เทรนด์ไมโคร ตรวจจับ Ransomware มัลแวร์เรียกค่าไถ่ข้อมูลได้แล้ว กับเรื่องที่คนไอทีต้องรู้

เรามาดูกันว่า Ransomware หรือมัลแวร์เรียกค่าไถ่ข้อมูลที่หลายคนเริ่มโดนเล่นงานกันแล้ว มีการทำงานอย่างไร มีวิธีป้องกันอย่างไร เพราะความเสียหายทางธุรกิจอย่างมหาศาล คงไม่มีใครอยากให้เกิดขึ้น จึงต้องศึกษาและเตรียมรับมือให้ดี

Trend Micro™ OfficeScan™ Endpoint Protection 11 เป็นเวอร์ชั่นล่าสุด ออก Service Pack 1 อัพเดตให้สามารถตรวจจับ Ransomware ได้สำเร็จแล้ว  ซึ่ง Ransomware เป็น Malware เรียกค่าไถ่ข้อมูลที่อันตรายมาก สร้างความเสียหายให้กับข้อมูลอย่างมหาศาลเลยทีเดียว

5 มิถุนายน 2558  ทีมงาน ADSLThailand ได้มีโอกาสชมสาธิตการทำงานของ Ransomware  ซึ่งทำให้เข้าใจถึงการทำงานของมัลแวร์ตัวนี้อย่างเป็นขั้นตอนโดยละเอียด  โดยเริ่มจากการรัน Ransomware ให้เริ่มทำงาน 

ในคอมพิวเตอร์ที่ติดตั้ง Trend Micro™ OfficeScan™ Endpoint Protection 11 + SP1 แล้ว จะตรวจจับและบล็อกการทำงานของ Ransomware ได้ทันที  แต่กรณีที่คอมพิวเตอร์เครื่องนี้ไม่ได้ติดตั้งหรือยังไม่ได้อัพเดต Trend Micro™ OfficeScan™ Endpoint Protection ให้เป็นเวอร์ชั่นล่าสุด  ก็จะทำให้ Ransomware ตัวนี้ทำงานอย่างเงียบ ๆ ภายในเครื่อง

Trend Micro ได้รับตัวอย่าง Ransomware มาจากลูกค้า เป็นไฟล์ที่ยังไม่ถูกรัน จึงยังไม่มีการสร้างความเสียหายและทำลายตัวเองหลังภารกิจเสร็จสิ้น  ซึ่งลูกค้าติดมัลแวร์มาจากอีเมลที่หลอกให้คลิก หรือแบนเนอร์โฆษณาที่เป็น Flash ก็ได้เช่นกัน

เมื่อ Ransomware เริ่มทำงาน มันจะแอบ Encrypt ไฟล์แบบเงียบ ๆ โดยที่เราไม่รู้ตัว  จากการสาธิต ได้ทดลองนำไฟล์เอกสาร docx, xlsx, pptx และ pdf ใส่โฟลเดอร์วางบน Desktop และไดรฟ์อื่น ๆ กระจายกันไป รวมร้อยกว่าไฟล์  มัลแวร์ก็เริ่มทำงาน ไล่ตามลำดับเรียงชื่อไฟล์ตามตัวอักษร เห็นได้ชัดเจนว่าไฟล์ถูกเข้ารหัส เปลี่ยนนามสกุล ถูกแก้ไขเป็นเวลาปัจจุบัน ไอคอนไฟล์ค่อย ๆ เปลี่ยนไปจนครบทุกไฟล์ในเครื่องอย่างรวดเร็วภายในไม่กี่นาที

ทุกโฟลเดอร์ที่โดน Ransomware เล่นงาน ก็จะมีไฟล์ HELP_TO_SAVE_FILES ทิ้งไว้ให้ดู ว่าต้องทำอย่างไรจึงจะเปิดไฟล์เอกสารนั้นได้อีกครั้ง แต่กว่าจะรู้ตัว มัลแวร์ก็ทำลายตัวเองไปแล้ว

หน้าต่างเตือนให้รู้ว่า ไฟล์เอกสารได้ถูกเข้ารหัสแล้ว ต้องเสียเงินซื้อคีย์มาปลดล็อกจึงจะเปิดไฟล์เอกสารได้ รวมทั้ง Wallpaper ก็ถูกเปลี่ยนให้รู้ตัวว่าโดน Ransomware เล่นงานแล้ว  ทั้งนี้มีเวลาจ่ายเงินซื้อคีย์ปลดล็อกเพียง 96 ชั่วโมง นับถอยหลังจนหมดเวลา หลังจากนั้นไฟล์เอกสารนี้จะปลดล็อกไม่ได้อีกต่อไป

คีย์ปลดล็อก จะได้รับทางอีเมล หลังจากที่จ่ายเงินเรียกค่าไถ่ไปแล้ว ซึ่งในบางครั้งก็จ่ายเงินเสียเปล่าโดยไม่ได้รับคีย์ปลดล็อกกลับมาด้วยซ้ำไป มูลค่าที่ต้องจ่ายก็คิดเป็นเงินหลักหมื่นบาท ชำระด้วยเงินในสกุล Bitcoin ที่หาต้นตอตามจับได้ยากมาก

นั่นคือความเสียหายที่เกิดขึ้นกับข้อมูลในเครื่องหลังจากโดน Ransomware เล่นงานด้วยการเข้ารหัสจนเปิดไฟล์ไม่ได้  หากพยายามใส่รหัสปลดล็อกผิดหลายครั้ง ก็จะทำลายข้อมูลทิ้ง เพื่อป้องกันตัวเองจากการถูก Hack

 

มาทำความรู้จักและวิธีป้องกัน Ransomware จากบทความข้างล่างนี้

เทรนด์ไมโครตรวจสอบสถานการณ์ความปลอดภัยไตรมาสแรก ปี 2558 พบวิธีการโจมตีแบบเดิมๆ ในรูปโฉมใหม่ การโจมตีด้วยมัลแวร์และช่องโหว่ใหม่พุ่งเป้าไปที่ iOS, Adobe, PoS และธุรกิจเฮลท์แคร์

 

สถานการณ์ด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ในช่วงไตรมาสแรกของปี 2558 ประกอบด้วยภัยคุกคามทั้งแบบเก่าและแบบใหม่  ไม่ว่าจะเป็น มัลแวร์ที่แฝงตัวในโฆษณา (Malvertising) การโจมตีช่องโหว่ใหม่ๆ มัลแวร์ รุ่นเก่าที่ใช้มาโคร และช่องโหว่ FREAK ซึ่งมีอายุเก่าแก่กว่าหนึ่งทศวรรษ เป็นเพียงตัวอย่างส่วนหนึ่งของไฮไลต์ที่ระบุอยู่ในรายงานฉบับใหม่ของเทรนด์ไมโคร (TYO: 4704; TSE: 4704) มัลแวร์ที่แฝงตัวในโฆษณาและช่องโหว่ที่เพิ่งค้นพบ: ภัยคุกคามใหม่ๆ ท้าทายความน่าเชื่อถือในระบบซัพพลายเชนและแนวทางปฏิบัติที่เหมาะสม” (Bad Ads and Zero-Days: Reemerging Threats Challenge Trust in Supply Chains and Best Practices)  จากมุมมองของอุตสาหกรรม ระบบชำระเงินในธุรกิจค้าปลีกและเฮลท์แคร์ยังพบเจอกับภัยคุกคามที่เพิ่มสูงขึ้น  รายงานดังกล่าวเน้นย้ำว่าความไว้วางใจของผู้ใช้อาจก่อให้เกิดความเสี่ยงทางด้านไซเบอร์ซีเคียวริตี้อย่างมากในยุคที่ความผิดพลาดแม้เพียงเล็กน้อยก็อาจก่อให้เกิดปัญหาร้ายแรงได้

แม้ว่าเราจะอยู่ในช่วงต้นปี แต่ก็เห็นได้อย่างชัดเจนว่าปี 2558 จะเป็นช่วงเวลาสำคัญในแง่ของปริมาณการโจมตี รวมไปถึงความฉลาดหลักแหลม และความซับซ้อนของการโจมตีไรมันด์ จีนส์ ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของเทรนด์ไมโคร กล่าว การโจมตีที่เพิ่มขึ้นต่อธุรกิจการดูแลสุขภาพ และการเพิ่มขึ้นของมัลแวร์ที่แฝงมากับโฆษณา แสดงให้เห็นว่าผู้ใช้เทคโนโลยีกำลังถูกโจมตีจากทุกด้าน  แน่นอนว่าองค์กรธุรกิจและผู้ใช้ทั่วไปจะต้องดำเนินการเชิงรุกมากขึ้นเพื่อป้องกันภัยคุกคาม  ในฐานะองค์กรธุรกิจ นโยบายความปลอดภัยด้านไอทีของคุณเป็นอย่างไรในสภาพแวดล้อมที่ปราศจากความน่าเชื่อถือ (Zero Trust Environment)?  แนวทางการรักษาความปลอดภัยที่แตกต่างและจริงจังจึงมีความสำคัญอย่างยิ่งต่อการปกป้องทรัพย์สินด้านการเงิน ทรัพย์สินส่วนตัว และทรัพย์สินทางปัญญาให้ปลอดภัย

นอกจากนี้ แอดแวร์ (Adware) ยังครองอันดับสูงสุดในบรรดาภัยคุกคามบนระบบโมบายล์ โดยเทรนด์ไมโครตรวจพบภัยคุกคามบน Android มากกว่า 5 ล้านชนิดจนถึงปัจจุบัน หรือเท่ากับเกือบครึ่งหนึ่งของยอดรวม 8 ล้านที่คาดการณ์ไว้ภายในสิ้นปี 2558  ที่จริงแล้ว แอพอันตรายและแอพความเสี่ยงสูงที่ถูกเทรนด์ไมโครบล็อกไว้โดยมากมีสาเหตุเกี่ยวข้องกับแอดแวร์

นักวิจัยของเทรนด์ไมโครยังตรวจพบการใช้ช่องโหว่ใหม่ๆ เพื่อโจมตีซอฟต์แวร์ของอะโดบี (Adobe) โดยใช้มัลแวร์ที่แฝงตัวในโฆษณา ซึ่งสามารถทำงานได้ถึงแม้เหยื่อไม่ได้เยี่ยมชมหรือโต้ตอบกับเว็บไซต์อันตรายก็ตาม

นอกเหนือจาก iOS™ และระบบชำระเงิน (Point-of-Sale - PoS) ที่ตกเป็นเป้าหมายการโจมตีอย่างต่อเนื่องแล้ว  ธุรกิจเฮลท์แคร์ตกเป็นเป้าหมายใหม่ที่ต้องเผชิญกับการโจมตีทางไซเบอร์ที่เพิ่มขึ้นอย่างมาก เนื่องจากการโจมตีในธุรกิจนี้อยู่ในช่วงเริ่มแรกมานานหลายปี ดังนั้นนักวิจัยจึงเชื่อว่าการเพิ่มขึ้นนี้เป็นผลมาจากการขาดความพร้อม ซึ่งนับเป็นปัญหาสำคัญที่จำเป็นต้องได้รับการจัดการดูแลอย่างจริงจัง

