Ransomware โดยบริษัท I-SECURE จำกัด

More documents

Recommendations

Info

5. ปิ ดการเข้าถึง Remote Desktop Protocol จาก Internet มีกลุ่ม Hacker หลายๆกลุ่มที่พยายามแพร่กระจาย Ransomware โดยการเดารหัสผ่าน(Bruteforcing) Remote Desktop ที่สามารถเข ้าถึงได ้จากภายนอก ซึ่งวิธีการนี้ถูกน ามาใช ้โจมตีเหล่า Server ในไทยจ านวนมาก จึง แนะน าให ้ท าการปิด Remote Desktop Service จาก Internet ในเครื่อง Server ใดๆ หากต ้องการใช ้ Remote Desktop Service จริงๆ แนะน าให ้เครื่องผู ้ใช ้งานต่อ VPN เข ้าองค์กรก่อน จึงจะสามารถเข ้าถึง Remote Desktop Service ของ Server ใดๆได ้แทนจะเหมาะสมกว่าครับ 6. วิธีการปิ ดการท างาน Windows Script Host มีหลายๆครั้งที่ Ransomware มักจะมาในรูปแบบของ zip file ซึ่งภายใน zip file ก็จะมี .js อยู่ หาก User กด เปิด .js นั้น ก็จะกลายเป็ นเรียกการท างาน Windows Script host เราสามารถเข ้าไปปิดการท างานของ Windows Script Host ได ้โดยเข ้าไปแก ้ไข Registry ที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings สร ้าง DWORD Value ขึ้นมาโดยให ้ชื่อว่า “Enabled” และก าหนดค่าเป็ น 0 จากนั้น Save ก็จะปิดการ Auto run พวก script ต่างๆเช่น .js, .vbs เป็ นต ้น รูปภาพการปิด Windows Script Host 7. ปิ ดการท างานของ Macro ใน Microsoft Office Ransomware บางประเภทจะมีการแฝงมากับไฟล์เอกสารต่างๆ เมื่อเปิดไฟล์เอกสารเหล่านั้น จะมีการ สอบถามว่าจะ Enable Macro หรือไม่ หากท าการ Enable จะกลายเป็ นรัน script ที่แฝงมากับไฟล์เอกสารนั้นๆทันที เราสามารถปิดการท างาน Macro ได ้ในหลายๆรูปแบบ โดยเข ้าไปที่ File -> Word Options-> Trust Center ->Trust Center Settings
รูปภาพการเข ้าถึง Trust Center Settings จากนั้นเลือกตัวเลือกของการจัดการ Macro โดยมีดังนี้ ้ ้ Disable all macros without notification จะปิดการท างานของ Macro และจะไม่มีการแจ ้งเตือน ใดๆ (แนะน าให ้เลือกข ้อนี้เพื่อป้องกัน User enable Macro) Disable all macros with notification จะปิดการท างานของ Macro และจะมีการแจ ้งเตือนเมื่อ เอกสารนั้นๆมี Macro Disable all macros except digitally signed macros Macros จะถูกปิดการใช ้งานไว , แต่จะมี alert หาก Macro มีอยู่ในเอกสาร หาก macro มีการ signed โดย trusted publisher (เช่น Microsoft เป็ น ต ้น), macro จะท างาน. หากเราไม่ trust publisher จะมีการแจ ้งเตือนให enable signed macro และ trust publisher Enable all macros (not recommended, potentially dangerous code can run) อนุญาต ให ้รัน macros โดย default ซึ่งไม่แนะน าครับ Trust access to the VBA project object model อนุญาตหรือไม่ที่จะเข ้าถึง Visual Basic for Applications (VBA) object model จาก automation client. Option นี้ส าหรับการเขียน code เข ้าไปใน Office program และการแก ้ไข VBA environment และ object model.
Page 1: วิธีการป้อง
Page 5 and 6: รูปภาพตัวอย
Page 7 and 8: รูปภาพ Disable กา
Page 9 and 10: ระบุ Path เป็ น C:\
Page 11 and 12: 16. ควรมีการส า

Ransomware โดยบริษัท I-SECURE จำกัด

Create successful ePaper yourself

Delete template?

Save as template?