ไวรัสเรียกค่าไถ่
หรือ Ransomware เป็น Malware
ประเภทหนึ่งที่มีอันตรายมาก และหลายชนิดหรือหลายสายพันธ์
ที่พบบ่อยๆเช่น cryptowall, CryptoLocker เมื่อเครื่องเหยื่อติด
malware ประเภทนี้แล้ว ไฟล์ข้อมูลเอกสารต่างๆเช่น Word,
Excel, Power point, ไฟล์รูปภาพต่างๆ จะใช้งานไม่ได้เนื่องจาก Malware
จะถูกเข้ารหัสด้วยอัลกอริทึม RSA ที่มีความยาวถึง
2048 bits ทำให้ไฟล์ที่ถูกเข้ารหัสมีโอกาศน้อยมากที่จะกู้คืน
จากข้อมูลพบว่า ส่วนใหญ่เหยื่อที่ติด Malware ชนิดนี้ จะติดผ่านการเปิดไฟล์แนบที่ส่งมาพร้อมกับ
Email จากคนแปลกหน้า โดยใช้ข้อความหลอกล่อ ให้เปิดไฟล์แนบ เมื่อติดเครื่องผู้ใช้แล้วจะเข้ารหัสไฟล์เอกสาร
ไฟล์รูปภาพ ไฟล์ข้อมูลต่าง ทำให้เจ้าของเครื่องใช้งานไฟล์เอกสารเหล่านั้นได้ และ Malware
จะแจ้งเตือนเจ้าของเครื่องให้ชำระเงิน เพื่อปลดล๊อครหัสไฟล์ของคุณเอง
ซึ่งแบบนี้มันคือการเรียกค่าไถ่นั่นเอง
ตัวอย่างหน้าจอเครื่องที่โดนไวรัส เช่น cryptowall, CryptoLocker
ซึ่งตอนนี้มีหน้าจอภาษาไทย แสดงว่าอาจมี Hacker คนไทยนำมาใช้
 |
CryptoLocker หรือ
cryptowall |
 |
CryptoLocker หรือ
cryptowall |
แผนที่แสดงการแพร่ระบาดของ Ransomware
ตัวอย่างไฟล์ที่ถูกเข้ารหัส
doc,
xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi,
tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png,
ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3,
amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra,
ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin,
dir, divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp,
vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr,
bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp,
nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc,
ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc,
faq, fdr, fds, gthr, idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft,
pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz,
gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh,
shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo,
ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr,
atom, bml, cer, cms, crt, dap, htm, moz, svr, url, wdgt, abk, bic, big, blp,
bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl,
map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt,
spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf,
w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0,
md1, md2, mdf, mds, nrg, nri, vcd, vhd, snp, bkf, ade, adpb, dic, cch, ctt,
dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp,
ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb,
sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb,
xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp,
dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp, eql, ex, f90, fla, for, fpp, jav,
java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur,
vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx,
ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt,
bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm,
yps, md3
สาเหตุหนึ่งที่ยังมีผู้ใช้ตกเป็นเหยื่อ Malware ตัวนี้เพราะโจรให้จ่ายเงินผ่าน
Bitcoin ซึ่งตามตัวผู้รับเงินได้ยากมาก จนถึงไม่ได้เลย ถ้าจ่ายผ่านบัตร, Paypal, โอนเงินธนาคาร เหล่านี้จะสามารถตามจับตัวได้ง่าย
การป้องกัน
1. ไม่เปิดไฟล์แนบที่มากับ Email บุคคลแปลกหน้า หรือไม่รับ Email จากคนที่เราไม่รู้จัก
2. ไม่เปิดไฟล์นามสกุล
.zip, .rar, .exe
3.
ติดตั้ง Antivirus ที่น่าเชื่อถือ
ซึ่งมีหลายตัวที่มีประสิทธิภาพ ฟรี ไม่มีค่าใช้จ่าย
เช่น avast เป็นต้น
4. สำรองข้อมูลสำคัญๆใน External Harddisk หรือสำรองข้อมูลใน
Google drive, Onedrive
5. หากพบอยู่ๆเครื่องช้าผิดปกติให้สันนิญฐานว่าอาจติดไวรัส
ให้ดำเนินการดังนี้
- ถอดสาย LAN หรือหยุดการเชื่อมต่อ Internet
- ใช้ Antivirus Scan เครื่อง แนะนำให้ใช้ Kaspersky
virus removal tool ซึ่งเป็น version ฟรี scan
หรือ ใช้ Malwarebytes
กำจัด Ransomware
- ถ้าทำได้ ถอด Harddisk ไป Scan
เครื่องอื่น(ขณะ scan ห้ามคลิกไฟล์ใดๆ)
การกำจัด Ransomware
ตัว Ransomware กำจัดได้ไม่ยากครับ แต่ที่ยากคือไฟล์ที่ถูกเข้ารหัสแล้ว จะถอดรหัสยากมากก
หรือไม่ได้เลย
การกำจัด Ransomware
ใช้ Tools ตามด้านล่างเลยครับ
1. Ransomware removal tool
จาก Trenmicro >>>
2.
ใช้ Malwarebytes
และมีอีกหลายตัวครับ
การแก้ไขไฟล์ที่เข้ารหัส
เป็นเรื่องที่น่ากังวลมากที่
Hacker
พยายามพัฒนา Ransomware รุ่นใหม่ๆออกมาเรื่อยๆ ซึ่งรุ่นใหม่ๆก็จะเข้ารหัสไฟล์ยากขึ้นๆ
ทำให้คนที่ทำตัวแก้ไขไฟล์ที่ถูกเข้ารหัสทำได้ยากขึ้น ซึ่งตอนนี้เห็นของค่าย Kaspersky
ที่มี Tools ในการช่วยถอดรหัสไฟล์ที่เกิดจาก Ransomware ถ้าเราโชคดีหน่อยตรงโดน Ransomware รุ่นเก่าๆ
ก็สามารถใช้ Tools ของ ค่าย Kaspersky ได้ Tools ของ Kaspersky ด้านล่างครับ
เลือกที่ลงท้ายด้วย Decryptor
แหล่งข้อมูลเพิ่มเติม
