ประกาศเตือนภัยบุคลากรให้ระวัง Ransomware จากการเปิดอีเมลที่ไม่ทราบชื่อผู้ส่งหรือการดาวน์โหลดไฟล์ที่ไม่ได้มาจากเว็บไซต์ผู้พัฒนาโดยตรง

ด้วยปัจจุบันพฤติกรรมของ Malware มีการเปลี่ยนแปลงไปจากเดิม ที่ก่อนหน้านี้อาจทำให้เครื่องช้าหรือไม่สามารถใช้งานได้ แต่ในปัจจุบันกลุ่มผู้พัฒนา Malware ได้เปลี่ยนแปลงพฤติกรรมไปเป็นการจับข้อมูลของผู้ใช้งานเป็นตัวประกันโดยหาก Malware ดังกล่าวถูกติดตั้งลงในเครื่องแล้วจะทำการเข้ารหัสทุกไฟล์ในเครื่องที่มีนามสกุลของไฟล์ตรงตามกลุ่มเป้าหมาย ส่งผลให้ไม่สามารถเปิดใช้งานได้ตามปกติ

ศูนย์คอมพิวเตอร์จึงขอประกาศเตือนภัยบุคลากรให้ระวังการเปิดอีเมลที่ไม่ทราบชื่อผู้ส่งหรือการดาวน์โหลดไฟล์ที่ไม่ได้มาจากเว็บไซต์ผู้พัฒนาโดยตรง ทั้งนี้อีเมลดังกล่าวอาจมีข้อความล่อลวงให้ท่านดาวน์โหลดเอกสารแนบ เช่น เรื่องการคืนภาษี, มีรายการสั่งของ เป็นต้น หากท่านดาวน์โหลดและเปิดไฟล์ดังกล่าว เครื่องคอมพิวเตอร์ของท่านจะติด Malware ทันที หลังจากนั้นทุกไฟล์ในเครื่องที่มีนามสกุลของไฟล์ตรงตามกลุ่มเป้าหมายจะถูกเข้ารหัสทำให้ไม่สามารถเปิดใช้งานได้ตามปกติ และยากต่อการกู้คืน

PhishMe-Figure-2-Fax-Email
ตัวอย่างอีเมลที่แนบไฟล์ ransomware

 

Ransomware คืออะไร?

Ransomware คือ Malware (Malicious Ware หรือโปรแกรมประสงค์ร้าย) โดยเมื่อถูกติดตั้งลงบนเครื่องแล้วจะทำการสร้าง Service และฝังตัวลงบน Registry ของเครื่องเพื่อให้เรียกใช้ตัว Ransomware ทุกครั้งที่เปิดเครือง โดยเมื่อเริ่มการทำงาน Ransomware จะติดต่อกลับไปยัง Server ของ Hacker เพื่อดาวน์โหลด Key มาใช้เข้ารหัสไฟล์และการตั้งค่าต่างๆ ภายในเครื่องคอมพิวเตอร์ส่งผลให้ไฟล์ในเครื่องไม่สามารถเปิดใช้งานได้ปกติและจะแสดงหน้าต่างข่มขู่ผู้ใช้งานพร้อมทั้งนับถอยหลังเวลาให้ทำการโอนเงินไปให้ Hacker เพื่อถอดรหัสไฟล์

Critroni-ransomware-2
หน้าต่างข่มขู่จาก Hacker

 

ทำอย่างไรจึงจะปลอดภัยจาก Ransomware?

  1. ระวังการเปิดอีเมลที่ไม่ทราบชื่อผู้ส่งหรือการดาวน์โหลดไฟล์ที่ไม่ได้มาจากเว็บไซต์ผู้พัฒนาโดยตรง
  2. ทำการสแกนไฟล์ต้องสงสัยด้วย Antivirus Software ทุกครั้งก่อนเปิดหรือหากไม่แน่ใจสามารถสอบถามบุคลากรศูนย์คอมพิวเตอร์ได้

เมื่อติด Ransomware แล้วต้องทำอย่างไร?

  1. หากมีการตั้งค่า System Restore เอาไว้ สามารถกู้คืนข้อมูลของระบบก่อนที่จะมีการติด Ransomware ได้
  2. หากไม่มีการตั้งค่า System Restore ให้ทำการสแกนเครื่องคอมพิวเตอร์ด้วย  Antivirus Software เช่น Malwarebytes, Kaspersky เป็นต้น ทั้งนี้การสแกนจะสามารถกำจัดได้แค่ตัว Ransomware แต่ไฟล์ที่ถูกเข้ารหัสแล้วจะไม่สามารถถอดรหัสได้ ซึ่งปัจจุบันได้มีการเขียนซอฟต์แวร์เพื่อถอดรหัสไฟล์แต่ยังสามารถใช้งานได้เพียง 70% ของไฟล์ที่ถูกเข้ารหัสซึ่งท่านสามารถดาวน์โหลดซอฟต์แวร์ดังกล่าวได้ที่ http://support.kaspersky.com/viruses/utility
  3. หากซอฟต์แวร์ในขั้นต้นไม่สามารถถอดรหัสได้ให้ลองใช้ซอฟต์แวร์กู้คืนข้อมูล เช่น ShadowCopy ในการกู้คืนหากไม่แน่ใจสามารถนำเครื่องคอมพิวเตอร์มารับบริการได้ที่ศูนย์คอมพิวเตอร์