ใน QNAP NAS 101 EP21 ผมได้เขียนไปแล้วว่า QNAP NAS จะป้องกันเราจาก Ransomware ได้ยังไง ทั้งในกรณีที่ Ransomware โจมตีเครื่องคอมพิวเตอร์ และกรณีที่โจมตีที่ตัว NAS โดยตรง ซึ่งในตอนนี้ ผมจะขอเอาขั้นตอนในการกู้ข้อมูลจาก QNAP NAS กรณีที่โดน Ransomware โจมตี ซึ่งเป็นขั้นตอนที่ทาง QNAP เขาแนะนำมาให้อ่านกันครับ เพราะต้นทางมันเป็นภาษาอังกฤษ ผมเลยขอแปลเป็นไทยให้ได้อ่านกันง่ายๆ
ขั้นตอนที่จะพูดถึงต่อไปนี้ เป็นขั้นตอนที่ QNAP แนะนำให้ใช้ ในการตั้งค่าเพื่อสำรองข้อมูลและกู้ข้อมูล เพื่อรับมือการโจมตีจาก Ransomware นะครับ จะไม่ได้บอกขั้นตอนการใช้งานหรือตั้งค่าโดยละเอียด ฉะนั้น อาจต้องไปอ่านข้อความที่เกี่ยวข้องเพิ่มเติมเอานะครับ
QNAP Lab เขาได้ทำการจำลองการโจมตีของ Ransomware และแนะนำขั้นตอนดังต่อไปนี้ครับ
1. สำรองข้อมูลเป็นประจำ และทำ Snapshot เอาไว้ด้วย
สำหรับเครื่องคอมพิวเตอร์ ก็สำรองข้อมูลด้วยโปรแกรมอย่าง NetBak Replicator หรือวิธีอื่นๆ (เช่น Qsync, FTP ฯลฯ) เป็นประจำ โดยสร้าง User ที่มีการจำกัดการเข้าถึง (เช่น เข้าถึงได้เฉพาะ Shared folder ที่เอาไว้แบ็กอัพอย่างเดียวเท่านั้น) อันนี้ทาง QNAP เขาแนะนำเป็นอย่างยิ่ง จากนั้นก็ใช้บัญชีที่มีสิทธิของแอดมินตั้งค่า Snapshot ขึ้นมา
2. ตั้งค่า Snapshot Reserve Space เอาไว้
เพราะจุดเด่นของการทำ Snapshot คือการทำ Versioning หรือ เก็บข้อมูลที่แบ็กอัพเอาไว้เป็นเวอร์ชัน เวลาที่จะกู้คืน เราจะได้เลือกได้ว่าจะเอาข้อมูลจากตอนไหนมากู้คืน อันนี้สำคัญครับ เพราะเราไม่รู้ว่า Ransomware จะโจมตีตอนไหน ข้อมูลโดนเข้ารหัสไปเรียกค่าไถ่ตั้งแต่เมื่อไหร่ ฉะนั้น การสำรองข้อมูลจะเก็บไว้แค่ชุดเดียวไม่ได้ เพราะมันอาจกลายเป็นว่าเราสำรองข้อมูลหลังจากที่ถูก Ransomware เข้ารหัสไปแล้ว ซึ่งถ้าเป็นแบบนั้นก็ไร้ประโยชน์เลย
การทำ Snapshot จะทำให้เรามีตัวเลือกย้อนกลับไปในช่วงที่ข้อมูลยังไม่ถูกเข้ารหัสได้ แต่ข้อแม้คือ เราต้องวางแผนการทำ Versioning ให้ดีนะครับ และเราต้องไหวตัวอย่างรวดเร็วด้วยว่าโดน Ransomware เข้าให้แล้ว เพื่อที่จะได้ยุติการแบ็กอัพอย่างไว ก่อนที่จะมีแต่ข้อมูลที่ถูกเข้ารหัสแล้วไปถูกแบ็กอัพไว้เต็มไปหมด
3. ถ้ารู้ตัวว่าโดน Ransomware เข้าให้แล้ว รีบถอดคอมพิวเตอร์หรือ NAS ออกจากเน็ตเวิร์กอย่างไว
ต้องรีบทำเลยครับ ก่อนที่มันจะพาเครื่องอื่นๆ บรรลัยตามไปด้วย เพราะ Ransomware อาจจะพยายามแพร่ตัวเองไปติดเคร่องอื่นๆ อีก และในกรณี QNAP NAS เองโดน Ransomware ผมก็อยากให้หยุดการสำรองข้อมูลด้วย เพราะถ้าข้อมูลโดนเข้ารหัสแล้ว เราก็ไม่ควรต้องไปสำรองมันอีก (วิธีการอยู่ในข้อถัดไป)
4. หาทางเข้าหน้าบริหารจัดการ QNAP NAS
ใครใช้รุ่นที่มี HDMI ก็ง่ายหน่อย หาจอมาต่อ เอาคีย์บอร์ดและเมาส์มาเสียบ ก็สามารถเข้า HD Station เพื่อบริหารจัดการ QNAP NAS ได้ (แต่ก็เฉพาะกรณีที่คุณได้เปิดใช้ HD Station อยู่นะ) แต่ถ้าคุณไม่ได้ใช้รุ่นที่มี HDMI หรือไม่ได้เปิดใช้ HD Station เอาไว้ ก็หาคอมพิวเตอร์มาต่อครับ ถ้าเป็นกรณีที่ Ransomware เล่นงาน QNAP NAS โดยตรงก็ไม่ต้องห่วงอะไรมาก แต่ถ้าเกิดเป็นกรณีที่คอมพิวเตอร์ในระบบโดน Ransomware เล่นงาน เราห้ามเอาคอมพิวเตอร์ที่มาเชื่อมต่อ ไป Mount กับพวก Shared folder ที่โดน Ransomware นะครับ (จริงๆ ดีที่สุดคือ อย่า Mount เลย ใช้เบราวเซอร์เข้าไปบริหารจัดการพอ)
5. เลือกแบ็กอัพจาก Snapshot Manager
โดยไปที่ Storage & Snapshots > STorage > Storage/Snapshots แล้วคลิกไปที่ Volume ที่เราต้องการกู้ข้อมูล จากนั้นคลิกปุ่ม Snapshot แล้วเลือก Snapshot Manager เพื่อดูว่าเราอยากจะกู้ข้อมูลจากไหน ยังไง
6. กำจัด Ransomware ก่อน แล้วกู้ข้อมูลจาก Snapshot เวอร์ชันก่อนที่จะโดน Ransomware
จะเป็นคอมพิวเตอร์ หรือ QNAP NAS ที่โดน Ransomware โจมตี ให้กำจัด Ransomware ก่อนนะครับ ของ QNAP NAS มันจะมีแอป Malware Remover ไว้กำจัดพวก Ransomware พวกนี้ แต่ถ้ากำจัดไม่ได้ แนะนำปรึกษาทีม Support ของ QNAP NAS ก่อน
พอกำจัด Ransomware เรียบร้อยแล้ว ก็เลือกข้อมูลเวอร์ชันก่อนที่จะโดน Ransomware มากู้คืนครับ แค่นี้ก็จบแล้ว