Tips แก้ปัญหา Windows ทุกองค์กร Ransomware ป้องกันอย่างไร 



Ransomware คือมัลแวร์ที่เข้ารหัสไฟล์หรือข้อมูลในเครื่องคอมพิวเตอร์ เซิร์ฟเวอร์ หรือระบบเครือข่าย ทำให้ไม่สามารถเปิดใช้งานข้อมูลได้ จากนั้นจะเรียกค่าไถ่เพื่อแลกกับกุญแจถอดรหัส
-------------------------------------------
Ransomware เข้ามาในองค์กรได้อย่างไร
• แนบไฟล์ Word, Excel, PDF ปลอม
• ส่งลิงก์เว็บไซต์อันตราย
• หลอกให้เปิดไฟล์หรือกด Enable Macro
ตัวอย่าง
• ใบแจ้งหนี้ปลอม
• แจ้งพัสดุตกค้าง
• แจ้งชำระเงินด่วน
-------------------------------------------
• ใช้รหัสผ่านง่าย
• เปิด Port 3389 ออกอินเทอร์เน็ต
• ไม่มี MFA
-------------------------------------------
• Windows ไม่ได้อัปเดต
• Server ไม่ได้ Patch
• Firewall หรือ VPN มีช่องโหว่
-------------------------------------------
• Crack Software
• Keygen
• โปรแกรมจากเว็บไซต์ที่ไม่น่าเชื่อถือ
-------------------------------------------
หลักการ 3-2-1 Backup
• ข้อมูล 3 ชุด
• เก็บในสื่อ 2 ประเภท
• เก็บไว้นอกระบบอย่างน้อย 1 ชุด
ตัวอย่าง
• ข้อมูลจริงบน Server
• Backup ลง NAS
• Backup ไป Cloud
-------------------------------------------
ควรอัปเดต
• Windows
• Linux
• VMware
• Hyper-V
• Firewall
• NAS
• VPN
-------------------------------------------
ควรมีระบบ
• Antivirus
• Anti-Malware
• EDR (Endpoint Detection & Response)
• XDR
เช่น
• การเข้ารหัสไฟล์จำนวนมาก
• การลบ Shadow Copy
• การรัน Script แปลกๆ
-------------------------------------------
เพิ่มการยืนยันตัวตน 2 ชั้น
ตัวอย่าง
• Password + OTP
• Password + Mobile App
-------------------------------------------
แนวทางที่แนะนำ
• เปลี่ยนรหัสผ่านให้ซับซ้อน
• ใช้ MFA
• จำกัด IP ที่เข้าถึงได้
• เชื่อมต่อผ่าน VPN ก่อนเสมอ
• ปิด RDP หากไม่จำเป็น
-------------------------------------------
ใช้หลักการ Least Privilege
ผู้ใช้ควรมีสิทธิ์เท่าที่จำเป็น
ตัวอย่าง
• User ไม่ควรเป็น Local Administrator
• จำกัดสิทธิ์เข้าถึง Folder สำคัญ
• แยกสิทธิ์ Admin ออกจาก User ทั่วไป
-------------------------------------------
Ransomware จำนวนมากเริ่มจาก
• Word Macro
• Excel Macro
• PowerShell Script
-------------------------------------------
ควรมีระบบกรอง
• Spam
• Phishing
• Malware Attachment
• URL Filtering
-------------------------------------------
แยก VLAN เช่น
• User VLAN
• Server VLAN
• CCTV VLAN
• Guest VLAN
• Management VLAN
-------------------------------------------
สาเหตุส่วนใหญ่เกิดจากผู้ใช้
ควรสอนให้รู้จัก
• Email ปลอม
• Link อันตราย
• ไฟล์แนบต้องสงสัย
• Social Engineering
-------------------------------------------
หากโดน Ransomware แล้วต้องทำอย่างไร
ที่ต้องทำทันที :
1. ถอดสาย LAN หรือปิด Wi-Fi
2. แยกเครื่องออกจากเครือข่าย
3. ปิด Shared Folder
4. ตรวจสอบเครื่องอื่นในระบบ
5. แจ้งทีม IT หรือ Security
ตรวจสอบ :
• หาเครื่องต้นทาง
• ตรวจสอบ Log
• ตรวจสอบบัญชีผู้ใช้ที่ถูกโจมตี
• ตรวจสอบ Server และ NAS
กู้คืน :
• Restore จาก Backup ที่ปลอดภัย
• เปลี่ยนรหัสผ่านทั้งหมด
• Patch ช่องโหว่ก่อนเปิดใช้งานระบบ
-------------------------------------------
วิธีป้องกัน Ransomware ที่มีประสิทธิภาพที่สุดคือ