ก่อนอื่นต้องขอออกตัวก่อนนะครับว่าผมเองไม่เคยมีประสบการณ์ตรงกับเจ้า Ransomware นี้ (และไม่อยากมีด้วย) ก่อนหน้านี้ผมทำงานในสาย Cyber Security (ที่ทำงานเก่าผมเรียกยังงี้ครับ ไม่ได้ตั้งใจจะใช้ศัพท์หรูหราแต่อย่างใด) แต่ตอนนี้ผมเลิกแล้ว ถ้าใครถามว่าทำไมเลิกบางทีผมจะบอกทีเล่นทีจริงว่า หมดหวังกับอนาคต เพราะป้องกันยังไงมันก็ยังมาเรื่อย แต่เรื่องนี้ช่างมันเถอะ....
เจ้า Ransomware นี้ ผมติดตามและให้ความสนใจ (ตลอดจนไปหามาลองเอง ในเครื่องทดสอบนะครับ) มาพักนึงแล้ว ตั้งแต่ช่วงกลางๆ ปีที่แล้วนู่นแน่ะครับ ถ้าจำไม่ผิดดูเหมือนจะเป็น Cryptowall ซึ่งสมัยนั้น ช่องทางที่สามารถทำให้เจ้าพวกนี้มาอาละวาดในเครื่องของเราได้ มีแค่ Spam mail ซึ่งเท่าที่เคยได้ยินมา เนื้อหาของมันก็จะชวนให้เปิด Attachment file เหลือเกิน เช่นบอกว่าเป็น Order status มั่งล่ะ เป็น Shipment ที่ติดอยู่ที่บริษัทขนส่งมั่งล่ะ อะไรทำนองนี้ โดยมากคนที่ค้าขาย Online หรือสั่งซื้อสินค้าก็มักจะเปิดดู เพราะกลัวว่าจะพลาดอะไรๆ ไป หากคิดว่าเป็น Spam ไปเสีย ใน Mail พวกนี้ก็จะมี Attachment ตามระเบียบ ซึ่งมักจะเป็น zip file และใน zip นี้พอเปิดดู ก็จะเห็นไฟล์ที่หน้าตาไอคอนเหมือนจะเป็น pdf หรือ word แต่อันนี้เป็นกับดักของมัน เพราะแท้จริงแล้ว มันคือ exe file ดุ้นๆ เลยครับ แต่ทำไอคอนให้เหมือน pdf หรือ word ซึ่งสามารถทำได้ง่ายมาก (คนเขียนโปรแกรมจะทราบดี) หลายคนที่เห็นไฟล์มีหน้าตาแบบนี้ก็กดเปิดทันทีสิครับ จะรออะไรอยู่.... บางคนอาจจะคิดนิดนึงว่า เอ๊ะ นี่เครื่องอาตมาไม่มี word อยู่นี้หว่า ไหงมีไอคอนยังงี้ได้ฟะ แต่ก็ยังเปิดอยู่ดีครับ
จากนั้นจะเกิดอะไรขึ้นก็คงไม่ต้องเดานะครับ....
บางคนบอกว่า อ้าว ผมไม่ได้เป็น Admin มันคงทำอะไรไม่ได้มากมั๊ง? เจ้า Ransomware นี้มันจ้องเล่นงานไฟล์ของท่านครับ อะไรที่ท่านเห็นได้ เปิดได้ ลบได้ มันเอาหมดครับ สภาพตัวมันก็เป็นเหมือนโปรแกรมตัวหนึ่งที่ Run โดยท่านเอง เช่นถ้าท่านนึกสนุกจะ Zip พร้อมใส่ password ไฟล์ของท่านเองทั้งเครื่องก็ทำได้ใช่มั๊ยครับ แต่นี่บังเอิญโจรมันยืมมือท่านทำครับ....
ก่อนที่จะพูดถึงสถานการณ์ที่ผมเห็นในปัจจุบัน ที่ท่านศุภชัย และผู้รู้หลายๆ ท่านมาตั้งข้อสังเกตุ และให้คำแนะนำที่น่าสนใจ และเป็นประโยชน์อย่างยิ่งเอาไว้ในที่นี้หลายต่อหลายครั้ง ผมขอเล่าการทำงานของ Ransomware เมื่อมันเข้ามาในเครื่องของเราได้ก่อน อันนี้อ้างอิงจาก Cryptowall ที่ผมเคยทดลองนะครับ ตัวอื่นๆ ก็คงไม่ต่างกันมากเท่าใหร่
เมื่อ Ransomware เข้ามาในเครื่องเราได้สำเร็จนั้น มันจะทำ 2 อย่างก่อน คือ
1. สร้าง Key สำหรับเข้ารหัสลับ (Encrypt) โดยใช้ความสามารถของ Crypto API ของ Windows ของเรานั่นเอง สำหรับ Cryptowall นี้ มันจะใช้ Encryption Algorithm แบบ RSA ความยาว Key ขนาด 2048 bits ครับ ซึงอธิบายง่ายๆ คือ "โคตร Key" (จริงๆมีที่ดีกว่านี้ แต่นี่ก็แย่แล้ว) เรียกว่าถ้าท่านแกะ RSA-2048 ได้โดยไม่ต้องใช้ Key นี่ บริษัท Security ระดับโลกตลอดจน FBI, CIA, NSA, FSB, GCHQ รุมกันแย่งซื้อตัวท่านแน่นอน หรืออาจส่งคนมายิงท่านแทนก็ได้...
Key ชนิดนี้ หรือระดับเทียบเคียงกันนี้ ถูกใช้ในการรักษาความมั่นคงปลอดภัยข้อมูลของธนาคารและหน่วยงานความมั่นคงหลายแห่งครับ
2. มันจะส่ง Key ที่สร้างขึ้นใหม่นี้ พร้อมหมายเลขประจำเครื่องของเรา (คิดว่าเกิดจากการ Random ขึ้นครับ ใช้เป็น Unique ID ของ "เหยื่อ") ไปยัง Server ของโจร เพื่อเอาไปเก็บเอาไว้เรียก "ค่าไถ่" เพราะถ้าไม่มีไอ้ Key นี้ ก็จะถอดรหัสลับข้อมูลไม่ได้ครับ
เท่าที่ผมเคยเจอ ไอ้ Server ของโจรที่ว่านี้ ซ่อนอยู่หลัง CloXXFlare (ขอ censor นะครับ แต่คงจะเดากันได้) เสียด้วย เมพใหมล่ะ....
หลังจากขั้นตอนนี้ Ransomware จะเริ่มปฏิบัติการสำคัญ นั่นคือไล่ Encrypt file ในเครื่องเรา โดยจะมุ่งไปที่ไฟล์เอกสารและรูปภาพทั้งหลาย เมื่อเสร็จกิจแล้ว มันก็จะจัดการทิ้งจดหมายเรียกค่าไถ่ (สำหรับ Cryptowall เป็นไฟล์ชื่อ DECRYPT_INSTRUCTION.HTML) เอาไว้ให้เหยื่อ (คือเรานั่นเอง) ได้อ่านให้เจ็บใจเล่นๆ พร้อมทั้งกำชับว่าให้เอาเงินจ่ายมันทาง Bitcoin ก่อนวันที่เท่านั้นเท่านี้ ไม่งั้นมันจะขึ้นราคาเป็นเท่าตัว และถ้านิ่งเฉยนานไป มันจะลบทะเบียนเหยื่อพร้อมทั้ง Key ของเราที่มันเก็บไว้ทิ้งเสีย เป็นอันว่าเราก็จะไม่มี Key สำหรับถอดรหัสอีกแล้ว....
ส่วนตัว Ransomware นั้นหรือครับ... ไม่ต้องไปหาครับ ถึงขั้นเสร็จสมอารมณ์หมายแล้ว มันไม่รออยู่ในเครื่องเราหรอกครับ มันจะลบตัวเองพร้อมทั้ง Key ที่มันใช้ทิ้งไปด้วย ก็หมดประโยชน์แล้วนี่...
