จะทำอย่างไรเมื่อแรนซัมแวร์โจมตี
เผยแพร่แล้ว: 2022-12-19การโจมตีด้วยแรนซัมแวร์กำลังเพิ่มขึ้น แม้ว่าคุณจะใช้มาตรการรักษาความปลอดภัยที่ดีที่สุดเพื่อป้องกันการโจมตีจากแรนซัมแวร์ แต่ผู้ไม่หวังดีก็สามารถเข้ารหัสไฟล์ของคุณหรือล็อคอุปกรณ์ของคุณได้สำเร็จ ดังนั้น การรู้ว่าต้องทำอย่างไรเมื่อแรนซัมแวร์โจมตีจะช่วยให้คุณจัดการได้เมื่อเห็นข้อความเรียกค่าไถ่บนหน้าจออุปกรณ์
บทความนี้จะอธิบายทุกสิ่งที่คุณควรรู้เพื่อต้านทาน (และกู้คืน) การโจมตีของแรนซัมแวร์ มาดำน้ำกันเถอะ:
แรนซัมแวร์คืออะไร?
แรนซัมแวร์คือซอฟต์แวร์ที่เป็นอันตรายหรือมัลแวร์ที่ล็อกอุปกรณ์หรือเข้ารหัสข้อมูลในอุปกรณ์ ป้องกันไม่ให้ผู้ใช้เข้าถึงอุปกรณ์หรือข้อมูล ผู้ใช้จะเรียกร้องค่าไถ่เพื่อแลกกับการปลดล็อกอุปกรณ์หรือถอดรหัสข้อมูล
แรนซัมแวร์มีอยู่ 2 ประเภทหลักๆ โดยกำหนดเป้าหมายไปที่เจ้าของธุรกิจขนาดเล็ก หนึ่งคือ Locker ซึ่งล็อคอุปกรณ์ และอีกอย่างคือ Crypto ซึ่งเข้ารหัสข้อมูลบนอุปกรณ์
Ransomware โจมตีธุรกิจขนาดเล็กอย่างไร
มีหลายวิธีที่การติดเชื้อแรนซัมแวร์เกิดขึ้นได้ นี่คือผู้ชนะการโจมตีแรนซัมแวร์อันดับต้น ๆ ที่คุณควรรู้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแรนซัมแวร์:
- ไฟล์แนบอีเมลที่เป็นอันตราย
- เว็บไซต์ที่ถูกบุกรุกซึ่งมีรหัสที่เป็นอันตรายซ่อนอยู่
- ป๊อปอัพ
- แคมเปญ Smishing ที่กำหนดเป้าหมายแอปการส่งข้อความโต้ตอบแบบทันที
การโจมตีแบบวิศวกรรมสังคม ซึ่งอาจรวมถึงกลยุทธ์ใด ๆ ที่กล่าวถึงข้างต้น เป็นหนึ่งในวิธีที่มีประสิทธิภาพที่สุดในการติดตั้งแรนซัมแวร์บนอุปกรณ์ของเหยื่อ
แผนการรับมือแรนซัมแวร์คืออะไร?
แผนรับมือแรนซัมแวร์สรุปขั้นตอนที่ต้องปฏิบัติตามระหว่างการโจมตีแรนซัมแวร์ มันเหมือนกับขั้นตอนการปฏิบัติงานมาตรฐาน (SOP) ที่บริษัทของคุณจะปฏิบัติตามเมื่อมีเหตุการณ์แรนซัมแวร์ แผนรับมือแรนซัมแวร์ยังช่วยให้คุณเตรียมพร้อมสำหรับการโจมตีในอนาคตได้ดียิ่งขึ้น
บริษัทที่มีแผนรับมือแรนซัมแวร์ที่กำหนดไว้ มีโอกาสน้อยที่จะจ่ายค่าไถ่เพื่อรับข้อมูลสำคัญและข้อมูลกลับคืน
จะทำอย่างไรระหว่างการโจมตีของแรนซัมแวร์
ต่อไปนี้เป็นกระบวนการทีละขั้นตอนที่ต้องปฏิบัติตามในระหว่างการโจมตีของแรนซัมแวร์:
1. ตัดการเชื่อมต่ออุปกรณ์ที่ติดไวรัส
ในการโจมตีด้วยแรนซัมแวร์ จำเป็นต้องตัดการเชื่อมต่อระบบคอมพิวเตอร์ที่ติดไวรัสโดยเร็วที่สุด การทำเช่นนั้นจะป้องกันไม่ให้แรนซัมแวร์แพร่กระจายไปยังอุปกรณ์อื่นๆ บนเครือข่ายของคุณ เป็นการจำกัดความเสียหายที่เกิดขึ้น นอกจากนี้ยังป้องกันไม่ให้ผู้โจมตีเข้าถึงไฟล์ของคุณและเข้ารหัสต่อไป
หากระบบที่ติดไวรัสมีไดรฟ์จัดเก็บข้อมูลภายนอกเชื่อมต่ออยู่ ให้ลบออกจากระบบ จากนั้น คุณควรตรวจสอบระบบคอมพิวเตอร์อื่นๆ ในเครือข่ายของคุณเพื่อหาสัญญาณของการติดไวรัสแรนซัมแวร์ เป็นการดีที่จะปิดเครือข่ายคอมพิวเตอร์ที่ใช้ร่วมกันของคุณจนกว่าคุณจะแน่ใจว่าระบบอื่นๆ ในเครือข่ายไม่ได้รับผลกระทบ
2. สงบสติอารมณ์และสงบสติอารมณ์
เมื่อการโจมตีของแรนซัมแวร์โจมตีคอมพิวเตอร์ของคุณ อาจเป็นเรื่องง่ายที่จะตื่นตระหนกและเริ่มคลิกปุ่มอย่างเมามันเพื่อแก้ไขปัญหา อย่างไรก็ตาม วิธีนี้อาจทำให้สถานการณ์แย่ลงและทำให้ผู้เชี่ยวชาญด้านไอทีลบแรนซัมแวร์ได้สำเร็จได้ยากขึ้น
สิ่งสำคัญคือต้องสงบสติอารมณ์ระหว่างการโจมตีของแรนซัมแวร์ หายใจเข้าลึก ๆ และจำไว้ว่าการตื่นตระหนกไม่ได้ช่วยแก้ปัญหาอะไร ติดต่อแผนก IT ของคุณหรือผู้เชี่ยวชาญภายนอกทันที และปฏิบัติตามคำแนะนำอย่างระมัดระวัง
3. แจ้งหน่วยงานกฎหมาย
การรายงานการโจมตีไปยังหน่วยงานบังคับใช้กฎหมายที่เหมาะสมไม่เพียงแต่ช่วยในการสืบสวนเท่านั้น แต่ยังสามารถนำไปสู่การแบ่งปันข้อมูลสำคัญกับองค์กรและบุคคลอื่นๆ ซึ่งเป็นการป้องกันที่สำคัญต่อการโจมตีที่คล้ายกันในอนาคต
นอกจากนี้ หากคุณติดต่อหน่วยงานที่บังคับใช้กฎหมาย ก็มักจะได้รับความช่วยเหลือในการฟื้นตัวหรือผลประโยชน์ด้านการประกันซึ่งอาจพิสูจน์ได้ว่ามีค่าอย่างยิ่งในการทำให้ธุรกิจของคุณกลับมาทำงานอีกครั้ง
4. อย่าจ่ายค่าไถ่
แม้ว่าการจ่ายค่าไถ่และดำเนินการต่อไปหลังจากการโจมตีของแรนซัมแวร์อาจเป็นเรื่องดึงดูดใจ แต่สิ่งสำคัญคือต้องจำไว้ว่าการทำเช่นนั้นมีแต่จะเติมเชื้อไฟสำหรับการโจมตีในอนาคต และไม่มีการรับประกันว่าคุณจะได้รับข้อมูลที่ละเอียดอ่อนหรือข้อมูลกลับคืนหลังจากที่คุณจ่ายค่าไถ่
5. เปลี่ยนรหัสผ่าน
เมื่อเกิดการโจมตีของแรนซัมแวร์ คุณควรเปลี่ยนรหัสผ่านออนไลน์และบัญชีทั้งหมดหลังจากยกเลิกการเชื่อมต่ออุปกรณ์ที่ติดไวรัส นี่เป็นเพราะคุณไม่รู้ว่าแรนซัมแวร์เข้าสู่ระบบคอมพิวเตอร์ได้อย่างไร และแฮ็กเกอร์ได้ขโมยข้อมูลรับรองการเข้าสู่ระบบของคุณหรือไม่ เมื่อลบการติดไวรัสแรนซัมแวร์แล้ว คุณควรเปลี่ยนรหัสผ่านทั้งหมดอีกครั้ง
6. ค้นหาเครื่องมือถอดรหัส
หากหมายเหตุเรียกค่าไถ่ไม่บอกชื่อของแรนซัมแวร์ คุณสามารถใช้เครื่องมือเช่น Crypto Sheriff หรือ ID Ransomware เพื่อทราบความเครียดของการเข้ารหัสแรนซัมแวร์ เมื่อคุณระบุสายพันธุ์แรนซัมแวร์ได้แล้ว ให้ค้นหาคีย์ถอดรหัสที่เหมาะสมในเว็บ ทรัพยากรบนเว็บจำนวนมากมีเครื่องมือถอดรหัสสำหรับแรนซัมแวร์ที่รู้จัก
คุณสามารถตรวจสอบ No More Ransom, AVG Decryption Tool และ Kaspersky Free Recovery Tools เพื่อตรวจสอบว่ามีคีย์ถอดรหัสหรือไม่
7. ลบ Ransomware
คุณสามารถใช้เครื่องมือลบแรนซัมแวร์ที่มีชื่อเสียง เช่น Malwarebytes Premium, Hitman Pro หรือ Bitdefender เพื่อลบการติดแรนซัมแวร์ คุณควรจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เพื่อลบการติดไวรัส หากคุณไม่มี
