เรียกได้ว่า Ransomware เป็น 1 ในการโจรกรรมรูปแบบใหม่ล่าสุดของโลกที่ระบาดหนักไปเมื่อไม่กี่ปีก่อนนี้เป็นภัยระดับความมั่นคงของประเทศอย่างแท้จริง ซึ่งแน่นอนว่าทุก ๆ คนก็คงอยากจะทราบกันดีว่า Ransomware มาจากอะไร และวิธีแก้ต้องทำอย่างไรบ้าง ทีมงานขออาสาแบไต๋ Ransomware ภัยร้ายที่กำลังคุกคามโลกไซเบอร์ของเราในขณะนี้ ซึ่งถือว่าเป็น 1 ใน อาชญากรรมไซเบอร์ (Cyber crime) ที่ส่งผลกระทบกับโลกในยุคปัจจุบันเป็นอย่างมาก

Ransomware คืออะไร?

Ransomware คือโปรแกรมกึ่งไวรัสที่ถูกสร้างขึ้นมาโดยหวังให้ผู้ที่ติดไวรัสตัวนี้จ่ายเงินเพื่อขอรหัสปลดล็อคไฟล์ที่ถูกล็อคไว้ โดยตัวไวรัสมักจะถูกส่งมาจากผู้ไม่หวังดีในรูปแบบต่าง ๆ เช่น

  • มาในรูปแบบไฟล์แนบต่าง ๆ ลงใน E-mail แล้วส่งมาโดยผู้ที่เราไม่รู้จัก ถ้าเราเผลอเปิดก็จะติด Ransomware ทันที โดยจะแบ่งเป็นไฟล์ประเภทต่าง ๆ ดังนี้
    • ไฟล์ภาพ, ไฟล์เพลง ต่าง ๆ
    • ไฟล์งานในรูปแบบต่าง ๆ เช่น PDF*, ไฟล์ Doc, ไฟล์ Xls, ไฟล์ ppt (ไฟล์เหล่านี้คนจะโดนกันบ่อยมาก ๆ)
    • ไฟล์ที่ถูกบีบอัดมาในรูปแบบ Zip, Rar, 7z ซึ่งถ้าคุณเผลอคลายมันออกมา ไฟล์ก็จะถูก run โดยอัตโนมัติทันที
    • ไฟล์ Installer โปรแกรมฟรีต่าง ๆ ที่เป็นไฟล์เดี่ยว ๆ ขนาดเล็กดูน่าสงสัย (ซึ่งโดยปกติถ้าไม่ใช่ Ransomware ก็มักจะเป็นตัวโหลด Malware มากมายลงเครื่องของคุณแทน)
  • ถูก Download จากเว็บไซต์แจกโปรแกรมฟรีที่ไม่ถูกรับรองว่าปลอดภัย
  • ไฟล์จากเว็บไซต์แจกตัว Crack โปรแกรมต่าง ๆ
MoneyBank

ตัวอย่างโปรแกรม Ransomware CryptLocker

วิธีการทำงานของ Ransomware

โปรแกรม Ransomware นี้จะไม่ทำงานด้วยตัวเอง แต่เมื่อไรก็ตามที่เราได้กดเปิดใช้งานปุ๊ป โปรแกรมนี้จะดำเนินการแปลงไฟล์ทั้งหมดในเครื่องเรา (ยกเว้นไฟล์บน windows) ให้กลายเป็นไฟล์ที่ถูกเข้ารหัสระดับสูงมากและทำการ Rename ไฟล์ของเราทุกตัว ซึ่งขอบอกว่าต่อให้เรา Rename กลับมาแล้วก็ใช้ไม่ได้เช่นเดิม และระหว่างนี้เราจะไม่สามารถเปิด Task Manager เพื่อมา Kill Process มันได้เลย และหลังจากที่โปรแกรมได้ทำการเข้ารหัสไฟล์ทุกตัวเสร็จแล้วหน้าจอของเราก็จะถูกเปลี่ยนหน้าจอแสดงผลว่าเราถูกโปรแกรม Ransomware เข้าให้แล้ว และหลังจากนั้นก็จะมีโปรแกรมเด้งขึ้นมาเพื่อจับเวลา แล้วแจ้งว่า ถ้าคุณต้องการตัวรหัสปลดล็อคโปรแกรมนี้ คุณจะต้องทำการจ่ายเงินซื้อรหัสตัวนี้ในระยะเวลาประมาณไม่เกิน 1 สัปดาห์ (หรือตามที่กำหนดไว้) เพื่อขอกุญแจสำหรับปลดล็อค ซึ่งพวกเขาจะขอรับเป็นเงิน Bitcoin เท่านั้นเพราะเป็น 1 ในค่าเงินที่ไม่สามารถแกะรอยได้ โดย ณ ปัจจุบัน(9 พฤศจิกายน) มีราคาอยู่ที่ 13,364 บาทต่อ 1 bitcoin (เรียกได้ว่าสูงมาก ๆ) และถ้าหากเราใส่ตัวหนังสือมั่ว ๆ ลงไปเกินที่กำหนด ระบบจะทำการล็อคถาวร ทำให้คุณไม่สามารถปลดล็อคไฟล์ของคุณได้ตลอดกาลหรือแม้แต่การติดตั้งโปรแกรม Antivirus ภายหลังจากโดนล็อคก็ไม่สามารถแก้ไขได้เช่นกัน