การที่มันยังอยู่ในเครื่อง อาจทำให้ Key ที่มันใช้ในการเข้ารหัส สามารถถูกขุดออกมาจาก Memory ได้ด้วยวิธี Memory Forensics ภายใต้เงี่อนไขจำกัด ดังนั้นการที่มันลบตัวเองออกไปก็เป็นวิธีที่โจรมันคิดมาดีแล้วครับ
โจรพวกนี้มันทำงานกันเป็นระบบดีครับ ถึงขั้นนี้ มันกลัวว่าเหยื่อจะไม่เชื่อว่ามันมี Key จริง แบบว่าจ่ายเงินไปแล้วยังโดนเชิด มันจึงเปิดเว็บไซต์เอาไว้ให้เหยื่อลองส่ง File เล็กๆ พร้อมระบุ Unique ID ของตัวเหยื่อเองไป "ลองถอดรหัสลับ" ดู เพื่อให้เชื่อว่าบริการของมันเป็นของจริง จ่ายๆ กรูมาเถอะได้ Key แน่ ประมาณนั้น ไอ้เว็บไซต์นี้ซ่อนอยู่ใน TOR Hidden Service ครับ วิธีเดียวกับที่เว็บค้ายาเสพติดและ Child Porn หลายแห่งใช้มาแล้ว
เทคนิคที่ผมบรรยายมานี้ ใช้ร่วมกันใน Ransomware หลายตัวครับ ซึ่งในบางครั้ง โจรมันก็เผลอเหมือนกัน ทำให้เหยื่อสามารถแก้ลำได้ เช่นตอนสร้าง Key ดันลืมลบ Key ที่สร้างนี้ออกจาก Key storage ของ Windows (จริงๆ สั่งให้ไม่เก็บก็ได้) ทำให้มีคนสร้างโปรแกรมกู้ Key นี้ขึ้นมาแล้วถอดรหัสลับ (Decrypt) ไฟล์ได้เลย หรืออีกอย่างนึงคือ ลืมลบ Volume Shadow copy Service (VSS) ทำให้เหยื่อกู้ไฟล์ขึ้นมาได้ตรงๆ เลย
แต่เสียใจด้วย รุ่นหลังๆ โจรมันแก้บักหมดแล้วครับ โดยเฉพาะ Bug เรื่องลืม Key ไว้ในเครื่องเหยื่อ ที่เกิด Drama ขึ้นเล็กๆ เพราะบริษัท SXmanXXX เปิดเผย Bug นี้ใน Analysis report ทำให้โจรรู้ตัวว่าพลาดไปแล้ว และออก version ใหม่มาแก้พร้อมเขียนขอบคุณ SXmanXXX เอาไว้ด้วย แหมมันหยามจริง เล่นเอาคนด่ากันขุดรากเลยทีเดียวเข้าทำนอง "มะอึงไปบอกมันทำไม"
บางคนอาจจะสงสัยว่า เอ๊ะ VSS นี้ มันไม่ใช่อยู่ดีๆ ลบได้ไม่ใช่รึ มันต้องให้ User กดยืนยันก่อน ถูกแล้วครับ แต่อะไรขึ้นมาเราก็กดทุกทีนี่ครับ....
ทางแก้ที่พอจะเห็นได้นอกจากนี้ คือ Backup ขึ้นไปที่ External media เช่น External HDD เป็นประจำ แต่
ห้ามเสียบคาเครื่องไว้นะครับ เคยมีตัวอย่างมาแล้วว่า อุตส่าห์ Backup อย่างดีอย่างบ่อย แต่ดันเสียบ External HDD คาเครื่องไว้ตอน Ransomware ทำงาน ปรากฏว่าไปหมดครับทั้งตัวจริงทั้ง Backup....
ผมขอพักไว้ตรงนี้ก่อน เพราะต้องออกไปธุระครับ แต่จะสรุปประเด็นในช่วงแรกนี้ไว้ดังนี้
1. Ransomware ใช้ Encryption Algorithm ที่มีความแข็งแกร่งมาก โดยตัวมันเองยังไม่มี Technology ใดๆ มาแกะได้โดยไม่มี Key ครับ
2. Ransomware ไม่ต้องการสิทธิ Administrator ในการทำงาน มันมีวิธีการตั้ง Policy เพื่อป้องกัน Ransomware ได้ระดับนึง แต่อาจมีผลกับ App อื่นๆ ได้ครับ ส่งผลให้ IT Support เป็นโรคประสาทได้เป็นลำดับถัดไป....
3. VSS ช่วยท่านได้ อะไรแว๊บๆ บอกให้ Confirm จะลบ Shadowๆ อะไรนี่ อย่าไปเชื่อมันครับ (แต่ต้องอย่าไปปิด System restore ตั้งแต่แรกนะ ไม่งั้นก็ไม่มี VSS เหมือนกัน)
4. Antivirus ลงเอาไว้นั้นดี แต่อย่าไปเชื่อมันมากว่าจะจับไอ้พวกนี้ได้ มันมาใหม่เรื่อยๆ ครับ เหมือนใส่เสื้อเกราะ ถ้าโดนยิงหัวก็ม่อง หรือโดน .50BMG ก็ทัวร์นรกล่ะครับ แต่ยังไงก็ต้องใช้นะ....
5. Backup ให้ถูกวิธีครับ Back เสร็จปั๊บ ถอดออกปุ๊บ และควรมีมากกว่า 1 External HDD ใช้สลับกัน เผื่อพลาดไปอันนึงยังมีอีกชุดที่ Backup ไว้วันก่อน ก็บรรเทาได้ เดี๋ยวนี้มันไม่แพงแล้วครับ หรือใครไฟล์ไม่เยอะใช้ Flash Drive ก็ยังใหว
6. ในหน่วยงานที่มี NAS หรือ File sharing กลาง พยายามแยก User เอาไว้ครับ ไม่ให้คนนึงมายุ่งกับไฟล์ของคนอื่นๆ ได้ เวลา Ransomware เข้าหน่วยงานแบบนี้นี่ ไปหมดทั้ง Share เลยครับ ถึงเวลานั้นจะมาตบหน้า ตัดเงินเดือน ไล่ออก มันก็ไม่คุ้มแล้วครับ
เล่าเรื่อง Ransomware เท่าที่ผมเคยพบ
เจ้า Ransomware นี้ ผมติดตามและให้ความสนใจ (ตลอดจนไปหามาลองเอง ในเครื่องทดสอบนะครับ) มาพักนึงแล้ว ตั้งแต่ช่วงกลางๆ ปีที่แล้วนู่นแน่ะครับ ถ้าจำไม่ผิดดูเหมือนจะเป็น Cryptowall ซึ่งสมัยนั้น ช่องทางที่สามารถทำให้เจ้าพวกนี้มาอาละวาดในเครื่องของเราได้ มีแค่ Spam mail ซึ่งเท่าที่เคยได้ยินมา เนื้อหาของมันก็จะชวนให้เปิด Attachment file เหลือเกิน เช่นบอกว่าเป็น Order status มั่งล่ะ เป็น Shipment ที่ติดอยู่ที่บริษัทขนส่งมั่งล่ะ อะไรทำนองนี้ โดยมากคนที่ค้าขาย Online หรือสั่งซื้อสินค้าก็มักจะเปิดดู เพราะกลัวว่าจะพลาดอะไรๆ ไป หากคิดว่าเป็น Spam ไปเสีย ใน Mail พวกนี้ก็จะมี Attachment ตามระเบียบ ซึ่งมักจะเป็น zip file และใน zip นี้พอเปิดดู ก็จะเห็นไฟล์ที่หน้าตาไอคอนเหมือนจะเป็น pdf หรือ word แต่อันนี้เป็นกับดักของมัน เพราะแท้จริงแล้ว มันคือ exe file ดุ้นๆ เลยครับ แต่ทำไอคอนให้เหมือน pdf หรือ word ซึ่งสามารถทำได้ง่ายมาก (คนเขียนโปรแกรมจะทราบดี) หลายคนที่เห็นไฟล์มีหน้าตาแบบนี้ก็กดเปิดทันทีสิครับ จะรออะไรอยู่.... บางคนอาจจะคิดนิดนึงว่า เอ๊ะ นี่เครื่องอาตมาไม่มี word อยู่นี้หว่า ไหงมีไอคอนยังงี้ได้ฟะ แต่ก็ยังเปิดอยู่ดีครับ
จากนั้นจะเกิดอะไรขึ้นก็คงไม่ต้องเดานะครับ....
