ตอบคำถาม แรนซัมแวร์

ประวัติของแรนซั่มแวร์

1989: พบครั้งแรกรู้จักกันว่าเป็นส่วนช่วยในการทำงานของ โทรจัน หรือในอีกชื่อหนึ่งคือ ฑีซี ไซบ๊อก ถูกเขียนโดย โยเซป โปป
2005: แรนซั่มแวร์ชื่อ เอ็กทรอชั่นถือกำเนิด
2006: เวิรม์ที่ชื่อ จีพีโค้ด โทรจันแรนซัมเอ อารชีวิอุส โครเทน คริบซิป และเมอารก์ชีฟสตารท์ ให้หลักการ การเข้ารหัสแบบ อาร์ เอส เอ โดยที่ขนาดของคีย์มีขนาดที่ใหญ่ขึ้น
2011: เวิรม์ที่เป็นพาหะของแรนซัมแวร์เริ่มเข้าสู่ระบบวินโดว์
2013: เวิรม์ที่เป็นพาหะของแรนซัมแวร์ฝังตัวอยู่ใน แสตม์ อีเค คิตและระบบแม็ก ซึ่งตัวคริปโตล็อกเกอร์ตัวนี้กวาดเงินไปราวๆ 5 ล้านดอนล่า
2015: เริ่มมีการระบาดในหลายๆ แพตฟอรม์

ชนิดของแรนซัมแวร์

  • การเข้ารหัสแรนซั่มแวร์

แรนซัมแวร์แบบเข้ารหัส : แรนซัมแวร์แบบนี้จะทำการเข้ารหัสไฟล์และแฟ้มข้อมูล รวมถึงเอกสารในนั่นไม่ว่าจะเป็น ไฟล์เอกสาร หรือสเปดชีต ต่างๆ ทั้งหมด และไฟล์วิดิโอ

ซึ่งไฟล์ทั้งหมดจะถูกลบหลังจากที่มีการเข้ารหัสเรียบร้อยแล้วและจะพบปัญหาเมื่อต้องการเปิดเอกสารบางตัวจะมีหน้าจอแสดงว่าหน้าจอได้ถูกล็อกไว้รวมทั้งข้อความร้องขอเงินค่าไถ่เพื่อทำการปลอดล็อกและวิธีการชำระเงินในโฟลเดอร์เดียวกัน

คุณอาจจะพบปัญหาได้เมื่อทำการเปิดไฟล์งานเหล่านี้

บางตัว ไม่ใช้ทุกตัวของซอรฟแวร์เข้ารหัสแสดงหน้าจอ ล็อกสกรีน:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • แรนซัมแวร์แบบล็อกหรือ วินล็อกเกอร์

แรนซัมแวร์ดังกล่าวจะล็อกสกรีนและร้องขอให้มีการจ่ายเงิน

สัญลักษณ์รูปภาพว่าได้ทำการล็อกวินโดว์ทั้งหมด

ฟล์งานส่วนตัวไม่ได้ถูกเข้ารหัส

Polyransom2

  • มาสเตอร์บูธเร็กคอรด์แรมซัมแวร์

ป็นสวนหนึ่งของอารด์ไดรฟ์ของคอมพิวเตอร์เพื่อทำให้ระบบบูธอัพ

โดยตัวแรนซัมแวร์จะเข้าไปเปลี่ยนตัว เอ็ม บี อาร์ ทำให้การบูธไม่สมบูรณ์

ากนั้นจะแสดงข้อความความต้องการเรียกค่าไถ่

Master-Boot.jpg

  • แรนซัมแวร์แบบเข้ารหัสเว็บเซิรฟ์เวอร์

เป้าหมายคือเว็บเซิรฟ์เวอร์และล็อกไฟล์ทั้งหมดบนนั้น

รู้ช่องโหว่ภายในเว้บคอเท็นที่มักจะใช้เป็นจุดอ่อนในการโจมตีเว็บเซอรวิสด้วยแรนซั่มแวร์

Ransomware encrypting web servers

  • แรนซัมแวร์บนอุปกรณ์พกพา (ระบบแอนดรอย์)

อุปกรณ์พกพาระบบแอนดรอย สามารถติดแรนซัมแวร์ได้โดยการดาวน์โหลดบนไดรฟ์

สามารถติดได้จากการดาวน์โหลดแอพพลิเคชั่นยอดนิยม อโดบีแฟชท หรือแอนตี้ไวรัส

Mobile Ransomware

หากโดนแรนซัมแวร์ ควรหรือไม่ที่จะต้องจ่ายเงินค่าไถ่

ไม่มีทางที่จะแนะนำให้จ่ายเงินค่าไถ่ ซึ่งถือว่าไม่ใช้วิธีแก้ปัญหาที่ถูกต้อง และไม่สามารถรับประกันได้ว่าจะถอดรหัสได้ทั้งหมดเพราะอาจเป็นบักของตัวแรนซัมแวร์เอง แม้ว่าจะได้รับคีย์ที่ถูกต้องก็อาจไม่สามารถได้ไฟล์ที่สมบูรณ์ได้

ในทางตรงข้าม เมื่อมีการจ่ายเงินค่าไถ่แก่อาชญากรไซเบอร์แล้วอาจจะทำให้รู้ว่าแรนซัมแวร์ของตนเองมีประสิทธิภาพและดำเนินการต่อไปอีกในลักษณะเดียวกันเพื่อให้ได้เงินเพิ่มขึ้นอีก

แรนซั่มแวร์มีการทำงานอย่างไร

รูปแบบการโจมตีของแรนซั่มแวร์เริ่มจากไฟล์แนบที่มากับอีเมล์ เป็นไฟล์ในลักษณะที่สามารถรันได้ ไฟล์รูปภาพ หรือไฟล์อไค และเมื่อใดก็ตามไฟล์เหล่านี้ถูกเปิดมัลแวร์จะเริ่มกระจายตัวสู่ระบบของเหยื่อโดยทันที ซึ่งอาชญกรไซเบอร์อาจจะฝังตัวมัลแวร์ไว้บนเว็บไซต์ และเมื่อเหยื่อเปิดใช้งานเว็ปไซต์ด้วยความไม่รู้ก็มัลแวร์ก็จะแพร่กระจายสู่ระบบเครื่องคอมพิวเตอร์โดยทันที

การติดแรนซั่มแวร์อาจจะไม่เกิดขึ้นโดยทันที และอาจจะเกิดขึ้นอย่างช้าๆ จนกระทั้งระบบหรือกระบวนล็อกติดตั้งเสร็จสมบูรณ์ จากนั้นจะเริ่มการล็อกโดยแสดงหน้าจอแจ้งว่าความต้องอาชญกรไซเบอร์ให้ปลดล็อกโดยต้องจ่ายเงินค่าไถ่ ซึ่งจะสายเกินแก้แล้วที่จะรักษาความปลอดภัยของข้อมูลไว้

ข้อมูลเพิ่มเติมโปรดดูวิดิโอด้านล่าง

ใครคือเหยื่อของ แรนซั่มแวร์

ทุกๆ ผู้บริโภคและทุกๆ ธุรกิจ สามารถเป็นเหยื่อของแรนซัมแวร์ อาชญากรรมไซเบอร์ไม่ได้ถูกเลือก และถูกมองว่าถูกโจมตีกับผู้ใช้เป็นจำนวนมากเพื่อให้ได้ประโยชน์

แรนซั่มแวร์ทำให้การเติบโตทางธุรกิจหยุดชะงักหรือไม่

คำตอบคือใช่ เพราะนอกจากทำให้การดำเนินกิจการที่เกี่ยวข้องกับไอทีหยุดชะงักแล้วการเสียค่าไถ่ให้กับอาชญกรไซเบอร์และการกู้คืนข้อมูลทำให้เสียทั้งเวลาเสียทั้งเงิน ทำให้ลดการก่อให้เกิดรายได้และธุรกิจหยุดชะงัก

ทำไมไม่มีวิธีหยุดการโจมตีของแรนซั่มแวร์แบบเบ็ดเสร็จ

การเติบโตขึ้นของแรนซั่มแวร์ทำให้ยากต่อการรับมือ ซึ่ง ณ ขณะนี้แบ่งเป็น 50 สายพันธุ์และมีวงจรการวิวัฒนการอย่างต่อเนื่องและรวดเร็ว ซึ่งตัวใหม่จะมีนวัตกรรมการเข้ารหัสที่ซับซ้อนบวกกับฟีเจอร์ใหม่ทำให้การตรวจจับและป้องกันยากขึ้น

อีกประการหนึ่งคือ ตัวที่ใช้ในการเข้ารหัสนั่นไม่ได้เป็นมัลแวร์แต่เป็นซอรฟ์แวร์ด้านความปลอดภัยทั่วไปที่ใช้ในการเข้ารหัสซึ่งมีการพัฒนาความซับซ้อนเพื่อเพิ่มขีดความสามารถข้องตัวมันเองอยู่แล้ว ทำให้เป็นการยากที่จะป้องกัน เพราะเป็นการนำข้อดีที่ใช้ป้องกันอาชญกรรมทางไซเบอร์มาใช้เป็นอาวุธซะเอง

คริบโต้ มัลแวร์จะใช้อะกอริทึมที่ชื่อว่า ซิมเมสตริกคีย์ ซึ่งเป็นคีย์ชนิดเดียวกับการเข้ารหัสหรือการถอดรหัส ข้อมุลที่ไม่สมบูรณ์สามารถถูก ดีไซเฟอร์ให้สำเร็จได้ด้วยการช่วยเหลือของบริษัทด้านความปลอดภัย ในเวลาต่อ อาชญกรด้านความปลอดภัยเริ่มคิดค้นวิธีการที่เรียกว่า อะซิมเมสตริก อะกอริทึมขึ้นซึ่งใช้คีย์สองแบบแยกกัน คือ พับพลิบคีย์สำหรับเข้ารหัสและไพเวสคีย์สำหรับถอดรหัส

คริบโต ล็อกเกอร์คีย์ โทรจัน เป็นหนึ่งในตัวยอดนิยมของแรนซั่มแวร์ ใช้พลับบลิกคีย์อะกอริมึม คอมพิวเตอร์ที่ติดตัวนี้จะถูกเชื่อมต่อเข้ากับชุดคำสั่งและเซิรฟ์เวอร์ควบคุมเพื่อดาวน์โหลดพลับบริกคีย์ ตัวไพเวทคีย์ถูกเข้าถึงเพียงแค่อาชญกรไซเบอร์ที่เขียนโปรแกรม คริบโต ล็อกเกอร์เท่านั้น โดยปกติแล้วหากไม่ทำการจ่ายค่าไถ่ภายใน 72 ชั่วโมงคีย์จะถูกลบโดยทันที ซึ่งเป็นไปไม่ได้เลยที่จะถอดรหัสโดยปราศจากคีย์ตัวนี้

ดังนั้งจึงต้องคำนึงถึงการป้องกันเป็นอันดับแรก แอนตี้ไวรัสส่วนใหญ่มีการระบุตัวตนของแรนซั่มแวร์ไว้ภายในอยู่แล้ว เพื่อตรวจหาก่อนการติดมัลแวร์ตัวนี้ ดังนั้นผู้ใช้งานต้องตรวจดูว่ามีการเปิดฟีดเจอร์ป้องกันแรนซั่มแวร์ไว้หรือไม่

มีโอกาสหรือไม่ที่จะช่วยเหยื่อให้รอดพ้นจากแรนซั่มแวร์

โครงการ โน มอร์ แรนซั่มแวร์ ได้เริ่มก่อตั้งขึ้นเพื่อดำเนินงานร่วมกับองค์กรด้านความปลอดภัยต่างๆ และหน่วยงานของรัฐอันได้แก่ฝ่ายปราบปรามอาชญกรรมทางไซเบอร์ ต้องการที่จะระบุคีย์ หรือรวบรวมคีย์ในการช่วยเหยื่อผู้เคราะห์ร้ายในการถอดรหัสให้มากเท่าที่จะมากได้ ซึ่งหากคุณต้องการความช่วยเหลือ โปรดแชร์และแจ้งแก่เราได้ทันที

คริบโต เชอรีฟ คืออะไร และใช่งานอย่างไร

คริบโต เชอรีฟ คือเครื่องมือที่ออกแบบมาเพื่อระบุตัวตนและชนิดของแรนซั่มแวร์ ซึ่งจะช่วยให้สามารถหาวิธีการช่วยเหลือเพื่อกู้คืนข้อมูลจากวิธีการที่มีอยู่ สามารถดูการทำงานได้จากวิดิโอลิงค์ด้านล่าง

เครื่องมือที่ใช้ในการถอดรหัสไม่ได้ผล ซึ่งฉันแน่ใจว่าใช้ตามวิธีที่ได้รับแล้ว

นี่คือสิ่งที่เกิดขึ้นได้ บางครั้งคีย์ที่มีเป็นคีย์ที่ไม่สมบูรณ์ ดังนั้นโปรดตรวจสอบกับเว็บไซต์

ใช้เวลาเท่าไรในการถอดรหัสไฟล์ที่ถูกเข้ารหัสด้วยแรนซัมแวร์

ลักษณะกรณีศึกษาที่เป็นไปได้ตามตัวอย่างด้านล่าง

  • พบข้อผิดพลาดในการเขียนมัลแวร์ของผู้เขียนมัลแวร์ ทำให้มีความเป็นไปได้ในการถอดรหัส ซึ่งเป็นกรณีศึกษาของ เพ็ดย่าแรนซัมแวร์และคริปโตทริปเปอร์เอ็ก แรนซัมแวร์
  • ผู้เขียนมัลแวร์รู้สึกเสียใจกับการกระทำของพวกเขาและได้ทำการปล่อยมาสเตอร์คีย์ใน เทสลาคริปเคส
  • ฝ่ายสืบสวนได้เข้ายึดเซิรฟ์เวอร์ พร้อมทั้งคีย์พร้อมแชร์ ยกตัวอย่างเช่น คอยวาว


บางครั้งการจ่ายเงินค่าไถ่ก็ได้ผล แต่ไม่อาจรับประกันได้ว่าคุณจะได้รับการถอดรหัสไฟล์ได้จริง ๆ และเป็นการสนับสนุนสถานะทางการเงินให้กับอาชญกรไซเบอร์ทำให้มีบุคคลจำนวนมากต้องตกเป็นเหยื่อรายต่อๆ ไป

ำไมถึงตัดสินใจริเริ่มเจาะจ่งไปที่โครงการ โน มอร์ แรนซั่มแวร์

ไม่ใช้เรื่องที่เป็นความลับที่แรนซัมแวร์เข้ารหัสข้อมูลของระบบผู้ใช้งานจากนั้นก็ทำการเรียกค่าไถ่ตามต้องการ สิ่งนี้ถือว่าเป็นปัญหาใหญ่ทางความมั่นคงปลอดภัยทางไซเบอร์ใน 2-3 ปีที่ผ่านมา และได้แพร่กระจายเป็นวงกว้าง จำนวนเหยื่อที่ถูกโจมตีในช่วงเดือนเมษา 2015 ถึง มีนา 2016 ราวๆ 718,000 คน

เจ้าหน้าที่ตำรวจไม่สามารถปราบปรามอาชญากรรมทางไซเบอร์ได้ด้วยวิธีปกติธรรมดา และการการศึกษาวิจัยด้านความมั่นคงปลอดภัยไม่สามารถทำได้หากปราศจากการสนับสนุนจากหน่วยงานที่ทำหน้าที่รักษากฏหมาย การต่อสู้กับแรนซั่มแวร์เป็นการร่วมมือกันระหว่างเจ้าหน้าที่ตำรวจและฝ่ายกฏหมาย ยูโรโปและบริษัทด้านความมั่นคงปลอดภัยทางไอที เพื่อดำเนินการร่วมกันเพื่อต่อต้านภัยจากแรนซั่มแวร์และคืนไฟล์ที่ถูกเรียกค่าไถ่โดยปราศจากการเสียค่าใช้จ่ายไดๆ

มีหน่วยงานที่มีลักษณะคล้ายคลึงกันในประเทศของฉันหรือไม่

โน มอร์ แรนซั่มแวร์ เป็นหน่วยงานสากลระดับนานาชาติ ที่แสดงศักยภาพระหว่างองค์กรเอกชนและองค์กรอิสระเพื่อช่วยเหลือสนับสนุนภัยร้ายจากอาชญากรรมไซเบอร์ เป็นการร่วมมือกันแบบไร้พรมแดนโดยมุ่งเน้นแบ่งปันความรู้และให้ข้อมูลแก่ผู้ใช้งานทางระบบเครื่อข่าย รวมถึงวิธีการการป้องกันการโจมตีจากแรนซัมแวร์ เราเชื่อว่าสามารถช่วยเหลือและเยี่ยวยาเหยื่อที่เกิดจากแรนซัมแวร์ที่มีอยู่ทั่วโลกโดยการกู้คืนการเข้าถึงระบบของพวกเขาอีกทั้งการแสดงให้เห็นว่าสามารถตอบโต้รับมือกับแรนซั่มแวร์และหลีกเลี่ยงการจ่ายเงินค่าไถ่แก้อาชญกรได้

ในขั้นตอนแรก เว็บไซต์ประกอบไปด้วยเครื่องมือถอดรหัส 4 ตัวสำหรับแต่ละชนิดของมัลแวร์ เครื่องมือทั้งหมดฟรีและพร้อมใช้งานและยังสามารถประมวลผลทุกๆ การติดเชื้อด้วยการแสดงผลแบบจำเพาะเจาะจ่งถึงภัยคุกคามแบบต่างๆ โดยแสดงผลบนเว็บไซต์