ป้องกัน Ransomware เบื้องต้น

อ้างอิงจาก : เล่าสู่กันฟัง แนวโน้ม เครื่องที่มีโอกาสโดน Virus เรียกค่าไถ่ cryptowall – Pantip

มาแนะนำเพิ่มเติมอีกนิดๆหน่อยๆนะครับ หลังเคยลองเล่นๆกับเจ้าตัวนี้ใน lab vm อยู่แป๊บนึง

การป้องกันก็อย่าง จขกท. ว่าเลยครับ
หลักๆก็คือ

– AV ลงไว้เถอะครับ ยิ่งเป็น Internet Security หรือพวก Total Security ยิ่งดี
– ยิ่งถ้ามีโปรแกรมเฉพาะทางเช่น Malwarebytes ลงไว้บ้างก็ดี
(แต่ลงแค่ AV กับพวกโปรแกรม anti เฉพาะทาง แค่ 2 ตัวนี้ก็พอแล้ว เดี๋ยวเต่าจะเรียกพี่ ฮ่าาา)
– หมั่น Update AV บ่อยๆ
“อย่า” คลิกลิงค์ หรือเปิดอะไรมั่วซั่ว
ติดตั้งโปรแกรมอะไร อ่านดีๆ อ่านเงื่อนไขมันให้ดีๆ
– เปิดให้โชว์ file extension ไว้บ้างก็ดี กันโดนหลอกนามสกุลไฟล์

ถ้าใครที่กลัว ไม่ชัวร์ว่าจะกันได้หรือไม่    “แนะนำ” ให้เปิดใช้งาน “previous versions”

แต่ก็ไม่ได้กันได้ชัวร์ๆนะครับ เท่าที่เคยอ่านคนที่เคยโดน มันแพร่ทาง Network ได้
ถ้าใครรู้ตัวว่าโดน ถ้าพิมพ์งานหรือทำงานอยู่ รีบ save (ถ้าจำเป็นจริงๆ)
แล้วรีบถอด external storage ออกให้หมดครับ ตัดการเชื่อมต่อ Network ให้หมด (ถ้า lan ถึงสายไปเลย)
เพราะมันสามารถแพร่กระจายไปยังเครื่องอื่นๆ ใน Network ของเราได้
ลักษณะการทำงานของมันคือ มันจะค่อยๆทำการ Search ไฟล์ในเครื่องแล้วก็สอยไฟล์เราไปเรื่อยๆ
ถ้า Save งานหรือถอด external storage ต่างๆหมดแล้ว force shutdown ไปเลยครับ
ที่ให้ force คือ ถ้า normal shutdown ไม่น่าจะทัน หรือบางทีอาจโดนฝังคำสั่งอะไรไว้ตอนปิดเครื่องก็ได้
แล้วก็เข้า safe mode ไปจัดการมันให้สิ้นซากครับ วิธีก็หาได้ตาม gg
ส่วนมากมันก็ไปฝังอยู่ตาม startup หรือฝังเป็น service เครื่อง บลาๆ

ไม่ใช่แค่เพื่อป้องกัน cryptowall อย่างเดียวนะครับ แต่ทุกตัวเลย
หัดทำไว้ให้ชิน เพื่อความปลอดภัยต่อเครื่องคอมพิวเตอร์และข้อมูลของท่านเอง ^___^
AV = Anti Virus ครับ ไม่ใช่ Adult Video T_______T

=================================================================

อ้างอิงเพิ่มเติมจาก : SL7205(InvCrt)

ransomware สมัยนี้เยอะมากครับ แล้วก็บอกด้วยนะครับว่าตอนนี้ cryptolocker ตายไปแล้วนะครับ ทางการสั่งระงับ server ทั้งหมดไปแล้วดังนั้นใครเจอ ransomware บอกว่าเป็น cryptolocker มันคือของก็อปนะครับ
คนที่โดน Cryptolocker สามารถลองหา key ที่เว็บนี้ได้ (เป็นรายการคีย์ที่ได้จากการยึด server) https://www.decryptcryptolocker.com/  (decommissioned)

พวกที่มีสิทธิเจออีกก็เช่น (ที่บอกคือชื่อมัลแวร์กับ encryption method ที่ใช้นะครับ ถ้ากู้ได้จะบอกกู้ได้)

CTB-locker/critoni ใช้ ECDH encryption ไฟล์จะถูกเปลี่ยนนามสกุลเป็น .CTB .CTB2 หรือมั่วๆ 7 ตัว
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

CryptoDefense ใช้ RSA-2048 มีสิทธิกู้ได้ 50/50
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information

CoinLocker ใช้ Ceasar Cipher ไฟล์จะถูกเปลี่ยนนามสกุลเป็น .encrypted กู้ได้
http://www.bleepingcomputer.com/forums/t/565557/coin-locker-a-ransomware-that-tips-its-hat-to-julius-caesar/

Cryptowall ใช้ RSA-2048
http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information

TorrentLocker ใช้ AES ไฟล์จะถูกเพิ่มนามสกุล .encrypted
http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information

CoinVault ใช้ AES
http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information

BUYUNLOCKCODE (อันที่ติดผ่านเน็ต TOT ตอนนั้น) ใช้ RSA/AES ไฟล์จะถูกเพิ่มนามสกุล .encoded.รหัสประจำเครื่อง
http://www.bleepingcomputer.com/forums/t/561732/buyunlockcode-ransomware-detected-in-the-wild/

จริงๆมีอีกเยอะครับแต่ลองไปหาเอาเองนะครับ

 

========================================================================

Update 15 June 2017

ทางด้านคุณ Sophie Hunt ได้เมลมาแจ้งว่า โครงการบางตัวได้ล้มเลิกไปแล้ว

แต่ได้แนะนำช่องทางในการอัพเดทการแก้ปัญหาเมื่อโดน Ransomware มาให้

สามารถเข้าไปอ่านได้ที่นี่เลยครับ

       The Ransomware Removal Handbook: Dealing with common strains of ransomware
    https://www.comparitech.com/blog/information-security/ransomware-removal-handbook/

มี antivirus อย่าคิดว่าปลอดภัยจาก virus !!

เนื่องจากเพื่อนๆผม ชอบให้ผมแก้ไวรัสให้ เช่น โฟล์เดอร์หาย โดนซ่อน , MsgBox เด้งในหน้าจอ ฯลฯ บ่อยมากๆ ผมเลยเริ่มรำคาญ

ทั้งๆที่คอมฯ ก็ลง go back ไว้ แต่ที่โดนไวรัสก็เพราะ “การใช้งานไม่ถูกวิธี”

การใช้งาน Flash Drive อย่างถูกวิธี และปลอดภัยจาก virus !!

1.   กด Win + R พิมพ์ gpedit.msc

ไปที่ User Configuration > Administrative Templates > System >Turn off Autoplay ดับเบิ้ลคลิก Enabled เลือก All drives  เลือก   กด OK

ไปที่ Computer Configuration > Administrative Templates >System > Turn off Autoplay ดับเบิ้ลคลิก Enabled เลือก All drives  เลือก   กด OK

2.   เปิด Folder Options คลิกแถ็ป View เลือก Show hidden files and folders ติ๊กเครื่องหมายถูกออกที่ Hide extensions for known files types และ Hide protected operting system files (Recommended)

3.   เวลาเข้า Flash Drive ไม่ควร ดับเบิลคลิก ควรใช้การคลิกเข้าทาง เมนู Folders (มีรูป folder ด้านหน้า) หรือกด Win + E แล้วคลิกเข้า Flash Drive ทางด้านซ้ายมือ

 

ทิปเล็กๆน้อยๆ ที่ผมใช้ประจำ และได้ผล ถ้าใครทราบแล้ว ก็ขออภัยด้วยนะครับ ^________^

By : Sornram9254