ประเด็นที่เราต้องตั้งคำถามก็คือ เราดำเนินการอย่างเพียงพอแล้วหรือยังเพื่อที่จะปกป้องตัวเราเองจากภัยคุกคามด้านความปลอดภัย?’” จีนส์กล่าวเพิ่มเติม เราจำเป็นที่จะต้องอัพเดตระบบเพื่อป้องกันภัยคุกคามใหม่ๆ อย่างไรก็ตามไตรมาสแรกของปี 2558 แสดงให้เห็นอย่างชัดเจนว่าเราจะต้องระวังภัยคุกคามเดิมๆ ด้วยเช่นกัน โดยครอบคลุมทุกระบบและทุกกลุ่มอุตสาหกรรมอย่างไม่มีข้อยกเว้น

ประเด็นสำคัญที่ระบุไว้ในรายงานมีดังนี้:

  • ธุรกิจเฮลท์แคร์ถูกโจมตีอย่างหนัก: ผู้ให้บริการด้านเฮลท์แคร์หลายราย เช่น Premera Blue Cross และ Anthem ประสบปัญหาข้อมูลรั่วไหล ส่งผลให้ข้อมูลด้านการเงินและการแพทย์ของลูกค้าหลายล้านรายถูกเปิดเผย
  • มีการพบภัยคุกคามเก่าๆ โดยใช้เครื่องมือและกระบวนการใหม่สำหรับการโจมตีแบบเจาะจงเป้าหมาย: Rocket Kitten และผู้ที่อยู่เบื้องหลังการโจมตี Operation Pawn Storm เบนเข็มไปสู่เป้าหมายใหม่ๆ ซึ่งแสดงให้เห็นว่าการโจมตีแบบเจาะจงเป้าหมายกำลังพัฒนาเปลี่ยนแปลงอย่างต่อเนื่อง
  • ชุดเครื่องมือสำหรับการเจาะระบบมีความก้าวล้ำเพิ่มมากขึ้น: ชุดเครื่องมือสำหรับการเจาะระบบมีการเพิ่มเติมช่องโหว่ใหม่ๆ และเพิ่มความน่าสนใจสำหรับผู้โจมตีที่เป็นทั้งมือใหม่และระดับผู้เชี่ยวชาญ
  • มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) มีปริมาณเพิ่มขึ้นอย่างมาก และขยายเข้าสู่องค์กร: มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลขยายฐานเป้าหมายไปสู่ผู้ใช้ในองค์กร โดยไม่ได้ติดตามผู้บริโภคอีกต่อไป
  • มัลแวร์รุ่นเก่าในรูปแบบมาโครยังคงมีประสิทธิภาพ: การกลับมาอีกครั้งของมัลแวร์ในรูปแบบมาโครแสดงให้เห็นว่าอาชญากรไซเบอร์กำลังใช้ประโยชน์จากความไว้วางใจที่ผู้ใช้มีต่อค่าดีฟอลต์ของ Microsoft Office®
  • ช่องโหว่ FREAK ซึ่งมีอายุราวสิบปีก่อให้เกิดปัญหาท้าทายต่อการจัดการแพตช์: เนื่องจากมีช่องโหว่ใหม่ๆ เกิดขึ้นในระบบปฏิบัติการและโปรแกรมโอเพ่นซอร์ส ดังนั้นผู้ดูแลระบบไอทีจึงประสบปัญหาเพิ่มมากขึ้นในการป้องกันความเสี่ยง

รายงานฉบับสมบูรณ์มีอยู่ที่: http://www.trendmicro.com/vinfo/us/security/roundup/

ดูบล็อกโพสต์เกี่ยวกับรายงานดังกล่าวได้ที่นี่: http://blog.trendmicro.com/1q-2015-security-roundup/ 

 

 

 

 

มัลแวร์เรียกค่าไถ่ข้อมูล: 10 ปีของการคุกคาม สร้างความกลัว และขู่กรรโชก

เป็นเวลาราวหนึ่งทศวรรษมาแล้วที่เราเริ่มรู้จักมัลแวร์เรียกค่าไถ่ข้อมูล (Ransomware) ซึ่งเป็นซอฟต์แวร์อันตรายที่ยึดไฟล์ที่สำคัญที่สุดของเหยื่อไว้เป็นตัวประกันเพื่อแลกกับค่าไถ่ (Ransom ซึ่งเป็นที่มาของชื่อมัลแวร์ประเภทนี้)  เราจะมาสำรวจพัฒนาการของมัลแวร์ที่เติบโตอย่างรวดเร็วและกระหายเงินมากที่สุดนี้ ด้วยการศึกษากรณีสำคัญบางกรณีที่เราได้ต่อสู้กับมันมาตลอดระยะเวลาหลายปีที่ผ่านมา

