Ransomware คือ สิ่งที่ยังคงเป็นภัยคุกคามร้ายแรงอันดับหนึ่งของโลกไซเบอร์ วันนี้ ProSpace จะพาไปรู้จักมัลแวร์ที่ชื่อแรนซัมแวร์ การเข้ารหัสไฟล์ (Encryption) และวิธีการทำงานของมันอย่างละเอียดกัน
Ransomware คือ อะไร
Ransomware เป็นมัลแวร์ชนิดหนึ่งที่เข้ารหัสไฟล์ของเหยื่อแล้วขโมยข้อมูลของเหยื่อไป
จากนั้นผู้โจมตีก็จะเรียกค่าไถ่จากเหยื่อ เพื่อให้เหยื่อจ่ายเงินแลกกับการได้ข้อมูลคืน โดยส่วนใหญ่แล้วเหยื่อจะยอมจ่ายเงินเพื่อขอข้อมูลคืน และค่าไถ่จะอยู่ระหว่างไม่กี่พันบาทจนถึงหลักหมื่น หรือจ่ายในรูปแบบของ Bitcoin
วิธีการทำงานของ Ransomware
Ransomware จำนวนมากสามารถเข้าถึงคอมพิวเตอร์ได้ง่าย ๆ และหนึ่งในวิธีที่ใช้เข้าถึงระบบมากที่สุดคือการใช้
1. Phishing spam ไฟล์อะไรก็ตามที่แนบมากับอีเมลที่ส่งหเหยื่อ
โดยปลอมตัวเป็นอีเมลที่น่าเชื่อถือ เมื่อเหยื่อดาวน์โหลดและเปิดไฟล์ที่แนบมาแล้ว ผู้โจมตีก็สามารถเข้าครอบครองคอมพิวเตอร์ของเหยื่อได้เลย โดยเฉพาะอย่างยิ่งหากผู้โจมตีใช้เครื่องมือ social engineering ที่หลอกลวงเหยื่อเพื่อจะได้เข้าไปถึงการควบคุมคอมพิวเตอร์โดยเข้าไปในระบบ (administrative access)
2. เจาะเข้าไปในระบบควบคุม (Admistrative access)
นอกจากนี้ ransomware ยังมีในรูปแบบอื่น ๆ อีก เช่น NotPetya ที่ใช้ประโยชน์จากช่องโหว่ security ในการเข้าไปในคอมพิวเตอร์ของเหยื่อ โดยไม่จำเป็นต้องหลอกลวงเหยื่อเลย
3. Ransomware คือ การเข้าไปได้แล้วล็อครหัสผ่าน
มัลแวร์สามารถทำอะไรกับคอมพิวเตอร์ของเหยื่อได้หลายอย่างเลย และวิธีที่พบบ่อยที่สุดคือการเข้ารหัสไฟล์ของผู้ใช้ ส่วนการที่จะถอดรหัสได้นั้นก็มีเพียงผู้โจมตีเท่านั้นที่ทำได้ ในกรณีที่ผู้ใช้โดนมัลแวร์โจมตี ระบบจะขึ้นข้อความประมาณว่า “ตอนนี้คุณไม่สามารถเข้าถึงไฟล์ได้แล้ว และถ้าจะให้ถอดรหัสให้คุณต้องจ่ายคริปโตเพื่อปลดล็อค”
4. แอบอ้างเป็นหน่วยงานเพื่อไปจ่ายค่าปรับ
มัลแวร์บางรูปแบบผู้โจมตีอาจอ้างว่าเป็นหน่วยงานบังคับใช้กฎหมาย เพื่อที่จะระงับการใช้คอมพิวเตอร์ของเหยื่อ โดยอ้างว่าพบสื่อลามกหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ และบอกให้เหยื่อชำระ “ค่าปรับ” อีกทั้งวิธีนี้ยังมีความเสี่ยงน้อยที่เหยื่อจะไปแจ้งความ แต่การโจมตีส่วนใหญ่มักจะไม่ใช้วิธีนี้
5.ขู่ว่าจะเปิดข้อมูลสู่สาธารณะ
นอกจากนี้ยังมีมัลแวร์ในรูปแบบอื่นอีกที่เรียกว่า Leakware หรือ Doxware ซึ่งผู้โจมตีจะขู่เหยื่อว่าจะเปิดเผยข้อมูลสำคัญจากฮาร์ดไดรฟ์ของเหยื่อ เว้นแต่ว่าเหยื่อจะจ่ายค่าไถ่ให้ก่อน อย่างไรก็ตามวิธีนี้เป็นวิธีที่ยุ่งยากสำหรับผู้โจมตี เพราะต้องค้นหาข้อมูลมาเป็นข้อเสนอ ดังนั้นการเข้ารหัส Ransomware จึงเป็นรูปแบบที่พบมากที่สุด
- ประชาธิปไตยในเหรียญคริปโตมีจริง หรือเป็นแค่เกมส์ของทุนนิยม
- Cyber Security มีอะไรบ้าง อัปเดตความปลอดภัยทางไซเบอร์
- ทวิตเตอร์สรรพากรถูกแฮก สาเหตุจากอะไร วิธีป้องกันยังไงให้ปลอดภัย
