนำผู้ใช้งานไม่ให้คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือ และควรสอบถามเพิ่มเติมเกี่ยวกับอีเมลนี้จากผู้ส่งโดยตรง
- วิธีการแก้ไขเมื่อติด VoidCrypt
จัดเก็บข้อมูลที่ถูกเข้ารหัส เพื่อการกู้คืนข้อมูลในอนาคตเมื่อมีเครื่องมือ โดยปัจจุบันยังไม่มีเครื่องมือถอดรหัสข้อมูลที่เข้ารหัสโดย VoidCrypt ดังนั้นจึงมีเพียง 2 ทางเลือก คือ จ่ายค่าไถ่โดยคาดหวังว่าจะได้รับการถอดรหัสข้อมูล หรือเลิกใช้ข้อมูลที่ถูกเข้ารหัสไว้ ด้วยเหตุนี้ผู้ใช้จึงควรดูแลความมั่นคงปลอดภัยของคอมพิวเตอร์ ตรวจสอบและอัปเดตระบบปฏิบัติการ Windows และฐานข้อมูลของโปรแกรมแอนติไวรัส หมั่นสำรองข้อมูลสำคัญในสื่อบันทึกข้อมูลภายนอก (External Storage) อยู่เสมอ เพื่อลดความเสี่ยงจากการถูกโจมตีจาก Ransomware และในกรณีที่พบความผิดปกติของคอมพิวเตอร์ ให้รีบแจ้งหรือปรึกษาเจ้าหน้าที่ไอที หรือเจ้าหน้าที่ของ ThaiCERT/ETDA ที่ 02 123-1212 (24 ชั่วโมง)