หลังจากลบแรนซัมแวร์แล้ว คุณควรอัปเดตระบบปฏิบัติการของคอมพิวเตอร์ทุกเครื่อง นอกจากนี้ คุณควรอัปเดตแอปพลิเคชันซอฟต์แวร์ทั้งหมดที่คุณใช้ในธุรกิจของคุณ
8. สร้างระบบของคุณ
คุณได้ลบการติดไวรัส อัปเดตระบบปฏิบัติการ และติดตั้งแอปพลิเคชันซอฟต์แวร์แล้ว ตอนนี้ ถึงเวลาสร้างระบบของคุณอีกครั้ง แม้ว่าคุณจะสามารถถอดรหัสข้อมูลได้ แต่คุณไม่ควรใช้มัน หากเป็นไปได้ คุณควรกู้คืนข้อมูลจากข้อมูลสำรองของคุณ แต่ก่อนที่จะทำเช่นนั้น คุณควรสแกนข้อมูลสำรองของคุณเพื่อหามัลแวร์
9. ค้นหาเวกเตอร์โจมตี
ทำการวิจัยหลังการดำเนินการเพื่อค้นหาว่าการโจมตีของแรนซัมแวร์เกิดขึ้นได้อย่างไร จุดเริ่มต้นแรกคือทีมของคุณ จัดประชุมทีมและพิจารณาเพื่อค้นหาสาเหตุของการติดไวรัส - วิธีการที่แรนซัมแวร์เข้าสู่ระบบคอมพิวเตอร์
10. ใช้มาตรการเพื่อป้องกันการโจมตีในอนาคต
เมื่อคุณทราบเวกเตอร์การโจมตีแล้ว คุณควรใช้มาตรการรักษาความปลอดภัยที่จำเป็นเพื่อป้องกันการโจมตีในอนาคต การโจมตีด้วยแรนซัมแวร์ส่วนใหญ่เกิดขึ้นเนื่องจากความผิดพลาดของมนุษย์ ดังนั้น การฝึกอบรมพนักงานของคุณและติดตั้งซอฟต์แวร์ป้องกันแรนซัมแวร์ที่เชื่อถือได้สามารถป้องกันการโจมตีของแรนซัมแวร์และการละเมิดข้อมูลได้
วิธีป้องกันการโจมตีจากแรนซัมแวร์ที่ดีที่สุดคืออะไร
การป้องกันที่ดีที่สุดของคุณจากการโจมตีของแรนซัมแวร์คือพนักงานของคุณ เนื่องจากฟิชชิ่งเป็นสาเหตุหลักของการติดแรนซัมแวร์ ดังนั้น ฝึกอบรมพนักงานของคุณเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีที่สุด
การฝึกอบรมความปลอดภัยทางไซเบอร์จะช่วยให้พวกเขาขัดขวางการพยายามฟิชชิงหรือการโจมตีทางวิศวกรรมสังคมอื่นๆ ได้สำเร็จ ซอฟต์แวร์ป้องกันไวรัสหรือมัลแวร์ที่ดีที่สุดไม่สามารถปกป้องระบบคอมพิวเตอร์และไฟล์สำคัญของคุณได้ หากพนักงานของคุณขาดความปลอดภัยทางไซเบอร์
ขั้นตอนแรกหลังจากที่ระบบติดมัลแวร์แรนซัมแวร์คืออะไร
ขั้นตอนแรกหลังจากที่ระบบติดมัลแวร์เรียกค่าไถ่คือการตัดการเชื่อมต่ออุปกรณ์ที่ติดไวรัสออกจากเครือข่ายและปิดการเชื่อมต่ออินเทอร์เน็ต หากมีฮาร์ดไดรฟ์ภายนอกเชื่อมต่อกับอุปกรณ์ที่ติดไวรัส ให้ถอดออกและตรวจสอบข้อมูลที่เข้ารหัส
Remote Desktop Protocol ใช้ใน Ransomware อย่างไร
Remote Desktop Protocol (RDP) เป็นเทคโนโลยียอดนิยมที่ใช้โดยพนักงานระยะไกลเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ขององค์กร การเชื่อมต่อโปรโตคอลเดสก์ท็อประยะไกลที่ถูกบุกรุกกำลังกลายเป็นที่นิยมในการโจมตีของแรนซัมแวร์ เนื่องจากจำนวนคนที่ทำงานจากระยะไกลเพิ่มขึ้นอย่างต่อเนื่อง
รูปภาพ: Depositphotos