ในช่วงก่อนหน้านี้ เรามักจะพบ Virus, Trojan, Worm ในการโจมตีระบบและเครื่องของเราทำให้เครื่องเราช้าและไม่สามารถใช้งานได้ แต่ในปัจจุบันพบว่ามีคนไทยไม่น้อยที่ติด Ransomware โดย Ransomware เป็น malware ที่มุ่งเป้าไปยังผู้ใช้งาน Windows และแพร่ผ่านการส่ง spam email ไปยังผู้ใช้งานต่างๆด้วยหัวข้อหรือคำพูดที่น่าสนใจหรือดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือ download file แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติด malware ประเภทนี้แล้ว จะทำการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องของเราทำให้เราไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับ Lock เครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลยทีเดียว จากนั้น Ransomware ก็จะแสดงข้อความขู่ผู้ใช้งานต่างๆนาๆ ให้โอนเงิน(โดยปัจจุบันมักจะให้จ่ายในรูปแบบของ Bitcoin) ให้กับ Hacker ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป โดย Ransomware ตัวที่แพร่หลายมากในปัจจุบันคือ CryptoLocker และ Cryptowall นั่นเอง
ขั้นตอนการทำงานของ Ransomware
- พยายามแพร่กระจายผ่านเว็บไซด์ต่างๆ, แนบไฟล์ไปใน email
- เมื่อผู้ใช้งานเปิดใช้งานจะสร้าง service และฝังการทำงานของ service ไปยัง Registry ของเครื่อง เพื่อให้ทำงานทุกครั้งเมื่อมีการเปิดเครื่อง
- Ransomware ติดต่อกลับไปยังเครื่อง C&C Server(Command and Control Server) ของ Hacker เพื่อ download key สำหรับการเข้ารหัสและ config ต่างๆของภายใน Ransomware พร้อมทั้งลงทะเบียนกับ C&C Server เพื่อระบุว่าเครื่องที่ติดอยู่ที่ใด
- นำ Key และ config ที่ได้รับจาก C&C Server มาเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่อง
- แสดงหน้าข่มขู่ผู้ใช้งานพร้อมกับบอก link สำหรับวิธีการโอน Bitcoin ไปให้กับ Hacker
วิธีการป้องกัน Ransomware
- ไม่ download file จาก email หรือเว็บไซด์ใดๆที่ไม่น่าเชื่อถือ
- Scan file ใดๆก็แล้วแต่ที่ถูกส่งมาใน email หรือที่ download จากเว็บไซด์ใดๆ ด้วย Antivirus ก่อนใช้งาน หรือหากไม่สะดวกในการใช้งาน Antivirus ให้ทำการ upload ไฟล์เหล่านั้นไปยังเว็บไซด์สำหรับการตรวจสอบ malware เช่น www.virustotal.com, analysis.avira.com เป็นต้น
- ปิดการเข้าใช้งานเว็บไซด์ต่างๆที่เป็นเว็บไซด์อันตรายหรือเว็บไซด์ที่เป็น C&C Server ของ Malware ต่างๆ เพื่อปิดการรับคำสั่งหรือหยุดการทำงานในช่วงเริ่มต้นของ Ransomware โดยลักษณะการใช้งานแบบนี้สามารถมักพบได้ใน Next Generation Firewall และเครื่องมือตรวจจับ Advance Persistence Threat(APT)
- คอยสอดส่องและปิดการใช้งาน Tor Network เพื่อป้องกันการเชื่อมต่อจากเครื่องที่ติด Malware ไปยัง C&C Server ของ Hacker ที่ให้บริการอยู่ใน Tor Network
วิธีการแก้ไขเมื่อติด Ransomware
- เราสามารถใช้ System Restore เพื่อ Restore ไปยังวันก่อนที่จะติด Ransomware ได้ เมื่อ Restore เรียบร้อยแล้วจะพบว่า Ransomware เหล่านั้นจะไม่ได้ถูกติดตั้งในเครื่องของเราแต่อย่างใด
- Boot เข้าแผ่น Rescue CD ของ Antivirus ต่างๆทำการลบ file ต่างๆที่เกี่ยวกับ Malware เหล่านั้นได้เช่น Kaspersky, MalwareBytes เป็นต้น
- หากเครื่องท่านติด Ransomware ที่มีชื่อว่า CryptoLocker สามารถนำไฟล์ที่ถูกเข้ารหัสเหล่านั้นไปถอดรหัสด้วยบริการในเว็บไซด์ที่ถูกสร้างขึ้นมาโดยเฉพาะ แน่นอนว่าเป็นบริการแบบใช้งานได้ฟรี โดยเป็นการร่วมมือกันระหว่าง2 บริษัทยักษ์ใหญ่ทางด้านต่อต้านภัยคุกคาม FireEye และ Fox-IT โดยเว็บไซด์สำหรับการถอดรหัสไฟลคือ decryptcryptolocker.com ครับ
For more information, please contact: +662-615-7005 or contact@i-secure.co.th
Reference
Leave a comment!
You must be logged in to post a comment.