ใครคือเป้าหมายของ Ransomware
ผู้โจมตีมีหลายวิธีในการเลือกเป้าหมายที่จะโจมตี และบางครั้งมันก็เป็นเรื่องของโอกาสด้วย ตัวอย่างเช่นผู้โจมตีกำหนดเป้าหมายเป็นมหาวิทยาลัย เพราะมีทีมรักษาความปลอดภัยน้อย และมีเหยื่อมากมายที่ใช้การแชร์ไฟล์ ทำให้ง่ายต่อการเจาะเข้าระบบของพวกเขา
ในทางกลับกันบางองค์กรก็ดึงดูดผู้โจมตีเอง เพราะดูเหมือนจะจ่ายค่าไถ่ได้เร็ว ตัวอย่างเช่นหน่วยงานราชการหรือองค์กรทางการแพทย์ที่มักจะต้องใช้ไฟล์ข้อมูลอยู่ตลอดเวลา รวมถึงบริษัทกฎหมาย และองค์กรอื่น ๆ ที่มีข้อมูลสำคัญ ๆ ซึ่งเป้าหมายเหล่านี้อาจจำใจต้องจ่ายเพื่อให้ข่าวลือมันเงียบไป และเป้าหมายเหล่านี้มักกลัว leakware attacks หรือคำขู่จากผู้โจมตีที่อ้างว่าจะเปิดเผยข้อมูลออกไปหากไม่จ่ายเงินด้วย
วิธีป้องกัน Ransomware
มีหลายวิธีในการป้องกัน Ransomware คือ วิธีข้างล่างนี้เป็นวิธีป้องกันด้าน security ทั่ว ๆ ไป
ดังนั้นวิธีที่ดีที่สุดคือเราควรหมั่นอัปเดตข่าวสารวิธีป้องกันการโจมตีทุกรูปแบบอยู่บ่อย ๆ
- หมั่นอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ เพื่อจะได้มีช่องโหว่น้อยลง
- อย่าติดตั้งซอฟต์แวร์หรือให้สิทธิ์ผู้ดูแลระบบกับคนอื่น
- ติดตั้งซอฟต์แวร์ป้องกันไวรัสที่สามารถตรวจจับโปรแกรมที่เป็นอันตราย เช่น Ransomware ได้ และติดตั้ง whitelisting ซอฟต์แวร์ด้วย เพื่อช่วยป้องกันไม่ให้แอปพลิเคชันที่ไม่ได้รับอนุญาตผ่านเข้ามาได้
- Backup ไฟล์บ่อย ๆ ถึงแม้ว่ามันจะไม่ได้ช่วยหยุดการโจมตีจากมัลแวร์ แต่มันช่วยสร้างความเสียหายได้น้อยลงมาก กรณีถ้าในอนาคตคุณถูกโจมตีน่ะนะ
วิธีแก้ Ransomware
Steve Ragan จาก CSO ได้ทำวิดีโอนี้ขึ้นมา เพื่อสอนวิธีแก้ไขกรณีโดน ransomware โจมตี ผ่าน Windows 10
วิดีโอนี้มีรายละเอียดที่สำคัญคือ:
รีบูต Windows 10 เป็น Safe mode
ติดตั้งซอฟต์แวร์ Antimalware
สแกนระบบเพื่อค้นหา Ransomware
Restore คอมพิวเตอร์ให้เป็นสถานะก่อนหน้านี้
อย่างไรก็ตาม วิธีแก้ไขข้างต้นมันไม่ได้ไปถอดรหัสไฟล์ซะทีเดียว และหากมัลแวร์ที่เจอมีความซับซ้อนมากกว่านี้ มันก็ยากที่จะถอดรหัสโดยไม่เข้าถึงผู้โจมตี อย่างไรก็ตาม การลบมัลแวร์ทำให้ผู้โจมตีไม่สามารถกู้ไฟล์ของคุณมาได้ คุณก็จะได้ไม่ต้องไปจ่ายค่าไถ่ตามที่ผู้โจมตีขอ
สรุป
ปัจจุบันยังไม่มีวิธีการป้องกัน Ransomware ได้อย่างตายตัว ดังนั้นการเตรียมความพร้อมด้านระบบทั้งหมดทั้งระบบป้องกันภายในองค์กรอย่าง Firewall ระบบปฏิบัติการในเครื่องคอมพิวเตอร์ที่ทันสมัยตลอดเวลา เหล่านี้ก็ยังคงเป็นวิตามินที่ช่วยสร้างภูมิคุ้มกันที่ดีให้กับทุกคนได้ดีที่สุด โดยถ้าหากมีคำถามเกี่ยวกับ Ransomware และ Cyber security ก็สามารถปรึกษาทีมอาสาสมัครกับพวกเราได้เลย ไม่มีค่าใช้จ่ายเพียงกรอกแบบฟอร์มด้านล่างนี้
References :
ปรึกษาปัญหาไอทีด้วยทีมอาสาสมัครของเรา
ทีมงานจะทะยอยตอบกลับให้ครบทุกคน