Antivirus ป้องกัน Ransomware ได้หรือ? – 10 ยี่ห้อใช้กันทั่วโลก

ads

จากข่าวโรงพยาบาล และ แบรนด์ดังหลายตัวที่โดนโจมตีโดย Ransomware ซึ่งบางคนยังคงคิดว่ามันคือ Virus ชนิดหนึ่ง หลายองค์กรเริ่มหาวิธีป้องกันโดยการวางระบบคอมพิวเตอร์ และ Network ให้สามารถป้องกันและตรวจจับ แรนซัมแวร์เหล่านี้ได้ แต่คำถามที่ตามมาคือ บางแห่งจะใช้วิธีการติดตั้ง Antivirus เพื่อการป้องกันวายร้ายตัวนี้ คำถามคือ Antivirus มันจะป้องกันได้จริงๆหรือไง? วันนี้เรามีคำตอบ

Ransomware คืออะไร มาจากไหนนะ?

เมื่อมีโปรแกรมเมอร์ที่ดี ก็ต้องมีคนที่เลว คนเหล่านี้จะพยายามเขียนโปรแกรมเพื่อเอาไปโจมตี หน่วยงานการศึกษา รัฐบาล สาธารณสุข เพื่อการล้วงข้อมูล ซึ่งมีหลายฝ่ายออกมาบอกว่า Ransomware เป็นภัยจาก Cyber ที่อันตรายมากที่สุด โดยที่ทำให้มีหน่วยงานเสียหายไปมากกว่า 5 แสนล้านดอลล่าร์สหรัฐแล้วโดยนับ ตั้งแต่ปี 2015 มาจนถึงปี 2020 โดยมีข่าวใหญ่ก่อนหน้านี้ที่ทำให้โรงงาน Honda ต้องหยุดการทำงาน 1 วัน ด้วย Ransomware Wannacry

ถามว่า Ransomware คืออะไร? มันคือ ไวรัสตัวหนึ่งที่มาในรูปแบบ File ต่างๆ ผ่านการเปิดไฟล์แนบอีเมล, การดาวน์โหลดไฟล์ที่มีความเสี่ยง การคลิ๊กลิงค์จาก Social Media  หรือ การเข้าชมเว็บไซด์ที่มีการติดไวรัส แต่จุดแตกต่างกันระหว่าง Ransomware และ Computer Virus คือ มันยากต่อการตรวจสอบ เพราะตัวของ ransomware มีการเปลี่ยนแปลงไปเรื่อยๆ ทำให้ โปรแกรม Antivirus หลายๆตัวไม่สามารถจับได้ และก็อาจสายเกินไปแล้ว และ แรนซัมแวร์ จะจับคอมหรือเน็ตเวิร์คขององค์กรนั้นๆเป็นตัวประกัน เพื่อเรียกค่าไถ่

ประเภทของ Ransomware

มีอยู่หลักๆ ทั้งสิ้น 3 ชนิดด้วยกัน โดยไม่แตกต่างในการทำงาน เพราะทำงานเหมือนกันคือการยึดเครื่องคอมพิวเตอร์ ของผู้ใช้งานเพื่อเรียกค่าไถ่

Locker Ransomware – เป็นตัวที่ถูกพบครั้งแรก โดยการทำงานของมันจะเหมือนชื่อของมัน โดยการล๊อคคอมพิวเตอร์หรือเน็ตเวิร์คนั้นๆ และเรียกค่าไถ่เพื่อการปลดล๊อค ซึ่งตัวนี้จะต้องมีการกำจัดให้สิ้นซาก และการจ่ายค่าไถ่ไม่ได้แปลว่า เจ้าของแรนซัมแวร์ตัวนี้จะปล่อยเราไปง่ายๆ เพราะในบางครั้งจะมีการขอเพิ่มจากที่เคยตั้งค่าไถ่เอาไว้
Crypto ransomware – เป็นแรมซัมแวร์ที่ เมื่อล๊อคคอมพิวเตอร์แล้ว จะขอการจ่ายเงินเป็น Cryptocurrency เช่น Bitcoin และให้จ่ายตาม ที่อยู่ที่ส่งไปให้ผู้โดนล๊อค
Mac ransomware – เฉพาะสำหรับผู้ที่ใช้งาน Mac Computer เท่านั้น เช่นพวก Macbook ซึ่งปรากฎเคสแรกในปี 2016 ใช้ชื่อว่า KeRanger โดยการทำงานของตัวร้ายตัวนี้ จะรอให้เจ้าของ Mac ตายใจ และทำการเข้ารหัส (encrypt) ไฟล์ทั้งหมด และขอให้จ่ายเป็น Bitcoin

Antivirus ใช้ป้องกัน Ransomware ได้หรือไม่?

คำตอบคือ “ได้” และ “ไม่ได้” นั่นเป็นเพราะว่าการใช้ Antivirus ต่างๆ จะสามารถป้องกัน ตรวจจับไฟล์ต้องสงสัยได้อย่างเดียว แต่ถ้าเมื่อไหร่ก็ตาม ransomware เริ่มทำงาน จะไม่สามารถกู้คืนกลับมาได้ ไม่ว่าจะเป็นตัวไหนๆก็ตาม

โปรแกรมแอนตี้ไวรัส ตรวจจับ ransomware ยังไง?

Antivirus มีการโปรแกรมออกมาเพื่อตรวจจับไฟล์ ต้องสงสัย โดยการรายงานจากทั่วโลก ซึ่งการตรวจจับ ransomware นั้นขึ้นอยู่กับว่ามันทำงานยังไง เช่น การตรวจจับเจอไฟล์ต้องสงสัย และแนะนำให้ Quarantine หรือ การลบออกจากระบบทันที

Antivirus จะเป็นตัวที่แจ้งเตือนและถามผู้ใช้งานว่า ไฟล์ที่กำลังจะเปิดนั้น แน่ใจแล้วใช่มั้ยว่าปลอดภัย และ หากเป็นไฟล์ที่ต้องสงสัยจริงๆ มันจะไม่อนุญาตให้เปิดเลยทีเดียว รวมถึงเมื่อไฟล์มีการกลายร่าง เปลี่ยนนามสกุล หรือมีการเข้ารหัส ระบบตรวจไวรัส จะแจ้งเตือนทันที และในการณ์นี้ เราจะได้รู้ว่า มีการเปลี่ยนแปลงอะไรในคอมพิวเตอร์เราหรือไม่?

ความยากของการตรวจจับก็คือ ผู้ทำ Ransomware ขึ้นมา จะมีทีมงานคอยตรวจเช็คว่า Antivirus มีการอัพเดทอะไรบ้าง และหากมีการอัพเดท ผู้ทำก็จะมีการเปลี่ยนเทคนิคไปเรื่อยๆ ทำให้ไม่สามารถตรวจจับได้ทันท่วงที รวมถึงการเรียกค่าไถ่เป็น Cryptocurrency ทำให้ยากต่อการตรวจสอบบัญชี เนื่องจาก เราจะไม่มีทางรู้เลยว่าเงินนั้นจะถูกวิ่งไปบัญชีไหน – อ้างอิง Cisco via heimdalsecurity.com

วิธีที่ดีที่สุดคือ หยุด Ransomware ก่อนที่จะเข้ามาในระบบ

ดังนั้นการติดตั้ง Antivirus เพื่อตรวจจับ Ransomware เป็นเรื่องที่สำคัญมาก ก่อนที่ไฟล์จะโดนเข้ารหัส ก่อนที่ จะโดนลบ File ทิ้ง หรือก่อนที่จะติดเชื้อจาก Virus ประเภทต่างๆ การติดตั้ง Antivirus ในเครื่อง เป็นอะไรที่สำคัญและควรทำ โดยมี Antivirus ที่สามารถตรวจจับ Ransomware ได้ดังนี้

Antivirus + Anti-ransomware ที่ดีที่สุด

ยี่ห้อ

รูปแบบ

ตรวจจับได้

ป้องกันการเข้ารหัส

ป้องกันการเข้าถึงไฟล์

ดึงไฟล์กลับมาได้

แก้ให้กลับมาใช้ได้

Bitdefender Antivirus ได้ ได้ ไม่ได้ ได้ ไม่ได้
Zone Alarm Ransomware ได้ ไม่ได้ ไม่ได้ ได้ ไม่ได้
Kaspersky Antivirus ได้ ไม่ได้ ไม่ได้ ไม่ได้ ไม่ได้
Acronis Ransomware ได้ ไม่ได้ ไม่ได้ ได้ ไม่ได้
Neushield Ransomware ไม่ได้ ไม่ได้ ไม่ได้ ได้ ไม่ได้
Sophos Antivirus ได้ ไม่ได้ ไม่ได้ ไม่ได้ ไม่ได้
Emsisoft Antivirus ได้ ไม่ได้ ไม่ได้ ไม่ได้ ไม่ได้
Heilig Ransomware ได้ ได้ ได้ ได้ ไม่ได้
Panda Security Suite ไม่ได้ ได้ ได้ ไม่ได้ ไม่ได้
Trend Micro Ransomware ได้ ได้ ไม่ได้ ได้ ไม่ได้
จะเห็นได้ว่า ไม่มี Antivirus ตัวไหน ที่จะสามารถแก้คอมพิวเตอร์ที่โดน ransomware ให้กลับมาใช้งานได้เลย ซึ่งเก่งที่สุดก็คือ Heilig Defense ที่สามารถ ตรวจจับ ransomware ป้องกันการเข้ารหัส ป้องกันการเข้าถึงไฟล์ ถึงไฟล์กลับมาหากโดนเข้ารหัสได้ แต่ ยังไงก็ตามจะไม่สามารถแก้ให้กลับมาใช้งานได้เลย

ดูวีดีโอการแก้ไขให้ไฟล์กลับมาใช้งานได้อีกครั้งจาก Heilig Defense

จากเหตุการณ์นี้เราจะเห็นว่าการป้องกันนั้นสำคัญที่สุด คือการเช็คว่า มีไฟล์อะไรแปลกปลอมถูกดูดมาใช้งานใน computer ที่เราใช้งานอยู่หรือไม่?