Ransomware คืออะไร ทำงานอย่างไร พร้อมวิธีแก้ไข

Ransomware คือ สิ่งที่ยังคงเป็นภัยคุกคามร้ายแรงอันดับหนึ่งของโลกไซเบอร์ วันนี้ ProSpace จะพาไปรู้จักมัลแวร์ที่ชื่อแรนซัมแวร์ การเข้ารหัสไฟล์ (Encryption) และวิธีการทำงานของมันอย่างละเอียดกัน

Ransomware คือ อะไร

Ransomware เป็นมัลแวร์ชนิดหนึ่งที่เข้ารหัสไฟล์ของเหยื่อแล้วขโมยข้อมูลของเหยื่อไป

จากนั้นผู้โจมตีก็จะเรียกค่าไถ่จากเหยื่อ เพื่อให้เหยื่อจ่ายเงินแลกกับการได้ข้อมูลคืน โดยส่วนใหญ่แล้วเหยื่อจะยอมจ่ายเงินเพื่อขอข้อมูลคืน และค่าไถ่จะอยู่ระหว่างไม่กี่พันบาทจนถึงหลักหมื่น หรือจ่ายในรูปแบบของ Bitcoin

วิธีการทำงานของ Ransomware

Ransomware จำนวนมากสามารถเข้าถึงคอมพิวเตอร์ได้ง่าย ๆ และหนึ่งในวิธีที่ใช้เข้าถึงระบบมากที่สุดคือการใช้

1. Phishing spam  ไฟล์อะไรก็ตามที่แนบมากับอีเมลที่ส่งหเหยื่อ

โดยปลอมตัวเป็นอีเมลที่น่าเชื่อถือ เมื่อเหยื่อดาวน์โหลดและเปิดไฟล์ที่แนบมาแล้ว ผู้โจมตีก็สามารถเข้าครอบครองคอมพิวเตอร์ของเหยื่อได้เลย โดยเฉพาะอย่างยิ่งหากผู้โจมตีใช้เครื่องมือ social engineering ที่หลอกลวงเหยื่อเพื่อจะได้เข้าไปถึงการควบคุมคอมพิวเตอร์โดยเข้าไปในระบบ (administrative access)

2. เจาะเข้าไปในระบบควบคุม (Admistrative access)

นอกจากนี้ ransomware ยังมีในรูปแบบอื่น ๆ อีก เช่น NotPetya ที่ใช้ประโยชน์จากช่องโหว่ security ในการเข้าไปในคอมพิวเตอร์ของเหยื่อ โดยไม่จำเป็นต้องหลอกลวงเหยื่อเลย

3. Ransomware คือ การเข้าไปได้แล้วล็อครหัสผ่าน

มัลแวร์สามารถทำอะไรกับคอมพิวเตอร์ของเหยื่อได้หลายอย่างเลย และวิธีที่พบบ่อยที่สุดคือการเข้ารหัสไฟล์ของผู้ใช้ ส่วนการที่จะถอดรหัสได้นั้นก็มีเพียงผู้โจมตีเท่านั้นที่ทำได้ ในกรณีที่ผู้ใช้โดนมัลแวร์โจมตี ระบบจะขึ้นข้อความประมาณว่า “ตอนนี้คุณไม่สามารถเข้าถึงไฟล์ได้แล้ว และถ้าจะให้ถอดรหัสให้คุณต้องจ่ายคริปโตเพื่อปลดล็อค”

4. แอบอ้างเป็นหน่วยงานเพื่อไปจ่ายค่าปรับ

มัลแวร์บางรูปแบบผู้โจมตีอาจอ้างว่าเป็นหน่วยงานบังคับใช้กฎหมาย เพื่อที่จะระงับการใช้คอมพิวเตอร์ของเหยื่อ โดยอ้างว่าพบสื่อลามกหรือซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ และบอกให้เหยื่อชำระ “ค่าปรับ” อีกทั้งวิธีนี้ยังมีความเสี่ยงน้อยที่เหยื่อจะไปแจ้งความ แต่การโจมตีส่วนใหญ่มักจะไม่ใช้วิธีนี้

5.ขู่ว่าจะเปิดข้อมูลสู่สาธารณะ

นอกจากนี้ยังมีมัลแวร์ในรูปแบบอื่นอีกที่เรียกว่า Leakware หรือ Doxware ซึ่งผู้โจมตีจะขู่เหยื่อว่าจะเปิดเผยข้อมูลสำคัญจากฮาร์ดไดรฟ์ของเหยื่อ เว้นแต่ว่าเหยื่อจะจ่ายค่าไถ่ให้ก่อน อย่างไรก็ตามวิธีนี้เป็นวิธีที่ยุ่งยากสำหรับผู้โจมตี เพราะต้องค้นหาข้อมูลมาเป็นข้อเสนอ ดังนั้นการเข้ารหัส Ransomware จึงเป็นรูปแบบที่พบมากที่สุด

• ประชาธิปไตยในเหรียญคริปโตมีจริง หรือเป็นแค่เกมส์ของทุนนิยม
• Cyber Security มีอะไรบ้าง อัปเดตความปลอดภัยทางไซเบอร์
• ทวิตเตอร์สรรพากรถูกแฮก สาเหตุจากอะไร วิธีป้องกันยังไงให้ปลอดภัย

ใครคือเป้าหมายของ Ransomware

ผู้โจมตีมีหลายวิธีในการเลือกเป้าหมายที่จะโจมตี และบางครั้งมันก็เป็นเรื่องของโอกาสด้วย ตัวอย่างเช่นผู้โจมตีกำหนดเป้าหมายเป็นมหาวิทยาลัย เพราะมีทีมรักษาความปลอดภัยน้อย และมีเหยื่อมากมายที่ใช้การแชร์ไฟล์ ทำให้ง่ายต่อการเจาะเข้าระบบของพวกเขา

ในทางกลับกันบางองค์กรก็ดึงดูดผู้โจมตีเอง เพราะดูเหมือนจะจ่ายค่าไถ่ได้เร็ว ตัวอย่างเช่นหน่วยงานราชการหรือองค์กรทางการแพทย์ที่มักจะต้องใช้ไฟล์ข้อมูลอยู่ตลอดเวลา รวมถึงบริษัทกฎหมาย และองค์กรอื่น ๆ ที่มีข้อมูลสำคัญ ๆ ซึ่งเป้าหมายเหล่านี้อาจจำใจต้องจ่ายเพื่อให้ข่าวลือมันเงียบไป และเป้าหมายเหล่านี้มักกลัว leakware attacks หรือคำขู่จากผู้โจมตีที่อ้างว่าจะเปิดเผยข้อมูลออกไปหากไม่จ่ายเงินด้วย

วิธีป้องกัน Ransomware

มีหลายวิธีในการป้องกัน Ransomware คือ วิธีข้างล่างนี้เป็นวิธีป้องกันด้าน security ทั่ว ๆ ไป

ดังนั้นวิธีที่ดีที่สุดคือเราควรหมั่นอัปเดตข่าวสารวิธีป้องกันการโจมตีทุกรูปแบบอยู่บ่อย ๆ 

• หมั่นอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ เพื่อจะได้มีช่องโหว่น้อยลง
• อย่าติดตั้งซอฟต์แวร์หรือให้สิทธิ์ผู้ดูแลระบบกับคนอื่น 
• ติดตั้งซอฟต์แวร์ป้องกันไวรัสที่สามารถตรวจจับโปรแกรมที่เป็นอันตราย เช่น Ransomware ได้ และติดตั้ง whitelisting ซอฟต์แวร์ด้วย เพื่อช่วยป้องกันไม่ให้แอปพลิเคชันที่ไม่ได้รับอนุญาตผ่านเข้ามาได้
• Backup ไฟล์บ่อย ๆ ถึงแม้ว่ามันจะไม่ได้ช่วยหยุดการโจมตีจากมัลแวร์ แต่มันช่วยสร้างความเสียหายได้น้อยลงมาก กรณีถ้าในอนาคตคุณถูกโจมตีน่ะนะ

วิธีแก้ Ransomware

Steve Ragan จาก CSO ได้ทำวิดีโอนี้ขึ้นมา เพื่อสอนวิธีแก้ไขกรณีโดน ransomware โจมตี ผ่าน Windows 10

วิดีโอนี้มีรายละเอียดที่สำคัญคือ:

• รีบูต Windows 10 เป็น Safe mode

• ติดตั้งซอฟต์แวร์ Antimalware

• สแกนระบบเพื่อค้นหา Ransomware

• Restore คอมพิวเตอร์ให้เป็นสถานะก่อนหน้านี้

อย่างไรก็ตาม วิธีแก้ไขข้างต้นมันไม่ได้ไปถอดรหัสไฟล์ซะทีเดียว และหากมัลแวร์ที่เจอมีความซับซ้อนมากกว่านี้ มันก็ยากที่จะถอดรหัสโดยไม่เข้าถึงผู้โจมตี อย่างไรก็ตาม การลบมัลแวร์ทำให้ผู้โจมตีไม่สามารถกู้ไฟล์ของคุณมาได้ คุณก็จะได้ไม่ต้องไปจ่ายค่าไถ่ตามที่ผู้โจมตีขอ

สรุป

ปัจจุบันยังไม่มีวิธีการป้องกัน Ransomware ได้อย่างตายตัว ดังนั้นการเตรียมความพร้อมด้านระบบทั้งหมดทั้งระบบป้องกันภายในองค์กรอย่าง Firewall ระบบปฏิบัติการในเครื่องคอมพิวเตอร์ที่ทันสมัยตลอดเวลา เหล่านี้ก็ยังคงเป็นวิตามินที่ช่วยสร้างภูมิคุ้มกันที่ดีให้กับทุกคนได้ดีที่สุด โดยถ้าหากมีคำถามเกี่ยวกับ Ransomware และ Cyber security ก็สามารถปรึกษาทีมอาสาสมัครกับพวกเราได้เลย ไม่มีค่าใช้จ่ายเพียงกรอกแบบฟอร์มด้านล่างนี้

References :

• Csoonline.com
• Resources.infosecinstitute.com     
• Computerworld.com   
• techtalk.gfi.com