และสิ่งสำคัญที่ทำให้เหล่า Programmer ของ Antivirus ปวดหัวกันอยู่ทุกวันนี้เพราะเจ้าตัว Ransomware นี้มันจะทำการลบตัวเองบน E-mail ทิ้งทันทีหลังจากที่ผู้รับเข้าไปรับไฟล์เสร็จเรียบร้อย ทำให้พวกเขาไม่สามารถนำเอาข้อมูลจากโปรแกรม Ransomware นี้มาตรวจเช็คหาวิธีถอดรหัสได้ หรือกว่าจะได้มาก็แทบจะสายไปเสียแล้ว

strain

ที่มาของภาพ: sanook.com

วิธีการป้องกันหลังจากถูก Ransomware

  1. ถ้าคุณรู้สึกว่าคุณได้เผลอเปิด Ransomware เข้าแล้ว (วิธีเช็คง่าย ๆ คือเปิด Task Manager แล้วไม่มีอะไรเกิดขึ้น) ให้คุณรีบปิดเครื่องทันที (กด Power ค้างหรือถอดปลั๊กออกเลยก็ได้) แล้วให้นำ hdd ไปเปิดกับเครื่องอื่นที่ไม่มีโปรแกรมหรือข้อมูลใด ๆ อยู่ แล้วทำการย้ายไฟล์ที่ยังปลอดภัยออกไปให้หมด โดยสังเกตง่าย ๆ คือไฟล์ที่ยังไม่ถูกแก้ไขชื่อนั่นเอง
  2. ทำการ Format ล้างเครื่องให้สะอาดหมดจด แล้วลง Windows ใหม่ทั้งหมดแบบ Clean install
  3. ถ้าคุณเสียดายไฟล์ในเครื่อง คุณอาจจะต้องทำการเสี่ยงจ่าย bitcoin ให้กับคนร้ายเพื่อขอกู้ไฟล์คืน (ไม่แนะนำเพราะโอกาสที่จะเสียเงินแล้วไม่ได้ไฟล์คืนสูงมาก)
  4. กู้ไฟล์ด้วยโปรแกรม ransomware decryptor ซึ่งเป็นโปรแกรมฟรีที่ทาง Kaspersky ได้ทำขึ้นมาโดยใช้การบุกทลายแหล่งที่สร้างไวรัสตัวนี้ขึ้นมา ซึ่งเขาได้ตัวปลดล็อคมาเพิ่มถึง 14,000 ตัว ซึ่งถ้าคุณติดตัว Ransomware ที่เป็น 1 ในนั้นก็สามารถนำตัว decryptor มาแก้ไขได้เลย แต่ถ้าไม่ใช่ก็วนกลับไปทำข้อ 2 หรือ 3 เช่นเดิม
  5. หลังจากล้างข้อมูลเสร็จ ก็ให้ติดตั้งโปรแกรม Antivirus ที่รับรองความปลอดภัยของคุณได้ เช่น Kaspersky หรือ Trend Micro หรืออื่น ๆ ทันทีเพื่อป้องกันไม่ให้เกิดเหตุการณ์ซ้ำรอยอีก
2015-11-09_184211

1 ในวิธีแก้ที่ดีที่สุดในปัจจุบัน (ซึ่งถ้าใครติด Ransomware 1 ในนี้ก็จะสามารถปลดล็อคได้ทันที)

วิธีสังเกตไฟล์ที่อาจจะเป็น Ransomware

แน่นอนว่าการป้องกันย่อมดีกว่าแก้ไข เพราะถ้าเราหมั่นสังเกตดี ๆ รับรองว่าจะปลอดภัยกับ Ransomware อย่างแน่นอน โดยมีวิธีสังเกตง่าย ๆ ดังนี้

  • ดูชื่อผู้ส่ง E-mail ก่อนกดรับไฟล์ทุกครั้ง เพื่อป้องกันการรับไฟล์ Ransomware มาโดยไม่รู้ตัว
  • อย่าเข้าไปโหลดโปรแกรมฟรีในเว็บที่น่าสงสัย เพราะของฟรีไม่มีในโลก
  • ติดตั้งโปรแกรม Antivirus ที่รับรองความปลอดภัยของคุณได้ เช่น Kaspersky หรือ Trend Micro หรืออื่น ๆ
  • อย่าเปิดไฟล์น่าสงสัยจากคนที่เราไม่รู้จักผ่าน Social Media เด็ดขาดถ้าไม่มั่นใจ หรือบางครั้งถ้าเห็นเพื่อนคุณส่งข้อความแปลก ๆ มาก็แนะนำให้ถามเขาก่อน เพราะไม่แน่เขาอาจจะโดนไวรัสที่บังคับส่งไฟล์ก็เป็นได้
  • ทำการ Backup ไฟล์สำคัญเก็บไว้บน Cloud storage เป็นประจำ

Kaspersky-Internet-Security-Logotrend-micro-logo

ซึ่งวิธีเหล่านี้จะช่วยปกป้องคุณจาก Ransomware ได้เกือบ 100% อย่างแน่นอนซึ่งถ้าอยากให็ป้องกันได้ 100% คุณจะต้องมี “สติ” อยู่ตลอดเวลา เพราะบางครั้งถ้าคุณเผลอกดเปิดไฟล์แปลก ๆ ขึ้นมาแล้ว คุณอาจจะต้องเสียใจไปตลอดชีวิตก็เป็นได้…