Ransomware ภัยคุกคามใหม่ในไทย

ในช่วงก่อนหน้านี้ เรามักจะพบ Virus, Trojan, Worm ในการโจมตีระบบและเครื่องของเราทำให้เครื่องเราช้าและไม่สามารถใช้งานได้ แต่ในปัจจุบันพบว่ามีคนไทยไม่น้อยที่ติด Ransomware โดย Ransomware เป็น malware ที่มุ่งเป้าไปยังผู้ใช้งาน Windows และแพร่ผ่านการส่ง spam email ไปยังผู้ใช้งานต่างๆด้วยหัวข้อหรือคำพูดที่น่าสนใจหรือดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือ download file แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติด malware ประเภทนี้แล้ว จะทำการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องของเราทำให้เราไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับ Lock เครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลยทีเดียว จากนั้น Ransomware ก็จะแสดงข้อความขู่ผู้ใช้งานต่างๆนาๆ ให้โอนเงิน(โดยปัจจุบันมักจะให้จ่ายในรูปแบบของ Bitcoin) ให้กับ Hacker ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป โดย Ransomware ตัวที่แพร่หลายมากในปัจจุบันคือ CryptoLocker และ Cryptowall นั่นเอง

ขั้นตอนการทำงานของ Ransomware

1. พยายามแพร่กระจายผ่านเว็บไซด์ต่างๆ, แนบไฟล์ไปใน email
2. เมื่อผู้ใช้งานเปิดใช้งานจะสร้าง service และฝังการทำงานของ service ไปยัง Registry ของเครื่อง เพื่อให้ทำงานทุกครั้งเมื่อมีการเปิดเครื่อง
3. Ransomware ติดต่อกลับไปยังเครื่อง C&C Server(Command and Control Server) ของ Hacker เพื่อ download key สำหรับการเข้ารหัสและ config ต่างๆของภายใน Ransomware พร้อมทั้งลงทะเบียนกับ C&C Server เพื่อระบุว่าเครื่องที่ติดอยู่ที่ใด
4. นำ Key และ config ที่ได้รับจาก C&C Server มาเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่อง
5. แสดงหน้าข่มขู่ผู้ใช้งานพร้อมกับบอก link สำหรับวิธีการโอน Bitcoin ไปให้กับ Hacker

วิธีการป้องกัน Ransomware

1. ไม่ download file จาก email หรือเว็บไซด์ใดๆที่ไม่น่าเชื่อถือ
2. Scan file ใดๆก็แล้วแต่ที่ถูกส่งมาใน email หรือที่ download จากเว็บไซด์ใดๆ ด้วย Antivirus ก่อนใช้งาน หรือหากไม่สะดวกในการใช้งาน Antivirus ให้ทำการ upload ไฟล์เหล่านั้นไปยังเว็บไซด์สำหรับการตรวจสอบ malware เช่น www.virustotal.com, analysis.avira.com เป็นต้น
3. ปิดการเข้าใช้งานเว็บไซด์ต่างๆที่เป็นเว็บไซด์อันตรายหรือเว็บไซด์ที่เป็น C&C Server ของ Malware ต่างๆ เพื่อปิดการรับคำสั่งหรือหยุดการทำงานในช่วงเริ่มต้นของ Ransomware โดยลักษณะการใช้งานแบบนี้สามารถมักพบได้ใน Next Generation Firewall และเครื่องมือตรวจจับ Advance Persistence Threat(APT)
4. คอยสอดส่องและปิดการใช้งาน Tor Network เพื่อป้องกันการเชื่อมต่อจากเครื่องที่ติด Malware ไปยัง C&C Server ของ Hacker ที่ให้บริการอยู่ใน Tor Network

วิธีการแก้ไขเมื่อติด Ransomware

1. เราสามารถใช้ System Restore เพื่อ Restore ไปยังวันก่อนที่จะติด Ransomware ได้ เมื่อ Restore เรียบร้อยแล้วจะพบว่า Ransomware เหล่านั้นจะไม่ได้ถูกติดตั้งในเครื่องของเราแต่อย่างใด
2. Boot เข้าแผ่น Rescue CD ของ Antivirus ต่างๆทำการลบ file ต่างๆที่เกี่ยวกับ Malware เหล่านั้นได้เช่น Kaspersky, MalwareBytes เป็นต้น
3. หากเครื่องท่านติด Ransomware ที่มีชื่อว่า CryptoLocker สามารถนำไฟล์ที่ถูกเข้ารหัสเหล่านั้นไปถอดรหัสด้วยบริการในเว็บไซด์ที่ถูกสร้างขึ้นมาโดยเฉพาะ แน่นอนว่าเป็นบริการแบบใช้งานได้ฟรี โดยเป็นการร่วมมือกันระหว่าง2 บริษัทยักษ์ใหญ่ทางด้านต่อต้านภัยคุกคาม FireEye และ Fox-IT โดยเว็บไซด์สำหรับการถอดรหัสไฟลคือ decryptcryptolocker.com ครับ

For more information, please contact: +662-615-7005 or contact@i-secure.co.th

Reference

• http://krebsonsecurity.com/2014/08/new-site-recovers-files-locked-by-cryptolocker-ransomware/