ปี 2549: จุดเริ่มต้น

แม้ว่าสื่อมวลชนได้รายงานเกี่ยวกับกรณีการโจมตีของ Ransomware มากมายตั้งแต่ช่วงกลางปี 2548 แต่รูปแบบของการเข้ารหัสข้อมูลที่ซับซ้อนมากขึ้นเริ่มปรากฏให้เห็นหนึ่งปีต่อมา นั่นคือในปี 2549  รูปแบบหนึ่งในช่วงเริ่มแรกตามที่เรารายงานและตรวจพบก็คือ TROJ_CRYPZIP.A ซึ่งจะค้นหาไฟล์ที่มีนามสกุลบางอย่างในฮาร์ดไดรฟ์ของเหยื่อ จากนั้นก็ซิปไฟล์เหล่านั้น พร้อมทั้งใส่รหัสผ่านให้กับไฟล์ซิป ก่อนที่จะลบไฟล์ต้นฉบับ หากผู้ใช้ไม่มีข้อมูลแบ็คอัพเก็บไว้ที่อื่น ก็จะเหลือเฉพาะไฟล์ที่ถูกเก็บไว้ในไฟล์ซิปดังกล่าว นอกจากนี้ TROJ_CRYPZIP.A ยังสร้างไฟล์ข้อความที่ทำหน้าที่เป็นจดหมายเรียกค่าไถ่ โดยจะแจ้งให้ผู้ใช้จ่ายค่าไถ่เป็นจำนวนเงิน 300 ดอลลาร์ เพื่อแลกกับรหัสผ่านสำหรับการเปิดไฟล์ซิป

แน่นอนว่านี่เป็นความพยายามแรกๆ ของ Ransomware ในการล่อลวงเงินจากผู้ใช้ที่ไม่รู้เรื่องรู้ราว แต่ก็ยังคงมีข้อบกพร่องอยู่ กล่าวคือ รหัสผ่านที่ใช้สำหรับเรียกค่าไถ่ที่จริงแล้วอยู่ในไฟล์ส่วนประกอบของมัลแวร์ นั่นคือไฟล์ .DLL ซึ่งเปิดดูได้ง่ายๆ โดยไม่มีการเข้ารหัสไว้แต่อย่างใด

ปี 2554: ช่วงเวลาของการทดลอง

5 ปีหลังจากนั้น เราพบว่า Ransomware ได้พัฒนาจนครอบคลุมระบบชำระเงินผ่านโทรศัพท์มือถือ โดยในช่วงปี 2554 ตรวจพบ TROJ_RANSOM.QOWA ที่แพร่ระบาดในรัสเซีย แทนที่จะยึดไฟล์เอาไว้เพื่อเรียกค่าไถ่ Ransomware ประเภทนี้ป้องกันไม่ให้ผู้ใช้เข้าถึงเดสก์ท็อป ด้วยการแสดงโฮมเพจที่เรียกร้องเงินค่าไถ่ 360 รูเบิล (ประมาณ 12 ดอลลาร์ในขณะนั้น) เหยื่อจะต้องโทรศัพท์ไปยังเลขหมายพิเศษที่กำหนดและยอมรับค่าธรรมเนียมเสียก่อนจึงจะสามารถเข้าถึงระบบได้อีกครั้ง

แม้ว่าปัญหานี้ยังไม่น่ากลัวเท่าไร แต่ในไม่ช้า Ransomware จะกลายเป็นอสูรร้ายที่เรียกร้องค่าไถ่ที่สูงลิ่ว และร้ายแรง ในครั้งนี้แม้ว่าจะเรียกร้องค่าไถ่เพียงแค่ 12 ดอลลาร์ แต่ปฏิบัติการนี้สามารถรวบรวมเงินได้อย่างน้อย 30,000 ดอลลาร์จากเหยื่อราว 2,500 รายในช่วงเวลาเพียงแค่ 5 สัปดาห์ ทั้งนี้พบว่ามัลแวร์ดังกล่าวถูกดาวน์โหลดจากเว็บไซต์ลามกอนาจารกว่า 137,000 ครั้ง ภายในช่วงเวลา 1 เดือนก่อนหน้านั้น โดยผู้ดาวน์โหลดส่วนใหญ่เป็นผู้ใช้ชาวรัสเซีย

ราคาที่ถูกและวิธีการชำระเงินที่ง่ายดายอาจช่วยให้แผนนี้ทำเงินได้มากขึ้น เพราะถ้าเป็นคุณเอง คุณก็อาจจะยอมจ่ายเงินเพียงแค่ 12 ดอลลาร์เพื่อให้สามารถใช้คอมพิวเตอร์ของคุณได้อีกครั้ง เงินจำนวนนี้เล็กน้อยมาก เมื่อเปรียบเทียบกับ Ransomware ตัวอื่นๆ ซึ่งนั่นก็อาจเป็นทางเลือกที่ง่ายดายเช่นกัน

ตัวเลขเหล่านี้แสดงให้เห็นถึงศักยภาพของ Ransomware ในการสร้างรายได้ อาชญากรไซเบอร์ที่ล่อลวงให้ผู้ใช้ดาวน์โหลดมัลแวร์ที่ทำให้ผู้ใช้เข้าใช้ไฟล์และคอมพิวเตอร์ของตัวเองไม่ได้นับว่ามีประสิทธิภาพอย่างมากเลยทีเดียว  นอกจากนี้ยังแสดงให้เห็นถึงความสำคัญของการแพร่กระจายของมัลแวร์ที่มีประสิทธิภาพ กล่าวอย่างชัดเจนก็คือ กรณีนี้แสดงให้เห็นว่าสื่อลามกอนาจารสามารถล่อหลอกชาวรัสเซียจำนวนมากให้ดาวน์โหลดมัลแวร์

ปี 2555: ช่วงเติบโต และกลวิธีสร้างความกลัว

ปี 2555 เป็นช่วงเวลาที่ Ransomware เฟื่องฟู ไม่เพียงทั้งในแง่ของอันตราย รูปแบบการทำงาน และประสิทธิภาพโดยรวม แต่ยังรวมไปถึงการแพร่กระจายไปยังภูมิภาคใหม่ๆด้วย โดยในช่วงปีนี้ Ransomware เปลี่ยนแปลงวิธีการยึดไฟล์และคอมพิวเตอร์ไว้เป็นตัวประกัน รวมไปถึงวิธีการเรียกร้องค่าไถ่ นอกจากนี้ยังเริ่มเจาะกลุ่มเป้าหมายที่อยู่นอกรัสเซีย และในช่วงนี้เช่นกันที่ Ransomware เริ่มต้นใช้กลวิธีการสร้างความกลัวในกรณีที่เกี่ยวข้องกับ Police Ransomware ที่มีชื่อว่า REVETON โดยเป็นชุด Ransomware ที่โจมตีเหยื่อในยุโรปและสหรัฐฯ

 

REVETON ทำให้ผู้ใช้ยอมจ่ายเงิน ด้วยการโน้มน้าวว่าผู้ใช้ได้กระทำบางสิ่งที่ผิดกฎหมาย (เช่น ติดตั้งซอฟต์แวร์เถื่อน) ดังนั้นจะต้องจ่ายค่าปรับ หรือไม่ก็ต้องเสี่ยงต่อการถูกจับกุมหรือถูกตัดสินลงโทษจำคุก Ransomware ชนิดนี้จะตรวจสอบตำแหน่งพิกัดของระบบของเหยื่อ ซึ่งใช้สำหรับส่ง จดหมายเรียกค่าไถ่ที่เขียนเป็นภาษาที่เหยื่อใช้ นอกจากนี้ ข้อความเรียกค่าไถ่ยังมีโลโก้ของหน่วยงานบังคับใช้กฎหมายในท้องถิ่นของเหยื่อ (เช่น ข้อความจาก FBI ในสหรัฐฯ หรือข้อความจากสำนักงานตำรวจแห่งชาติสำหรับผู้ใช้ในฝรั่งเศส) เพื่อขู่ให้เหยื่อหวาดกลัวและยอมจ่ายเงิน

ถึงแม้ว่าเหยื่อเกิดสงสัยและไม่ทำตามคำแจ้งเตือนนี้ เหยื่อก็ยังถูกบีบบังคับให้จ่ายค่าปรับอยู่ดี โดยจะต้องโอนเงินมากถึง 200 ดอลลาร์ผ่านบริการโอนเงิน เช่น Ukash เพราะ REVETON จะล็อคระบบทั้งหมด ทำให้ผู้ใช้ไม่สามารถเข้าถึงเนื้อหาหรือโปรแกรมใดๆ ได้

นอกจากนี้ REVETON ยังสามารถแพร่กระจายผ่านเว็บไซต์ที่ถูกโจมตีได้ ซึ่งนับเป็นช่องทางใหม่สำหรับ Ransomware เช่นกัน

ปี 2556: การเข้ารหัสถูกพัฒนาอย่างสมบูรณ์

ปี 2556 เป็นช่วงเวลาของการเปิดตัวรูปแบบที่อันตรายที่สุดของ Ransomware นั่นคือ Cryptolocker ซึ่งนอกจากจะล็อคระบบทั้งหมดจนไม่สามารถใช้งานได้แล้ว ยังเข้ารหัสไฟล์ในลักษณะที่ไม่สามารถกู้คืนได้ นอกเสียจากว่าผู้ใช้จะจ่ายค่าไถ่เสียก่อน

 

เข้ารหัส 2 วิธีในเวลาเดียวกัน โดยวิธีแรกใช้ AES (Advanced Encryption Standard ใช้คีย์ชุดเดียวในการเข้ารหัสและถอดรหัสข้อมูล) เพื่อเข้ารหัสไฟล์ในระบบที่ถูกโจมตี ถ้าหาก Cryptolocker ใช้วิธีนี้เพียงอย่างเดียว ก็จะสามารถแก้ไขปัญหาได้อย่างรวดเร็ว เพราะสิ่งที่ผู้ใช้จะต้องทำก็เพียงแค่ค้นหาคีย์นั้นๆ และคีย์ดังกล่าวก็ถูกเขียนไว้ในไฟล์ที่เข้ารหัส แม้ว่าจะต้องใช้เวลาและความพยายามอยู่บ้าง แต่ก็สามารถถอดรหัสข้อมูลได้โดยไม่จำเป็นต้องจ่ายค่าไถ่

แต่ที่จริงแล้ว Cryptolocker ไม่ได้หยุดเพียงแค่นั้น เพราะมีการใช้วิธีการเข้ารหัสอีกวิธีหนึ่ง นั่นคือ RSA เพื่อเข้ารหัสคีย์ AES ทั้งนี้ RSA เป็นวิธีการเข้ารหัสที่ใช้คีย์แยกต่างหาก 2 ชุดสำหรับการเข้ารหัสและถอดรหัส และในกรณีนี้ อาชญากรไซเบอร์เก็บคีย์ถอดรหัสเอาไว้ ดังนั้นจึงไม่สามารถค้นหาหรือคาดเดาได้  โดยพื้นฐานแล้ว Cryptolocker บีบบังคับให้เหยื่อยอมจ่ายเงินค่าไถ่ หรือมิฉะนั้นก็จะต้องสูญเสียทุกสิ่ง  อย่างไรก็ตาม นี่ไม่ใช่ปัญหาเล็กๆ ที่จะสามารถแก้ไขได้ด้วยการจ่ายค่าไถ่ 12 ดอลลาร์ เพราะค่าไถ่สำหรับ Cryptolocker อาจสูงถึง 300 ดอลลาร์เลยทีเดียว  และเนื่องจากไม่มีหนทางที่จะถอดรหัสข้อมูลเองได้ ดังนั้นเหยื่อจึงอาจประสบปัญหาร้ายแรงอย่างมาก

นอกจากนั้น ในช่วงปี 2556 เรายังพบว่า Ransomware มีช่องทางใหม่ๆ ในการแพร่กระจาย กล่าวคือ แคมเปญสแปมทำหน้าที่แพร่กระจาย Cryptolocker โดยใช้ UPATRE และ ZBOT เพื่อแทรกซึมเข้าสู่ระบบของเหยื่อ จากนั้นเราก็พบ Ransomware ที่แพร่กระจายผ่านไดรฟ์แบบถอดออกได้ โดยใช้คำสั่งการแพร่ระบาดที่เหมือนกับที่ใช้โดยมัลแวร์ประเภทเวิร์ม (Worm) (โดยชื่อที่ตรวจพบคือ WORM_CRILOCK.A)

ปี 2557-2558: Crypto-ransomware และ Cryptocurrency

จากจุดนี้ Ransomware เริ่มจะมีพัฒนาการที่ช้าลง หลังจากที่ค้นพบ รูปแบบที่ลงตัวและใช้รูปแบบนี้อย่างต่อเนื่อง แต่มีการปรับแต่งเพิ่มเติมเล็กๆ น้อยๆ มาโดยตลอด ช่วงต้นปี 2557 เราพบเจอ TROJ_CRYPTRBIT.H ซึ่งทำงานในลักษณะเดียวกันกับ Cryptolocker แต่มีการเปลี่ยนแปลงเล็กน้อย นั่นคือ เหยื่อจะต้องจ่ายค่าไถ่ด้วยเงินดิจิตอลหรือ บิตคอยน์” (Bitcoins) แทนที่จะใช้วิธีการโอนเงินตามปกติ และหลังจากนั้นก็มี การปรับปรุงเพิ่มเติม เช่น การใช้มัลแวร์ที่ขโมยเงินจาก Bitcoin Wallet (CRIBIT) ของเหยื่อ และมัลแวร์ที่ใช้เบราว์เซอร์ Darknet เพื่อปกปิดร่องรอย (CTBLocker) โดย TorrentLocker ซึ่งเป็นหนึ่งใน Ransomware รุ่นล่าสุด จะใช้โค้ด CAPTCHA และการเปลี่ยนทิศทางไปยังเว็บไซต์ปลอม เพื่อโจมตีระบบของเหยื่อ

 

ช่วงเวลา 2557 ถึง 2558 ยังแสดงให้เห็นถึงพัฒนาการของมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) ซึ่งพุ่งเป้าโจมตีองค์กรต่างๆ โดยมีหลากหลายรูปแบบ เช่น CryptoFortress ซึ่งสามารถเข้ารหัสไฟล์ในทรัพยากรเครือข่ายที่ใช้งานร่วมกัน และ Ransomweb ซึ่งเข้ารหัสเว็บไซต์และเว็บเซิร์ฟเวอร์  Ransomware เหล่านี้ทำงานในลักษณะเดียวกัน แต่ก่อให้เกิดผลกระทบอย่างกว้างขวางมากขึ้น หาก Ransomware ล็อคคอมพิวเตอร์ภายในบ้านก็ถือว่าแย่พอแล้ว เพราะผู้ใช้จะไม่สามารถเข้าถึงไฟล์เพลงที่เก็บสะสมไว้ รวมถึงภาพถ่ายครอบครัวอันมีค่า หรือไฟล์เกมที่บันทึกเอาไว้ แต่หากมัลแวร์สามารถหยุดยั้งการดำเนินงานของบริษัทเพราะไม่มีใครสามารถเข้าใช้งานคอมพิวเตอร์ได้ คุณคิดว่าจะเกิดหายนะมากเพียงใด!!

2558-ปัจจุบัน: กรณีสำหรับอนาคตที่ปลอดจาก Ransomware

Ransomware คือมัลแวร์ประเภทหนึ่งที่อันตรายอย่างมาก หากระบบโดนจู่โจมจาก Ransomware รุ่นใหม่ๆ อย่างเช่น Torrentlocker และ CTBLocker จะกลายเป็นฝันร้ายสำหรับผู้ใช้ที่ให้ความสำคัญกับข้อมูลที่มีอยู่ รวมไปถึงผู้ใช้ที่ไม่มีเงินมากพอสำหรับการจ่ายค่าไถ่ (เราขอแนะนำว่าคุณไม่ควรจ่ายค่าไถ่เป็นอันขาด เพราะจะเป็นการส่งเสริมให้อาชญากรรมไซเบอร์ประเภทนี้ยังคงมีอยู่ต่อไป) และตอนนี้ ยังไม่มีวิธีการแก้ไขปัญหาแบบครอบจักรวาลสำหรับกรณีการถูกจู่โจมของ Ransomware อย่างไรก็ตาม คุณสามารถตรวจสอบให้แน่ใจว่าคุณได้รับการปกป้องอย่างเหมาะสม

วิธีการเยียวยาและป้องกัน Ransomware

ผู้ใช้ที่โดนจู่โจมจาก Ransomware ควรดำเนินการดังต่อไปนี้:

  • ปิดใช้งานการกู้คืนระบบ (System Restore)
  • รันโปรแกรมป้องกันมัลแวร์ เพื่อสแกนและลบไฟล์ที่เกี่ยวข้องกับ Ransomware

Ransomware บางประเภทอาจต้องใช้ขั้นตอนเพิ่มเติมสำหรับการลบ เช่น การลบไฟล์ใน Windows Recovery Console โดยคุณจะต้องดำเนินการตามขั้นตอนทั้งหมดที่จำเป็น เพื่อลบไฟล์ Ransomware ที่เฉพาะเจาะจงออกจากคอมพิวเตอร์ของคุณ

เพื่อป้องกันความเสี่ยงในการถูกจู่โจมของ Ransomware ให้ปฏิบัติดังต่อไปนี้:

  • แบ็คอัพไฟล์ของคุณอย่างสม่ำเสมอ
  • ติดตั้งแพตช์ซอฟต์แวร์ทันทีที่มีการประกาศ เนื่องจาก Ransomware บางประเภทเล็ดลอดเข้าสู่ระบบโดยผ่านทางช่องโหว่
  • ใส่บุ๊คมาร์คสำหรับเว็บไซต์ที่เชื่อถือได้ และเข้าถึงเว็บไซต์เหล่านั้นผ่านทางบุ๊คมาร์ค
  • ดาวน์โหลดไฟล์แนบอีเมลจากแหล่งที่เชื่อถือได้เท่านั้น
  • สแกนระบบของคุณอย่างสม่ำเสมอด้วยโปรแกรมป้องกันมัลแวร์

 

 

 

 

ข้อมูลเบื้องต้นเกี่ยวกับมัลแวร์เรียกค่าไถ่: อะไร อย่างไร และเพราะเหตุใด

ถึงแม้ว่ามัลแวร์ Ransomware ไม่ใช่เรื่องใหม่ แต่ก็ยังมีผู้ใช้อีกจำนวนมากที่ยังคงตกเป็นเหยื่อของ Ransomware โดยไม่รู้ว่าอุปกรณ์ของตนเองโดนโจมตี ผู้ใช้อาจดาวน์โหลด Ransomware โดยไม่รู้ตัว ด้วยการเข้าชมเว็บไซต์อันตรายหรือเว็บไซต์ที่โดน Ransomware โจมตีอยู่แล้ว หรือมัลแวร์อื่นๆ อาจปล่อยหรือดาวน์โหลด Ransomware เข้าสู่ระบบของผู้ใช้ อย่างไรก็ดี การจ่ายค่าไถ่ไม่ได้เป็นการรับประกันว่าผู้ใช้จะเข้าถึงข้อมูลดิจิตอลของตนเองได้อีกครั้ง

Ransomware เริ่มเป็นที่พูดถึงในช่วงหลายปีที่ผ่านมา สามารถสร้างรายได้จากเหยื่อที่ไม่มีความรู้ ตั้งแต่ช่วงปี 2548-2549 ในประเทศรัสเซีย โดยในช่วงเริ่มแรก Ransomware ยึดไฟล์ของผู้ใช้เป็นตัวประกันเพื่อเรียกค่าไถ่ ด้วยการค้นหาไฟล์ที่มีนามสกุลบางอย่าง ซิปไฟล์ดังกล่าว และเขียนทับไฟล์ต้นฉบับ หลังจากนั้น วิธีการที่ใช้ได้พัฒนาเปลี่ยนแปลงเรื่อยมา ในช่วงปี 2554 เราเริ่มพบเห็น SMS Ransomware ที่ผู้ใช้ระบบที่ติดเชื้อจะได้รับคำสั่งให้โทรศัพท์ไปยังเลขหมาย SMS ที่คิดค่าบริการพิเศษ

Ransomware บางประเภทได้พัฒนาจากมัลแวร์ที่สร้างความกลัว (Scareware) ไปสู่มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) ซึ่งเป็น Ransomware ขั้นสูงที่ล้ำหน้ามากขึ้น ด้วยการเข้ารหัสไฟล์ที่ตกเป็นตัวประกัน ในช่วงปลายปี 2556 เราตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลที่มีชื่อว่า CryptoLocker ซึ่งเข้ารหัสไฟล์และล็อคระบบของเหยื่อ สิ่งที่เหมือนกับ Ransomware รุ่นก่อนหน้าก็คือ CryptoLocker เรียกร้องเงินค่าไถ่จากผู้ใช้ เพื่อแลกกับการปลดล็อคไฟล์ที่เข้ารหัส  CryptoLocker พัฒนาและเพิ่มเติมกลวิธีใหม่ๆ อย่างต่อเนื่อง เพื่อหลบเลี่ยงการตรวจจับ

ในช่วงไตรมาสที่สามของปี 2557 มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลครองสัดส่วนหนึ่งในสามของ Ransomware ทุกประเภทที่พบในระบบที่ติดเชื้อ มัลแวร์ประเภทนี้มีแพร่กระจายเพิ่มขึ้นอย่างต่อเนื่อง  ข้อมูลที่เก็บรวบรวมได้ในช่วงไตรมาสสุดท้ายของปี 2557 แสดงให้เห็นว่า Crypto-Ransomware เพิ่มขึ้นจาก 19% เป็นกว่า 30% ในช่วง 12 เดือนที่ผ่านมา

เมื่อไม่นานมานี้ เราตรวจสอบ Ransomware ชนิดใหม่ที่มีชื่อว่า TorrentLocker ซึ่งพุ่งเป้าโจมตีองค์กรต่างๆ เกือบ 4,000 แห่ง และส่งผลกระทบต่อผู้ใช้ทั่วโลก โดยทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์ของตนเองได้ นอกเสียจากว่าจะจ่ายเงินค่าไถ่จำนวนมากเสียก่อน

ข้อมูลเพิ่มเติมเกี่ยวกับมัลแวร์เรียกค่าไถ่: มัลแวร์เรียกค่าไถ่คืออะไร และคุณจะปกป้องตัวเองได้อย่างไร

วิธีการทำงานของมัลแวร์เรียกค่าไถ่

ลักษณะการโจมตีของ Ransomware จะขึ้นอยู่กับแรงจูงใจของผู้โจมตี  โดยทั่วไปแล้ว อาชญากรไซเบอร์มักจะสร้างโค้ดที่ออกแบบเป็นพิเศษเพื่อเข้าควบคุมคอมพิวเตอร์และยึดไฟล์ไว้เป็นตัวประกัน  ไฟล์ดังกล่าวจะถูกเข้ารหัส และเหยื่อจะไม่สามารถเข้าถึงไฟล์ได้อีกต่อไป  Ransomware นี้เมื่อเริ่มทำงานในระบบคอมพิวเตอร์ จะสามารถ (1) ล็อคหน้าจอคอมพิวเตอร์ หรือ (2) เข้ารหัสไฟล์ที่กำหนด  ในกรณีแรก ระบบที่ติดเชื้อจะแสดงภาพเต็มหน้าจอหรือการแจ้งเตือนที่ระบุว่าเหยื่อจะไม่สามารถใช้ระบบดังกล่าวได้ นอกเสียจากว่าจะจ่ายค่าธรรมเนียมหรือ ค่าไถ่”  นอกจากนี้ยังแสดงคำแนะนำเกี่ยวกับวิธีการจ่ายค่าไถ่ เพื่อแลกกับการเข้าถึงระบบ ส่วน Ransomware ชนิดที่สองจะล็อคไฟล์ต่างๆ เช่น เอกสาร สเปรดชีต และไฟล์สำคัญอื่นๆ

จำนวนเงินค่าไถ่อาจแตกต่างกันไป ตั้งแต่จำนวนเล็กน้อยไปจนถึงหลายร้อยดอลลาร์  ผู้โจมตีจะยังคงสามารถแสวงหากำไรได้ ไม่ว่าจำนวนเงินค่าไถ่จะมากน้อยเพียงใดก็ตาม เพราะสิ่งสำคัญขึ้นอยู่กับจำนวนคอมพิวเตอร์ที่ติดเชื้อ เหยื่อมักจะถูกเรียกร้องให้จ่ายเงินค่าไถ่ด้วยวิธีการทางออนไลน์  หากผู้ใช้ไม่ยอมจ่ายเงินค่าไถ่ ผู้โจมตีก็อาจสร้างมัลแวร์เพิ่มเติมเพื่อทำลายไฟล์จนกว่าจะมีการจ่ายเงินค่าไถ่

สามารถดู "การทำงานของ TorrentLocker" ในวิดีโอตาม URL ด้านล่างนี้: https://www.youtube.com/watch?v=fNyQVePEyxg

วิธีป้องกันไม่ให้ตกเป็นเหยื่อ

Ransomware เป็นมัลแวร์ที่ซับซ้อนเป็นพิเศษ และแม้ว่าผู้เชี่ยวชาญอาจรู้วิธีการปิดใช้งานมัลแวร์ประเภทนี้ แต่ผู้ใช้ทั่วไปก็สามารถป้องกันปัญหาด้วยการปฏิบัติตามมาตรการด้านความปลอดภัย โปรดจำไว้ว่าในบางกรณี อาจไม่สามารถทำการกู้ข้อมูลโดยไม่จ่ายค่าไถ่ และนี่คือเหตุผลที่เราควรจะแบ็คอัพไฟล์ข้อมูลอย่างสม่ำเสมอเพื่อป้องกันความสูญเสีย

เคล็ดลับบางประการที่จะช่วยปกป้องคุณให้ปลอดภัยจากการโจมตี

·       แบ็คอัพไฟล์ของคุณอย่างสม่ำเสมอ กฎ 3-2-1 ใช้ได้กับกรณีนี้ กล่าวคือ แบ็คอัพข้อมูลของคุณเอาไว้ 3 ชุด และเก็บไว้บนสื่อบันทึก 2 ชุดที่แตกต่างกัน โดยสำเนา 1 ชุดจะต้องเก็บไว้ในสถานที่ตั้งที่แยกต่างหาก

·       ใส่บุ๊คมาร์คสำหรับเว็บไซต์ที่คุณชื่นชอบ และเข้าถึงเว็บไซต์ดังกล่าวผ่านทางบุ๊คมาร์คเท่านั้นผู้โจมตีจะสามารถสอดแทรกโค้ดอันตรายไว้ใน URL และนำผู้ใช้ไปยังเว็บไซต์อันตรายเพื่อให้ดาวน์โหลดมัลแวร์เรียกค่าไถ่  การใส่บุ๊คมาร์คสำหรับเว็บไซต์ที่เชื่อถือได้ซึ่งคุณเข้าเยี่ยมชมเป็นประจำจะช่วยป้องกันไม่ให้คุณพิมพ์ป้อนแอดเดรสผิดพลาด

·       ตรวจสอบแหล่งที่มาของอีเมล์แม้ว่าแนวทางนี้อาจดูยุ่งยาก แต่การเพิ่มความระมัดระวังก่อนที่จะเปิดลิงค์หรือไฟล์แนบอีเมลย่อมจะเป็นประโยชน์แก่คุณ  ทางที่ดีคุณควรจะตรวจสอบกับผู้ติดต่อก่อนที่จะคลิก

·       อัพเดตซอฟต์แวร์ความปลอดภัยการใช้ซอฟต์แวร์ความปลอดภัยจะช่วยเพิ่มเติมการปกป้องอีกระดับ เพื่อป้องกันการติดเชื้อในทุกๆ จุดที่เป็นไปได้  โดยเฉพาะอย่างยิ่งจะช่วยป้องกันการเข้าถึงเว็บไซต์อันตรายที่มี Ransomware และที่สำคัญก็คือ จะทำหน้าที่ตรวจจับและลบ Ransomware ที่พบในระบบ  

Share this Article: