Ransomware

จุดกำเนิดของโปรแกรมเรียกค่าไถ่บนระบบปฏิบัติการแอนดรอยด์

ปัญหาโปรแกรมเรียกค่าไถ่มีมากขึ้นเรื่อยๆบนมือถือ โดยการล็อคหน้าจอหรือเข้ารหัสไฟล์ หรือที่เรียกว่า “crypto-ransomware” ทั้งสองอย่างนี้เป็นสาเหตุหลักของการสูญเสียทั้งในด้านการเงินและข้อมูลมาหลายปี และกำลังเข้ามาถึงระบบปฏิบัติการแอนดรอยด์ ESET จึงเตรียมพร้อมรับมือกับการเพิ่มขึ้นของเหล่ามัลแวร์บนแอนดรอยด์

เหมือนกับมัลแวร์ในแอนดรอยด์อื่นๆ โปรแกรมเรียกค่าไถ่มีการเจริญเติบโตมาหลายปีและผู้ผลิตมัลแวร์ได้ทำการดัดแปลงเทคนิคจากระบบปฏิบัติการของคอมพิวเตอร์สู่แอนดรอยด์

ทั้งในระบบปฏิบัติการ Windows และ Android ทุกวันนี้หน้าจอล็อคสกรีนเหมือน “ตำรวจรีดไถ” ที่พยายามจะข่มขู่เหยื่อให้จ่ายค่าเสียหายและกล่าวหาว่ามีสิ่งผิดกฏหมายอยู่ในอุปกรณ์ นอกจากนั้น ในความเป็นโปรแกรมที่ไม่มีใครรู้จัก cypto-ransomware บนแอนดรอยด์ใช้การเข้ารหัสอย่างแน่นหนา หมายความว่าเป็นไปไม่ได้ที่จะเรียกไฟล์คืน และในปัจจุบัน รูปถ่ายส่วนมากนั้นเก็บอยู่ในสมาร์ทโฟนมากกว่าคอมพิวเตอร์ แสดงว่าอำนาจการต่อรองก็มากขึ้นไปด้วย

จากการสังเกตการณ์สิ่งหนึ่งที่น่าสนใจคือ ผู้ร้ายส่วนมากไม่ได้อยู่ในยุโรปตะวันออก และสายพันธุ์ล่าสุด เช่น Android/Simplocker และ Android/Lockerpin โดยเป้าหมายส่วนใหญ่อยู่ใน USA

ประเภทของโปรแกรมเรียกค่าไถ่บนแอนดรอยด์

โปรแกรมเรียกค่าไถ่ แปลตรงตัว มัลแวร์นี้ต้องการเงินจากเหยื่อโดยสัญญาว่าหากยอมจ่ายเงินจะคืนข้อมูลเป็นการแลกเปลี่ยน โดยมีสองประเภทใหญ่ๆ

  • Lock-screen ransomware
  • Crypto-ransomware

Lock-screen ransomware ข้อมูลยังไม่ถูกเข้าถึงแต่ระบบถูกปิดกั้น แต่ file-encrypting หรือ “Crypto-ransomware” ไฟล์ที่ถูกขโมยคือไฟล์ของผู้ใช้

ทั้งสองรูปแบบนี้เป็นปัญหาที่พบได้บ่อยๆบนระบบปฏิบัติการ Windows มาตั้งแต่ปี 2013 และเมื่อโปรแกรมเรียกค่าไถ่นี้เป็นที่นิยมในเหล่าอาชญากรไซเบอร์ ถึงแม้ว่ามันจะเกิดขึ้นมาเป็นเวลาหลายปีมาแล้ว ซึ่งโปรแกรมเรียกค่าไถ่สร้างความเสียหายทั้งต่อบุคคลและธุรกิจ

หนึ่งในแนวโน้มของมัลแวร์ที่เห็นได้ชัดที่สุดของมัลแวร์บนแอนดรอยด์ คือการประยุกต์มัลแวร์ที่ประสบความสำเร็จบน Windows แล้วนำมาสู่แอนดรอยด์ และเป็นไปตามคาด อย่างที่เราเห็นในกราฟด้านล่าง จำนวนการพบของโปรแกรมเรียกค่าไถ่บนแอนดรอยด์กำลังเพิ่มสูงขึ้น

Screen-Shot-2016-02-18-at-12.48.58

เมื่อแนวโน้มผู้บริโภคเปลี่ยนจากคอมพิวเตอร์ไปเป็นมือถือ จำนวนข้อมูลที่มีค่าก็หลั่งไหลไปอยู่ในมือถือมากขึ้นเรื่อยๆ ซึ่งเป็นข้อพิสูจน์ได้ว่าข้อมูลที่มีค่ากำลังไหลไปสู่อุปกรณ์ที่ไปไหนมาไหนได้ และแอนดรอยด์ก็เป็นเป้าหมายที่คุ้มค่าต่อความพยายาม

อยู่อย่างไรให้ปลอดภัย

สำหรับผู้ใช้แอนดรอยด์ มีความจำเป็นต้องเตรียมการรับมือกับโปรแกรมเรียกค่าไถ่นี้ มาตรการที่สำคัญที่สุดคือการหลีกเลี่ยงแอปพลิเคชั่นไม่มีที่มา และติดตั้งโปรแกรมความปลอดภัยเวอร์ชั่นล่าสุด และจะดีมากหากมีการสำรองข้อมูลเอาไว้ด้วย

สำหรับผู้ที่ใช้มาตรการที่เหมาะสมกับโปรแกรมเรียกค่าไถ่ จะไม่ตกเป็นเหยื่อของการเรียกค่าไถ่ง่ายๆ แต่ถ้าในกรณีที่แย่ที่สุดคือข้อมูลถูกเข้ารหัส เราก็มีข้อมูลสำรองซึ่งมิจฉาชีพก็ทำอะไรเราไม่ได้

ถ้าผู้ใช้ถูกโปรแกรมค่าไถ่เล่นงาน พวกเขามีอำนาจในการจัดการกับไฟล์ของคุณ แต่มากน้อยนั้นขึ้นอยู่กับชนิดของมัน

Lock-screen ransomware เป็นรูปแบบที่ง่ายที่สุด ผู้ใช้ยังสามารถเปิดเครื่องใน Safe Mode ซึ่งทำให้แอปพลิเคชั่นที่ไม่ใช่ของระบบ (รวมทั้งมัลแวร์) ถูกระงับไป และสามารถลบโปรแกรมที่เป็นสาเหตุของการเรียกค่าไถ่ได้ โดยวิธีเข้า Safe mode ของอุปกรณ์มีความแตกต่างกันไป ในกรณีที่ตัวโปรแกรมนั้นได้รับสิทธิในการอยู่ในระบบ เราต้องเพิกถอนการตั้งค่าก่อนลบโปรแกรม

ถ้าโปรแกรมเรียกค่าไถ่ได้สิทธิความเป็นเจ้าของเครื่องโดยใช้ระบบล็อค หรือรหัส ทำให้เหตุการณ์ซับซ้อนมากขึ้น แต่ก็ยังคงสามารถใช้โปรแกรม Google’s Android Device Manager หรือใช้โปรแกรมจำพวก MDM หรือแอนดรอยด์ที่ปลดล็อคจะมีวิธีที่มากขึ้น การรีเซ็ตค่าโรงงานก็เป็นทางออกสุดท้ายแต่เราก็จะเสียข้อมูลทั้งหมด

แต่ถ้าในกรณีไฟล์ในเครื่องถูกเข้ารหัสโดย crypto-ransomware อย่างเช่น Android/Simplocker เราแนะนำให้คุณปรึกษาฝ่ายเทคนิคของผู้ให้บริการความปลอดภัย ขึ้นอยู่กับชนิดของโปรแกรมเรียกค่าไถ่ ซึ่งอาจจะเรียกข้อมูลคืนได้

เราแนะนำเหยื่อของการเรียกค่าไถ่ไม่ให้จ่ายค่าไถ่ ด้วยเหตุผลว่าวันใดวันหนึ่งก็จะมีวิธีแก้ไขอย่าง crypto-ransomware บางตัว แต่ก็ไม่เสมอไปเพราะ crypto-ransomware เป็นที่นิยมของอาชญากร จนมีผู้เข้าร่วมจำนวนมากเพื่อพัฒนาการล็อคอย่างสมบูรณ์ สำหรับผู้ใช้มีสองอย่าง หนึ่งคือถ้าเราจ่ายไฟล์ที่โดนเข้ารหัสก็อาจจะไม่ได้คืน สองเราอาจจะปลดล็อคไฟล์โดยไม่ต้องจ่ายอะไรเลย

โปรแกรมเรียกค่าไถ่กับแอนดรอยด์เป็นเรื่องที่น่าเป็นห่วง เราค้นพบวิธีแก้ไขโปรแกรมเรียกค่าไถ่หลายชนิดแล้ว หรือการรีเซ็ตค่าโรงงานช่วยได้ แต่การจ่ายอาจจะแก้ปัญหาหรือไม่ก็ไม่รู้

ในระดับบุคคลหรือธุรกิจการตกเป็นเหยื่อของ crypto-ransomware และข้อมูลถูกเข้ารหัส จึงเกิดเป็นปัญหาเกี่ยวกับความน่าเชื่อถือ ว่าอาชญากรจะสามารถเชื่อถือไปจนถึงที่สุดได้หรือเปล่า หากเกิดกรณีจ่ายแล้วแต่ไม่ได้ไฟล์คืน และอาชญากรก็จะทำแบบนี้ซ้ำแล้วซ้ำอีก

%d bloggers like this: