fbpx Skip to content

Ransomware คืออะไร ทำงานอย่างไร พร้อมวิธีแก้ไข

Ransomware คือ

 97 views

ล่าสุด Ransomware ยังคงเป็นภัยคุกคามร้ายแรงอันดับหนึ่งของโลกไซเบอร์ วันนี้ ProSpace จะพาไปรู้จักมัลแวร์ที่ชื่อแรนซัมแวร์ การเข้ารหัสไฟล์ (Encryption) และวิธีการทำงานของมันอย่างละเอียดกัน

 

Ransomware คืออะไร

 

Ransomware คือมัลแวร์ชนิดหนึ่งที่เข้ารหัสไฟล์ของเหยื่อแล้วขโมยข้อมูลของเหยื่อไป จากนั้นผู้โจมตีก็จะเรียกค่าไถ่จากเหยื่อ เพื่อให้เหยื่อจ่ายเงินแลกกับการได้ข้อมูลคืน โดยส่วนใหญ่แล้วเหยื่อจะยอมจ่ายเงินเพื่อขอข้อมูลคืน และค่าไถ่จะอยู่ระหว่างไม่กี่พันบาทจนถึงหลักหมื่น หรือจ่ายในรูปแบบของ Bitcoin

 

Ransomware

 

วิธีการทำงานของ Ransomware

 

Ransomware จำนวนมากสามารถเข้าถึงคอมพิวเตอร์ได้ง่าย ๆ และหนึ่งในวิธีที่ใช้เข้าถึงระบบมากที่สุดคือการใช้ phishing spam (Phishing spam คือไฟล์อะไรก็ตามที่แนบมากับอีเมลที่ส่งหาเหยื่อ) ปลอมตัวเป็นอีเมลที่น่าเชื่อถือ เมื่อเหยื่อดาวน์โหลดและเปิดไฟล์ที่แนบมาแล้ว ผู้โจมตีก็สามารถเข้าครอบครองคอมพิวเตอร์ของเหยื่อได้เลย โดยเฉพาะอย่างยิ่งหากผู้โจมตีใช้เครื่องมือ social engineering ที่หลอกลวงเหยื่อเพื่อจะได้เข้าไปถึง administrative access นอกจากนี้ ransomware ยังมีในรูปแบบอื่น ๆ อีก เช่น NotPetya ที่ใช้ประโยชน์จากช่องโหว่ security ในการเข้าไปในคอมพิวเตอร์ของเหยื่อ โดยไม่จำเป็นต้องหลอกลวงเหยื่อเลย

 

มัลแวร์สามารถทำอะไรกับคอมพิวเตอร์ของเหยื่อได้หลายอย่างเลย และวิธีที่พบบ่อยที่สุดคือการเข้ารหัสไฟล์ของผู้ใช้ ส่วนการที่จะถอดรหัสได้นั้นก็มีเพียงผู้โจมตีเท่านั้นที่ทำได้ ในกรณีที่ผู้ใช้โดนมัลแวร์โจมตี ระบบจะขึ้นข้อความประมาณว่า “ตอนนี้คุณไม่สามารถเข้าถึงไฟล์ได้แล้ว และถ้าจะให้ถอดรหัสให้คุณต้องจ่ายเงินเป็น Bitcoinให้เรา”

 

malware

 

มัลแวร์บางรูปแบบผู้โจมตีอาจอ้างว่าเป็นหน่วยงานบังคับใช้กฎหมาย เพื่อที่จะระงับการใช้คอมพิวเตอร์ของเหยื่อ โดยอ้างว่าพบสื่อลามกหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ และบอกให้เหยื่อชำระ “ค่าปรับ” อีกทั้งวิธีนี้ยังมีความเสี่ยงน้อยที่เหยื่อจะไปแจ้งความ แต่การโจมตีส่วนใหญ่มักจะไม่ใช้วิธีนี้ นอกจากนี้ยังมีมัลแวร์ในรูปแบบอื่นอีกที่เรียกว่า Leakware หรือ Doxware ซึ่งผู้โจมตีจะขู่เหยื่อว่าจะเปิดเผยข้อมูลสำคัญจากฮาร์ดไดรฟ์ของเหยื่อ เว้นแต่ว่าเหยื่อจะจ่ายค่าไถ่ให้ก่อน อย่างไรก็ตามวิธีนี้เป็นวิธีที่ยุ่งยากสำหรับผู้โจมตี เพราะต้องค้นหาข้อมูลมาเป็นข้อเสนอ ดังนั้นการเข้ารหัส Ransomware จึงเป็นรูปแบบที่พบมากที่สุด