บางคนบอกว่า อ้าว ผมไม่ได้เป็น Admin มันคงทำอะไรไม่ได้มากมั๊ง? เจ้า Ransomware นี้มันจ้องเล่นงานไฟล์ของท่านครับ อะไรที่ท่านเห็นได้ เปิดได้ ลบได้ มันเอาหมดครับ สภาพตัวมันก็เป็นเหมือนโปรแกรมตัวหนึ่งที่ Run โดยท่านเอง เช่นถ้าท่านนึกสนุกจะ Zip พร้อมใส่ password ไฟล์ของท่านเองทั้งเครื่องก็ทำได้ใช่มั๊ยครับ แต่นี่บังเอิญโจรมันยืมมือท่านทำครับ....
ก่อนที่จะพูดถึงสถานการณ์ที่ผมเห็นในปัจจุบัน ที่ท่านศุภชัย และผู้รู้หลายๆ ท่านมาตั้งข้อสังเกตุ และให้คำแนะนำที่น่าสนใจ และเป็นประโยชน์อย่างยิ่งเอาไว้ในที่นี้หลายต่อหลายครั้ง ผมขอเล่าการทำงานของ Ransomware เมื่อมันเข้ามาในเครื่องของเราได้ก่อน อันนี้อ้างอิงจาก Cryptowall ที่ผมเคยทดลองนะครับ ตัวอื่นๆ ก็คงไม่ต่างกันมากเท่าใหร่
เมื่อ Ransomware เข้ามาในเครื่องเราได้สำเร็จนั้น มันจะทำ 2 อย่างก่อน คือ
1. สร้าง Key สำหรับเข้ารหัสลับ (Encrypt) โดยใช้ความสามารถของ Crypto API ของ Windows ของเรานั่นเอง สำหรับ Cryptowall นี้ มันจะใช้ Encryption Algorithm แบบ RSA ความยาว Key ขนาด 2048 bits ครับ ซึงอธิบายง่ายๆ คือ "โคตร Key" (จริงๆมีที่ดีกว่านี้ แต่นี่ก็แย่แล้ว) เรียกว่าถ้าท่านแกะ RSA-2048 ได้โดยไม่ต้องใช้ Key นี่ บริษัท Security ระดับโลกตลอดจน FBI, CIA, NSA, FSB, GCHQ รุมกันแย่งซื้อตัวท่านแน่นอน หรืออาจส่งคนมายิงท่านแทนก็ได้...
Key ชนิดนี้ หรือระดับเทียบเคียงกันนี้ ถูกใช้ในการรักษาความมั่นคงปลอดภัยข้อมูลของธนาคารและหน่วยงานความมั่นคงหลายแห่งครับ
2. มันจะส่ง Key ที่สร้างขึ้นใหม่นี้ พร้อมหมายเลขประจำเครื่องของเรา (คิดว่าเกิดจากการ Random ขึ้นครับ ใช้เป็น Unique ID ของ "เหยื่อ") ไปยัง Server ของโจร เพื่อเอาไปเก็บเอาไว้เรียก "ค่าไถ่" เพราะถ้าไม่มีไอ้ Key นี้ ก็จะถอดรหัสลับข้อมูลไม่ได้ครับ
เท่าที่ผมเคยเจอ ไอ้ Server ของโจรที่ว่านี้ ซ่อนอยู่หลัง CloXXFlare (ขอ censor นะครับ แต่คงจะเดากันได้) เสียด้วย เมพใหมล่ะ....
หลังจากขั้นตอนนี้ Ransomware จะเริ่มปฏิบัติการสำคัญ นั่นคือไล่ Encrypt file ในเครื่องเรา โดยจะมุ่งไปที่ไฟล์เอกสารและรูปภาพทั้งหลาย เมื่อเสร็จกิจแล้ว มันก็จะจัดการทิ้งจดหมายเรียกค่าไถ่ (สำหรับ Cryptowall เป็นไฟล์ชื่อ DECRYPT_INSTRUCTION.HTML) เอาไว้ให้เหยื่อ (คือเรานั่นเอง) ได้อ่านให้เจ็บใจเล่นๆ พร้อมทั้งกำชับว่าให้เอาเงินจ่ายมันทาง Bitcoin ก่อนวันที่เท่านั้นเท่านี้ ไม่งั้นมันจะขึ้นราคาเป็นเท่าตัว และถ้านิ่งเฉยนานไป มันจะลบทะเบียนเหยื่อพร้อมทั้ง Key ของเราที่มันเก็บไว้ทิ้งเสีย เป็นอันว่าเราก็จะไม่มี Key สำหรับถอดรหัสอีกแล้ว....
ส่วนตัว Ransomware นั้นหรือครับ... ไม่ต้องไปหาครับ ถึงขั้นเสร็จสมอารมณ์หมายแล้ว มันไม่รออยู่ในเครื่องเราหรอกครับ มันจะลบตัวเองพร้อมทั้ง Key ที่มันใช้ทิ้งไปด้วย ก็หมดประโยชน์แล้วนี่...
การที่มันยังอยู่ในเครื่อง อาจทำให้ Key ที่มันใช้ในการเข้ารหัส สามารถถูกขุดออกมาจาก Memory ได้ด้วยวิธี Memory Forensics ภายใต้เงี่อนไขจำกัด ดังนั้นการที่มันลบตัวเองออกไปก็เป็นวิธีที่โจรมันคิดมาดีแล้วครับ
โจรพวกนี้มันทำงานกันเป็นระบบดีครับ ถึงขั้นนี้ มันกลัวว่าเหยื่อจะไม่เชื่อว่ามันมี Key จริง แบบว่าจ่ายเงินไปแล้วยังโดนเชิด มันจึงเปิดเว็บไซต์เอาไว้ให้เหยื่อลองส่ง File เล็กๆ พร้อมระบุ Unique ID ของตัวเหยื่อเองไป "ลองถอดรหัสลับ" ดู เพื่อให้เชื่อว่าบริการของมันเป็นของจริง จ่ายๆ กรูมาเถอะได้ Key แน่ ประมาณนั้น ไอ้เว็บไซต์นี้ซ่อนอยู่ใน TOR Hidden Service ครับ วิธีเดียวกับที่เว็บค้ายาเสพติดและ Child Porn หลายแห่งใช้มาแล้ว
เทคนิคที่ผมบรรยายมานี้ ใช้ร่วมกันใน Ransomware หลายตัวครับ ซึ่งในบางครั้ง โจรมันก็เผลอเหมือนกัน ทำให้เหยื่อสามารถแก้ลำได้ เช่นตอนสร้าง Key ดันลืมลบ Key ที่สร้างนี้ออกจาก Key storage ของ Windows (จริงๆ สั่งให้ไม่เก็บก็ได้) ทำให้มีคนสร้างโปรแกรมกู้ Key นี้ขึ้นมาแล้วถอดรหัสลับ (Decrypt) ไฟล์ได้เลย หรืออีกอย่างนึงคือ ลืมลบ Volume Shadow copy Service (VSS) ทำให้เหยื่อกู้ไฟล์ขึ้นมาได้ตรงๆ เลย
แต่เสียใจด้วย รุ่นหลังๆ โจรมันแก้บักหมดแล้วครับ โดยเฉพาะ Bug เรื่องลืม Key ไว้ในเครื่องเหยื่อ ที่เกิด Drama ขึ้นเล็กๆ เพราะบริษัท SXmanXXX เปิดเผย Bug นี้ใน Analysis report ทำให้โจรรู้ตัวว่าพลาดไปแล้ว และออก version ใหม่มาแก้พร้อมเขียนขอบคุณ SXmanXXX เอาไว้ด้วย แหมมันหยามจริง เล่นเอาคนด่ากันขุดรากเลยทีเดียวเข้าทำนอง "มะอึงไปบอกมันทำไม"
บางคนอาจจะสงสัยว่า เอ๊ะ VSS นี้ มันไม่ใช่อยู่ดีๆ ลบได้ไม่ใช่รึ มันต้องให้ User กดยืนยันก่อน ถูกแล้วครับ แต่อะไรขึ้นมาเราก็กดทุกทีนี่ครับ....
ทางแก้ที่พอจะเห็นได้นอกจากนี้ คือ Backup ขึ้นไปที่ External media เช่น External HDD เป็นประจำ แต่ ห้ามเสียบคาเครื่องไว้นะครับ เคยมีตัวอย่างมาแล้วว่า อุตส่าห์ Backup อย่างดีอย่างบ่อย แต่ดันเสียบ External HDD คาเครื่องไว้ตอน Ransomware ทำงาน ปรากฏว่าไปหมดครับทั้งตัวจริงทั้ง Backup....
ผมขอพักไว้ตรงนี้ก่อน เพราะต้องออกไปธุระครับ แต่จะสรุปประเด็นในช่วงแรกนี้ไว้ดังนี้
1. Ransomware ใช้ Encryption Algorithm ที่มีความแข็งแกร่งมาก โดยตัวมันเองยังไม่มี Technology ใดๆ มาแกะได้โดยไม่มี Key ครับ
2. Ransomware ไม่ต้องการสิทธิ Administrator ในการทำงาน มันมีวิธีการตั้ง Policy เพื่อป้องกัน Ransomware ได้ระดับนึง แต่อาจมีผลกับ App อื่นๆ ได้ครับ ส่งผลให้ IT Support เป็นโรคประสาทได้เป็นลำดับถัดไป....
3. VSS ช่วยท่านได้ อะไรแว๊บๆ บอกให้ Confirm จะลบ Shadowๆ อะไรนี่ อย่าไปเชื่อมันครับ (แต่ต้องอย่าไปปิด System restore ตั้งแต่แรกนะ ไม่งั้นก็ไม่มี VSS เหมือนกัน)
4. Antivirus ลงเอาไว้นั้นดี แต่อย่าไปเชื่อมันมากว่าจะจับไอ้พวกนี้ได้ มันมาใหม่เรื่อยๆ ครับ เหมือนใส่เสื้อเกราะ ถ้าโดนยิงหัวก็ม่อง หรือโดน .50BMG ก็ทัวร์นรกล่ะครับ แต่ยังไงก็ต้องใช้นะ....
5. Backup ให้ถูกวิธีครับ Back เสร็จปั๊บ ถอดออกปุ๊บ และควรมีมากกว่า 1 External HDD ใช้สลับกัน เผื่อพลาดไปอันนึงยังมีอีกชุดที่ Backup ไว้วันก่อน ก็บรรเทาได้ เดี๋ยวนี้มันไม่แพงแล้วครับ หรือใครไฟล์ไม่เยอะใช้ Flash Drive ก็ยังใหว
6. ในหน่วยงานที่มี NAS หรือ File sharing กลาง พยายามแยก User เอาไว้ครับ ไม่ให้คนนึงมายุ่งกับไฟล์ของคนอื่นๆ ได้ เวลา Ransomware เข้าหน่วยงานแบบนี้นี่ ไปหมดทั้ง Share เลยครับ ถึงเวลานั้นจะมาตบหน้า ตัดเงินเดือน ไล่ออก มันก็ไม่คุ้มแล้วครับ