ป้องกัน Ransomware เบื้องต้น
อ้างอิงจาก : เล่าสู่กันฟัง แนวโน้ม เครื่องที่มีโอกาสโดน Virus เรียกค่าไถ่ cryptowall – Pantip
มาแนะนำเพิ่มเติมอีกนิดๆหน่อยๆนะครับ หลังเคยลองเล่นๆกับเจ้าตัวนี้ใน lab vm อยู่แป๊บนึง
การป้องกันก็อย่าง จขกท. ว่าเลยครับ
หลักๆก็คือ
– AV ลงไว้เถอะครับ ยิ่งเป็น Internet Security หรือพวก Total Security ยิ่งดี
– ยิ่งถ้ามีโปรแกรมเฉพาะทางเช่น Malwarebytes ลงไว้บ้างก็ดี
(แต่ลงแค่ AV กับพวกโปรแกรม anti เฉพาะทาง แค่ 2 ตัวนี้ก็พอแล้ว เดี๋ยวเต่าจะเรียกพี่ ฮ่าาา)
– หมั่น Update AV บ่อยๆ
– “อย่า” คลิกลิงค์ หรือเปิดอะไรมั่วซั่ว
– ติดตั้งโปรแกรมอะไร อ่านดีๆ อ่านเงื่อนไขมันให้ดีๆ
– เปิดให้โชว์ file extension ไว้บ้างก็ดี กันโดนหลอกนามสกุลไฟล์
ถ้าใครที่กลัว ไม่ชัวร์ว่าจะกันได้หรือไม่ “แนะนำ” ให้เปิดใช้งาน “previous versions”
แต่ก็ไม่ได้กันได้ชัวร์ๆนะครับ เท่าที่เคยอ่านคนที่เคยโดน มันแพร่ทาง Network ได้
ถ้าใครรู้ตัวว่าโดน ถ้าพิมพ์งานหรือทำงานอยู่ รีบ save (ถ้าจำเป็นจริงๆ)
แล้วรีบถอด external storage ออกให้หมดครับ ตัดการเชื่อมต่อ Network ให้หมด (ถ้า lan ถึงสายไปเลย)
เพราะมันสามารถแพร่กระจายไปยังเครื่องอื่นๆ ใน Network ของเราได้
ลักษณะการทำงานของมันคือ มันจะค่อยๆทำการ Search ไฟล์ในเครื่องแล้วก็สอยไฟล์เราไปเรื่อยๆ
ถ้า Save งานหรือถอด external storage ต่างๆหมดแล้ว force shutdown ไปเลยครับ
ที่ให้ force คือ ถ้า normal shutdown ไม่น่าจะทัน หรือบางทีอาจโดนฝังคำสั่งอะไรไว้ตอนปิดเครื่องก็ได้
แล้วก็เข้า safe mode ไปจัดการมันให้สิ้นซากครับ วิธีก็หาได้ตาม gg
ส่วนมากมันก็ไปฝังอยู่ตาม startup หรือฝังเป็น service เครื่อง บลาๆ
ไม่ใช่แค่เพื่อป้องกัน cryptowall อย่างเดียวนะครับ แต่ทุกตัวเลย
หัดทำไว้ให้ชิน เพื่อความปลอดภัยต่อเครื่องคอมพิวเตอร์และข้อมูลของท่านเอง ^___^
AV = Anti Virus ครับ ไม่ใช่ Adult Video T_______T
=================================================================
อ้างอิงเพิ่มเติมจาก : SL7205(InvCrt)
ransomware สมัยนี้เยอะมากครับ แล้วก็บอกด้วยนะครับว่าตอนนี้ cryptolocker ตายไปแล้วนะครับ ทางการสั่งระงับ server ทั้งหมดไปแล้วดังนั้นใครเจอ ransomware บอกว่าเป็น cryptolocker มันคือของก็อปนะครับ
คนที่โดน Cryptolocker สามารถลองหา key ที่เว็บนี้ได้ (เป็นรายการคีย์ที่ได้จากการยึด server) https://www.decryptcryptolocker.com/ (decommissioned)
พวกที่มีสิทธิเจออีกก็เช่น (ที่บอกคือชื่อมัลแวร์กับ encryption method ที่ใช้นะครับ ถ้ากู้ได้จะบอกกู้ได้)
CTB-locker/critoni ใช้ ECDH encryption ไฟล์จะถูกเปลี่ยนนามสกุลเป็น .CTB .CTB2 หรือมั่วๆ 7 ตัว
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
CryptoDefense ใช้ RSA-2048 มีสิทธิกู้ได้ 50/50
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information
CoinLocker ใช้ Ceasar Cipher ไฟล์จะถูกเปลี่ยนนามสกุลเป็น .encrypted กู้ได้
http://www.bleepingcomputer.com/forums/t/565557/coin-locker-a-ransomware-that-tips-its-hat-to-julius-caesar/
Cryptowall ใช้ RSA-2048
http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
TorrentLocker ใช้ AES ไฟล์จะถูกเพิ่มนามสกุล .encrypted
http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information
CoinVault ใช้ AES
http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information
BUYUNLOCKCODE (อันที่ติดผ่านเน็ต TOT ตอนนั้น) ใช้ RSA/AES ไฟล์จะถูกเพิ่มนามสกุล .encoded.รหัสประจำเครื่อง
http://www.bleepingcomputer.com/forums/t/561732/buyunlockcode-ransomware-detected-in-the-wild/
จริงๆมีอีกเยอะครับแต่ลองไปหาเอาเองนะครับ
========================================================================
Update 15 June 2017
ทางด้านคุณ Sophie Hunt ได้เมลมาแจ้งว่า โครงการบางตัวได้ล้มเลิกไปแล้ว
แต่ได้แนะนำช่องทางในการอัพเดทการแก้ปัญหาเมื่อโดน Ransomware มาให้
สามารถเข้าไปอ่านได้ที่นี่เลยครับ
https://www.comparitech.com/blog/information-security/ransomware-removal-handbook/