 

ใครคือเป้าหมายของ Ransomware

 

ผู้โจมตีมีหลายวิธีในการเลือกเป้าหมายที่จะโจมตี และบางครั้งมันก็เป็นเรื่องของโอกาสด้วย ตัวอย่างเช่นผู้โจมตีกำหนดเป้าหมายเป็นมหาวิทยาลัย เพราะมีทีมรักษาความปลอดภัยน้อย และมีเหยื่อมากมายที่ใช้การแชร์ไฟล์ ทำให้ง่ายต่อการเจาะเข้าระบบของพวกเขา

 

องค์กร

 

ในทางกลับกันบางองค์กรก็ดึงดูดผู้โจมตีเอง เพราะดูเหมือนจะจ่ายค่าไถ่ได้เร็ว ตัวอย่างเช่นหน่วยงานราชการหรือองค์กรทางการแพทย์ที่มักจะต้องใช้ไฟล์ข้อมูลอยู่ตลอดเวลา รวมถึงบริษัทกฎหมาย และองค์กรอื่น ๆ ที่มีข้อมูลสำคัญ ๆ ซึ่งเป้าหมายเหล่านี้อาจจำใจต้องจ่ายเพื่อให้ข่าวลือมันเงียบไป และเป้าหมายเหล่านี้มักกลัว leakware attacks หรือคำขู่จากผู้โจมตีที่อ้างว่าจะเปิดเผยข้อมูลออกไปหากไม่จ่ายเงินด้วย

 

วิธีป้องกัน Ransomware

 

มีหลายวิธีในการป้องกัน Ransomware ซึ่งวิธีข้างล่างนี้เป็นวิธีป้องกันด้าน security ทั่ว ๆ ไป ดังนั้นวิธีที่ดีที่สุดคือเราควรหมั่นอัปเดตข่าวสารวิธีป้องกันการโจมตีทุกรูปแบบอยู่บ่อย ๆ

 

  • หมั่นอัปเดต patche อยู่เสมอ เพื่อจะได้มีช่องโหว่น้อยลง
  • อย่าติดตั้งซอฟต์แวร์หรือให้สิทธิ์ผู้ดูแลระบบกับคนอื่น
  • ติดตั้งซอฟต์แวร์ป้องกันไวรัสที่สามารถตรวจจับโปรแกรมที่เป็นอันตราย เช่น Ransomware ได้ และติดตั้ง whitelisting ซอฟต์แวร์ด้วย เพื่อช่วยป้องกันไม่ให้แอปพลิเคชันที่ไม่ได้รับอนุญาตผ่านเข้ามาได้
  • Backup ไฟล์บ่อย ๆ ถึงแม้ว่ามันจะไม่ได้ช่วยหยุดการโจมตีจากมัลแวร์ แต่มันช่วยสร้างความเสียหายได้น้อยลงมาก กรณีถ้าในอนาคตคุณถูกโจมตีน่ะนะ

 

วิธีแก้ Ransomware

 

Steve Ragan จาก CSO ได้ทำวิดีโอนี้ขึ้นมา เพื่อสอนวิธีแก้ไขกรณีโดน ransomware โจมตี ผ่าน Windows 10

 

 

วิดีโอนี้มีรายละเอียดที่สำคัญคือ:

 

  • รีบูต Windows 10 เป็นเซฟโหมด
  • ติดตั้งซอฟต์แวร์ antimalware
  • สแกนระบบเพื่อค้นหา ransomware
  • Restore คอมพิวเตอร์ให้เป็นสถานะก่อนหน้านี้

 

อย่างไรก็ตาม วิธีแก้ไขข้างต้นมันไม่ได้ไปถอดรหัสไฟล์ซะทีเดียว และหากมัลแวร์ที่เจอมีความซับซ้อนมากกว่านี้ มันก็ยากที่จะถอดรหัสโดยไม่เข้าถึงผู้โจมตี อย่างไรก็ตาม การลบมัลแวร์ทำให้ผู้โจมตีไม่สามารถกู้ไฟล์ของคุณมาได้ คุณก็จะได้ไม่ต้องไปจ่ายค่าไถ่ตามที่ผู้โจมตีขอ

 

อ่านบทความที่เกี่ยวข้อง:  เอาแล้ว! Exchange Servers โดน Ransomware จากแฮกเกอร์ชาวจีนโจมตีเป็นครั้งแรก

 

ที่มา:

 

 

ติดต่อเจ้าหน้าที่ เพื่อปรึกษาหรือขอคำแนะนำด้าน Cybersecurity