Ransomeware

เครดิตรูปภาพจาก https://www.anoopcnair.com/what-is-ransomware-and-...

Ransomware เป็น malware ที่มุ่งเป้าไปยังผู้ใช้งาน Windows และแพร่ผ่านการส่ง spam email ไปยังผู้ใช้งานต่างๆด้วยหัวข้อหรือคำพูดที่น่าสนใจหรือดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือ download file แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติด malware ประเภทนี้แล้ว จะทำการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องของเราทำให้เราไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับ Lock เครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลยทีเดียว จากนั้น Ransomwareก็จะแสดงข้อความขู่ผู้ใช้งานต่างๆนาๆ ให้โอนเงินโดยปัจจุบันมักจะให้จ่ายในรูปแบบของ Bitcoin ให้กับ Hacker ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป โดย Ransomware ตัวที่แพร่หลายมากในปัจจุบันคือ CryptoLockerและ Cryptowall นั่นเอง

รูปแบบของRansomware

Ransomware จะมีใน 2 รูปแบบหลัก ได้แก่

1. Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ โปรแกรม Ransomwareจะทำการใช้งานฟังก์ชัน Lock Screen ของระบบปฏิบัติการของอุปกรณ์ที่ติด Ransomware (ทั้งที่เป็น Computerและ Mobile) ทำให้เราไม่สามารถเข้าสู่ Interfaceปกติของอุปกรณ์ เพื่อเรียกใช้ Applicationหรือเข้าถึงข้อมูลใด ๆ ได้ แต่ข้อมูลและ Application ไม่ได้ถูกแตะต้องแต่อย่างใด

2.Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานอุปกรณ์ได้ และใช้งาน application ได้ตามปกติ แต่ Ramsomware จะใช้วิธีการเข้ารหัสไฟล์ไว้ (ภาษาชาวบ้านคือ ล็อกไฟล์ไว้) ไม่ให้ผู้ใช้งานสามารถเข้าถึงไฟล์ของตัวเองได้

ขั้นตอนการทำงานของ Ransomware

1. พยายามแพร่กระจายผ่านเว็บไซด์ต่างๆ, แนบไฟล์ไปใน email

2. เมื่อผู้ใช้งานเปิดใช้งานจะสร้าง service และฝังการทำงานของ service ไปยัง Registry ของเครื่องเพื่อให้ ทำงานทุกครั้งเมื่อมีการเปิดเครื่อง

3. Ransomware ติดต่อกลับไปยังเครื่อง C&C Server(Command and Control Server) ของ Hacker เพื่อ download keyสำหรับการเข้ารหัสและ config ต่างๆของภายใน Ransomware

4. นำ Key และ config ที่ได้รับจาก C&C Server มาเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่อง

5. แสดงหน้าข่มขู่ผู้ใช้งานพร้อมกับบอก link สำหรับวิธีการโอน Bitcoin ไปให้กับ Hacker

วิธีการป้องกัน Ransomware

1. ไม่ doScan file ใดๆก็แล้วแต่ที่ถูกส่งมาใน email หรือที่ download จากเว็บไซด์ใดๆ ด้วย Antivirus ก่อนใช้งาน หรือหากไม่สะดวกในการใช้งาน Antivirus ให้ทำการ upload ไฟล์เหล่านั้นไปยังเว็บไซด์สำหรับการตรวจสอบ malware เช่น www.virustotal.com, analysis.avira.com เป็นต้น

2. wnload file จาก email หรือเว็บไซด์ใดๆที่ไม่น่าเชื่อถือ

3. ปิดการเข้าใช้งานเว็บไซด์ต่างๆที่เป็นเว็บไซด์อันตรายหรือเว็บไซด์ที่เป็น C&C Server ของ Malware ต่างๆ เพื่อปิดการรับคำสั่งหรือหยุดการทำงานในช่วงเริ่มต้นของ Ransomware โดยลักษณะการใช้งานแบบนี้สามารถมักพบได้ใน Next Generation Firewall และเครื่องมือตรวจจับ Advance Persistence Threat(APT)

4. คอยสอดส่องและปิดการใช้งาน Tor Network เพื่อป้องกันการเชื่อมต่อจากเครื่องที่ติด Malware ไปยัง C&C Server ของ Hacker ที่ให้บริการอยู่ใน Tor Network

วิธีการแก้ไขเมื่อติด Ransomware

1. เราสามารถใช้ System Restore เพื่อ Restore ไปยังวันก่อนที่จะติด Ransomware ได้ เมื่อ Restore เรียบร้อยแล้วจะพบว่า Ransomware เหล่านั้นจะไม่ได้ถูกติดตั้งในเครื่องของเราแต่อย่างใด

2. Boot เข้าแผ่น Rescue CD ของ Antivirus ต่างๆทำการลบ file ต่างๆที่เกี่ยวกับ Malware เหล่านั้นได้เช่น Kaspersky, MalwareBytes เป็นต้น

3. หากเครื่องท่านติด Ransomware ที่มีชื่อว่า CryptoLocker สามารถนำไฟล์ที่ถูกเข้ารหัสเหล่านั้นไปถอดรหัสด้วยบริการในเว็บไซด์ที่ถูกสร้างขึ้นมาโดยเฉพาะ แน่นอนว่าเป็นบริการแบบใช้งานได้ฟรี โดยเป็นการร่วมมือกันระหว่างบริษัทยักษ์ใหญ่ทางด้านต่อต้านภัยคุกคาม FireEye และ Fox-IT โดยเว็บไซด์สำหรับการถอดรหัสไฟลคือ decryptcryptolocker.com ครับ

ตัวอย่างRansomeware คลิกเลย