ransomware

เตือนภัย มัลแวร์ ตัวใหม่ที่จะล็อคไฟล์ในคอมฯ ของเราแล้วเรียกค่าไถ่ แถมจ่ายแล้วอาจไม่ปลดล็อคให้ด้วยนะ มาทำความเข้าใจกันก่อนจะสายเกินไป โดยข้อมูลนี้เป็นข่าวฝากจาก Trend Micro Security ที่ส่งข้อมูลดี ๆ มาให้….xenon_art อ่านแล้วเห็นว่าดีเลยบอกต่อ

ข่าวประชาสัมพันธ์

Trend Micro Security Alert! Ransomware มัลแวร์เรียกค่าไถ่ข้อมูลแพร่กระจายสู่พื้นที่ใหม่ๆ

แม้ว่าจะมีการตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) อย่างกว้างขวางในบางภูมิภาค เช่น ทวีปอเมริกาเหนือ และยุโรป ก็ยังพบว่ามีการเพิ่มขึ้นอย่างรวดเร็วของกรณีคล้ายกันในภูมิภาคอื่นๆ ตัวอย่างเช่น มีการพบเจอ Critroni หรือ Curve-Tor-Bitcoin (CTB) Locker ซึ่งเป็นมัลแวร์ crypto-locker รุ่นเก่า ในทวีปเอเชีย  ถึงแม้ว่าจำนวนการตรวจพบในพื้นที่ใหม่ๆ เหล่านี้จะยังมีไม่มาก แต่ก็อาจเป็นสัญญาณที่บ่งบอกถึงการแพร่กระจายที่เพิ่มมากขึ้นของมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลในอนาคตอันใกล้

Ransomware หรือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลคืออะไร?

Ransomware เป็นมัลแวร์ชนิดหนึ่งที่มีพฤติกรรมไม่เหมือนกับมัลแวร์อื่นๆ Ransomware นี้จะทำการเข้าหรือล็อกไฟล์เอกสารหรือข้อมูลในเครื่อง (เรียกว่า CryptoLocker) ของผู้ใช้ด้วยรหัส ซึ่งจะส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์หรือคอมพิวเตอร์ได้ จากนั้นก็จะส่งข้อความ “เรียกค่าไถ่” ไปยังเจ้าของข้อมูลนั้นๆ เพื่อให้เจ้าของข้อมูลโอนเงินให้แก่ผู้ควบคุมมัลแวร์เพื่อแลกกับการถอดรหัสเพื่อกู้ข้อมูลคืนมา มัลแวร์ชนิดนี้จะมากับอีเมล์ที่มีไฟล์แนบที่มีชื่อ TOR, Invoice และอื่นๆ ซึ่งถ้าผู้ใช้งานเผลอ/พลาดไปเปิดไฟล์นั้นเข้า มัลแวร์ชนิดนี้ก็จะทำการ encrypted files ของเครื่องนั้นทันที

image003

ขั้นตอนการทำงานของมัลแวร์ที่ผู้ควบคุมมัลแวร์ส่งมาหลอกล่อให้ทำการเปิดไฟล์

CBTLocker-jan_1

ภาพตัวอย่างอีเมล์ขยะที่แนบมัลแวร์มาเป็นซิปไฟล์ภายใต้การหลอกล่อว่าเป็น Invoice

CBTLocker-jan_2-2

ภาพตัวอย่างการ ‘เรียกค่าไถ่’ ที่ผู้ควบคุมมัลแวร์ CBT-Locker ได้เรียกร้องถึง 630 ดอลล่าร์สหรัฐในการถอดรหัสเพื่อกู้คืนข้อมูล

Ransomware เป็นมัลแวร์ที่มีหลายสายพันธุ์ และจัดเป็น Zero-day การจะกำจัดนั้นจะต้องได้ตัวอย่างของสายพันธุ์ที่ได้ระบบได้รับการแพร่กระจายมา โดยการกำจัดจะต้องออกแพทเทิร์นในการกำจัดแบบ 1 แพทเทิร์น : 1 สายพันธุ์ หากเป็นสายพันธุ์ที่ทางเทรนด์ไมโครมีตัวอย่างอยู่แล้ว เพียงอัพเดทแพทเทิร์นก็จะสามารถป้องกันได้

CBTLocker-jan_diag

[เพิ่มเติม: Ransomware 101: มัลแวร์เรียกค่าไถ่ข้อมูลคืออะไรและทำงานอย่างไร]

CTB Locker แตกต่างอย่างไรจาก Crypto-Ransomware แบบอื่นๆ?

  • CTB Locker ทั่วไปขอให้ผู้ใช้จ่าย 3 Bitcoin (มูลค่าเท่ากับ 732.95 ดอลลาร์สหรัฐฯ)
  • ไม่จำเป็นต้องใช้อินเทอร์เน็ตในการเข้ารหัสไฟล์ สามารถทำงานได้แม้กระทั่งในกรณีที่ไม่มีการเชื่อมต่อ
  • ยอมถอดรหัส 5 ไฟล์ให้ฟรี
  • ยืดกำหนดเส้นตายในการจ่ายค่าไถ่สำหรับไฟล์ที่ถูกเข้ารหัส
  • เปิดโอกาสให้เหยื่อเลือกภาษาสำหรับข้อความเรียกค่าไถ่

ผู้ใช้ติดมัลแวร์ CTB Locker ได้อย่างไร?

  • เหยื่อได้รับสแปมเมล์ที่มีมัลแวร์แฝงอยู่
  • มัลแวร์ดังกล่าวดาวน์โหลด CTB Locker
  • CBT Locker เข้ารหัสไฟล์ของเหยื่อ
  • เหยื่อได้รับข้อความระบุยอดค่าไถ่และกำหนดเส้นตายสำหรับการจ่ายค่าไถ่
  • จากนั้นเหยื่อจะต้องจ่ายเงิน Bitcoin ผ่านทาง TOR

ผลกระทบจาก CTB Locker ในภูมิภาคใหม่ๆ

ด้านล่างนี้คือรายชื่อประเทศที่ได้รับผลกระทบมากที่สุด นอกเหนือจากสหรัฐฯ และยุโรป ตะวันออกกลาง และแอฟริกา (EMEA)  สาเหตุของปัญหาแตกต่างกันไป แต่โดยมากแล้ว เกิดจากนิสัยการท่องเว็บที่ไม่เหมาะสม และไม่ได้ติดตั้งโซลูชั่นรักษาความปลอดภัยที่มีประสิทธิภาพและทันสมัย

  • อินเดีย
  • ไทย
  • อินโดนีเซีย
  • ไต้หวัน
  • เวียดนาม
  • มาเลเซีย
  • ฟิลิปปินส์
  • ออสเตรเลีย
  • ฮ่องกง
  • เกาหลีใต้
  • สิงคโปร์
  • นิวซีแลนด์

ในกรณีที่ผู้ใช้ติดมัลแวร์ CTB Locker แล้ว จะยังคงสามารถกู้คืนข้อมูลได้หรือไม่?

แม้ว่ามัลแวร์จะอ้างว่าจะถอดรหัสไฟล์ข้อมูลคืนให้หลังจากที่ได้รับเงิน แต่ในความเป็นจริงแล้ว มีโอกาสน้อยมากที่จะได้รับข้อมูลกลับคืน แม้ว่าผู้ใช้จะยอมจ่ายค่าไถ่ให้ก็ตาม  วิธีที่ดีที่สุดก็คือ การป้องกัน Ransomware ประเภทนี้เสียแต่เนิ่นๆ

ผู้ใช้จะสามารถหลีกเลี่ยงการติดมัลแวร์ CTB Locker ได้อย่างไร?

ผู้ใช้สามารถดำเนินการดังนี้:

  • หลีกเลี่ยงการคลิกลิงค์ที่น่าสงสัย
  • แบ็คอัพข้อมูลสำคัญ
  • ตรวจสอบชื่อผู้ส่งอีเมล
  • ตรวจสอบเนื้อหาและไฟล์แนบในอีเมล์อย่างรอบคอบ
  • อัพเดตซอฟต์แวร์ให้ทันสมัย

เราตรวจพบมัลแวร์ใหม่ๆ อย่างต่อเนื่อง รวมถึงพฤติกรรมที่เปลี่ยนแปลงไปของมัลแวร์เรียกค่าไถ่ข้อมูล และเราได้พัฒนาโซลูชั่นใหม่ๆ เพื่อรับมือกับมัลแวร์เหล่านี้ การแพร่ระบาดของมัลแวร์ที่เกิดขึ้นในพื้นที่ใหม่ๆ ในตอนนี้แสดงให้เห็นว่า มัลแวร์ชนิดนี้ก่อให้เกิดผลกระทบเพิ่มมากขึ้นอย่างต่อเนื่อง เราจึงขอแนะนำให้ทุกคนใช้ความระมัดระวังอย่างสูงสุด

พอล โอลิเวเรีย ผู้จัดการฝ่ายสื่อสารเทคนิคของ TrendLabs

image002

Comments

comments

About the author

xenon_art

บล็อคเกอร์กวน ๆ อารมณ์ดี ขี้บ่นบ้างอะไรบ้าง ชอบเขียนเรื่องสมาร์ทโฟน กิน เที่ยว และ ของเล่น เขียนบทความเป็นงานอดิเรก

twitter: @xenon_art
Instagram: xenon_art

1 Comment

  • เรื่องระบบ IT network นี้น่าปวดหัวมากเลย ไหนจะไวรัส ไหนจะแฮกเกอร์ กำลังคิดอยู่ว่าจะจ้างนัก IT มาดูแลด้านนี้โดยเฉพาะ ก็ไม่รู้ว่าต้องมีคุณสมบัติอะไรบ้าง เพราะไม่ไม่ความรู้เลย จึงเริ่มต้นไม่ถูก ไม่รู้ว่าถ้าจ้างของ กสทช. แบบนี้จะคุมเปล่าครับ เขาว่าจะมาดูงานแบบเป็น Solution ทีเดียว โดยไม่ต้องจ้างคนดูแลเฉพาะ แต่ไม่รู้ว่าแบบไหนคุ้มกว่ากัน
    http://www.catcyfence.com/it-security/services/managed-security-service/

%d bloggers like this: