ฟอร์ติเน็ตแนะขั้นตอนลงมือจัดการป้องกันภัยแรนซัมแวร์ใหม่ Petya

ฟอร์ติเน็ตซึ่งเป็นผู้นำระดับโลกในด้านโซลูชั่นรักษาความปลอดภัยบนโลกไซเบอร์ที่มีประสิทธิภาพสูงแนะนำองค์กรและผู้ใช้งานคอมพิวเตอร์ให้ลงมือป้องกันภัยไซเบอร์แรนซัมแวร์ประเภทต้องการเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่า Petya (เพ็ทยา) ที่กำลังแพร่คุกคามในองค์กรและหลายอุตสาหกรรมทั่วโลกในขณะนี้

ซึ่งรวมถึง ระบบการขนส่งรายใหญ่ ธนาคารและองค์กรด้านพลังงานฟอร์ติเน็ตซึ่งเป็นผู้นำระดับโลกในด้านโซลูชั่นรักษาความปลอดภัยบนโลกไซเบอร์ที่มีประสิทธิภาพสูงแนะนำองค์กรและผู้ใช้งานคอมพิวเตอร์ให้ลงมือป้องกันภัยไซเบอร์แรนซัมแวร์ประเภทต้องการเรียกค่าไถ่ (Ransomware)สายพันธุ์ใหม่ที่เรียกว่า Petya ที่กำลังแพร่คุกคามในองค์กรและหลายอุตสาหกรรมทั่วโลกในขณะนี้ซึ่งรวมถึง ระบบการขนส่งรายใหญ่ ธนาคารและองค์กรด้านพลังงาน

ภัยแรนซัมแวร์ใหม่นี้ เป็นประเภทหนอนไถพรวน ที่เราเรียกกันว่า“Ransomworm” ที่อาศัยใช้ประโยชน์จากการที่แฝงอยู่ในระบบอย่างเงียบๆ แล้ว โจมตีในโอกาสที่เหมาะสม หนอนไถพรวนนี้ได้รับการออกแบบให้เคลื่อนที่ข้ามระบบต่างๆ ได้โดยอัตโนมัติแทนที่จะอยู่ในที่ที่เดียว  และดูเหมือนว่าหนอนไถพรวน เพ็ทยานี้ได้ใช้ช่องโหว่ที่มีอยู่ที่คล้ายคลึงกันกับการโจมตีวอนนาคราย(Wannacry)ที่เกิดขึ้นล่าสุด

เพ็ทยานี้แตกต่างจากวอนนาครายตรงที่วอนนาครายจะเข้ารหัสไฟล์ในคอมพิวเตอร์และเรียกค่าไถ่ แต่เพ็ทยาจะเข้ารหัสส่วนหนึ่งของฮาร์ดไดร้ฟที่ส่งผลทำให้คอมพิวเตอร์ทั้งหมดไม่สามารถทำงานได้ ทั้งนี้เป้าหมายการโจมตีครั้งนี้และมีความเสี่ยงมากคือผู้ที่ใช้ระบบแบบเดิมและเก่ารวมถึงโครงสร้างพื้นฐานที่สำคัญต่างๆ

ทั้งนี้ เนื่องจากไมโครซอฟท์ได้ออกแพ้ทช์โปรแกรมปรับปรุงสำหรับช่องโหว่นี้แล้วเมื่อต้นปีนี้เราจึงขอแนะนำให้องค์กรต่างๆ อัปเดทระบบโดยทันที

นอกจากนี้มีขั้นตอนอื่นๆที่องค์กรและบุคคลต่างๆ ควรใช้เพื่อป้องกันตนเองจาก Petya ดังนี้:
Petya สำหรับฝ่ายไอที:
  1. ทำสำรองไฟล์ข้อมูลที่อยู่ในระบบที่สำคัญๆ ไว้ และให้ทำสำรองไฟล์แบบออฟไลน์
  2. ตรวจสอบให้แน่ใจว่าท่านมีดิสก์และการตั้งค่าของระบปฏิบัติการที่เป็นมาตรฐานชั้นเยียม เพื่อให้ท่านมีความมั่นใจในเวลาที่ต้องนำเดสท้อปกลับมาใช้ใหม่
  3. ลงมือใช้แพ้ทช์ปิดช่องโหว่นั้น
  4. ตรวจสอบให้แพ้ทช์ทันสมัยอยู่ตลอดเวลา
สำหรับผู้ใช้งาน:
  1. อย่าเปิดไฟล์ที่มาจากแหล่งที่ท่านไม่รู้จัก
สำหรับการปฏิบัติการด้านความปลอดภัย:
  1. ใช้ Signature ยืนยันตัวบุคคลใช้แอนตี้ไวรัส
  2. ใช้คุณสมบัติด้านความปลอดภัยแซนบ๊อกซิ่ง (Sandboxing) ตรวจสอบไฟล์ที่แนบมาทางอีเมล์
  3. ใช้วิธีการตรวจตราด้วยการสังเกตพฤติกรรม (Behavior-based detections)
  4. ใช้อุปกรณ์ไฟร์วอลล์ และที่ไฟร์วอลล์ ให้ตรวจสอบเหตุการณ์ที่เกิดขึ้นที่ Command & Control
  5. จัดการแยกส่วน  (Segment) เพื่อป้องกันไม่ให้แรนซัมแวร์นั้นแพร่กระจายไปในเครือข่าย  และทำสำรองข้อมูลที่ได้เข้ารหัสไว้แล้วนั้นด้วย
  6. ตรวจสอบให้แน่ใจว่า โปรแกรมควบคุมเครื่องคอมพิวเตอร์ระยะไกลที่มากับวินโดวส์ (Remote Desktop Protocol) นั้นปิดอยู่และ / หรือมีการตรวจสอบสิทธิ์อย่างถูกต้อง หรือไม่เช่นนั้นให้จำกัดไม่ให้มีการเปิดเดสท้อปในระยะไกลได้อย่างเสรี
ข้อแนะนำทั่วไป:
  1. ถ้าเครือข่ายของท่านเกิดติดภัยนี้แล้ว อย่าจ่ายค่าไถ่
  2. ติดต่อหน่วยงานที่มีความน่าเชื่อถือ และแบ่งปันข้อมูลของท่าน เช่น ตำรวจ เพื่อให้ความช่วยเหลือแก่ผู้อื่นๆ โดยรวม ในการวิเคราะห์ จำกัดภัยและแก้ไขการโจมตีที่เกิดขึ้น

นอกจากนี้ ท่านสามารถดูภัยเรียกค่าไถ่ที่เกิดขึ้นทั้งหมดและรับคำแนะนำอื่นๆ  ได้ที่  http://blog.fortinet.com/