Ransomware

โปรแกรมเรียกค่าไถ่ตามคุณไปทุกที่ แต่แฮคเกอร์ก็ยังพลาดได้

โปรแกรมเรียกค่าไถ่หรือ Ransomware แพร่กระจายออกไปทุกหนทุกแห่ง ที่เห็นได้ตามหน้าข่าวเทคโนโลยีทุกวัน

เป้าหมายของโปรแกรมเรียกค่าไถ่มีมากหน้าหลายตา อย่างเช่น โรงพยาบาล ที่ไม่สามารถดูแลข้อมูลสำคัญของผู้ป่วยได้ จนทำให้ต้องจ่ายค่าไถ่เป็นพันๆเหรียญให้กับอาชญากรเพื่อถอดรหัส

การตั้งเวลาเป็นอีกลูกเล่นหนึ่งของอาชญากรที่ใช้เพื่อเอาเงินจากเหยื่อ และก็ได้ผลมากเสียด้วย

Screen-Shot-2016-04-26-at-16.20.10

มีหลายเหตุผลที่โปรแกรมเรียกค่าไถ่แพร่กระจายอย่างรวดเร็ว และเพิ่มปริมาณของอาชญากรขึ้นเรื่อยๆ เดือนที่ผ่านมา ESET เตือนทุกคนเกี่ยวกับโปรแกรมเรียกค่าไถ่ที่ใช้อีเมล์เป็นเครื่องมือเพื่อแพร่กระจาย และตอนนี้ได้กระจายไปทั่วโลกแล้ว

อีเมล์ที่แนบไฟล์ที่ดูเหมือนไม่อันตรายอย่าง JS/TrojanDownloader.Nemucod ที่หลอกให้เป้าหมายดาวน์โหลด และติดตั้งหนึ่งในสายพันธุ์ของโปรแกรมเรียกค่าไถ่ อย่างเช่น TeslaCrypt หรือ Locky

เทคนิคนี้ได้รับความสนอกสนใจเป็นอย่างดี และจะดีกว่านี้หากมีการส่งซ้ำเหมือนจดหมายเวียน นอกจากนี้พวกเขายังมีการขยับขยายสายพันธุ์ของมัลแวร์ อย่างเช่น CTBLocker หรือ Filecoder.DG

แต่โปรแกรมเรียกค่าไถ่ส่วนมากคงไม่อันตรายเหมือนในตัวอย่างที่เรานำเสนอมา ผู้พัฒนามัลแวร์บางรายเห็นโอกาสในการทำกำไร และสร้างโปรแกรมเรียกค่าไถ่ของตัวเองขึ้นมา และแต่ก็จบด้วยความล้มเหลว

โชคดีที่ทาง ESET พบทางออกให้กับผู้ติด Ransomware Petya และ Jigsaw ที่ ESET พบวิธีการนำไฟล์หรืออุปกรณ์ให้กลับมาใช้ได้อย่างปกติโดยไม่ต้องเสียเงินสักบาท

กลยุทธ์ของตัวประกัน

Petya เป็นสาเหตุของ “blue screen of death” หลังจากสามารถแทรกซึมเข้าระบบปฏิบัติการ Windows และบังคับให้เหยื่อรีสตาร์ทเครื่อง ถ้าหากรีสตาร์ทเครื่องจะเข้าสู่หน้าของโปรแกรมเรียกค่าไถ่แทนการกลับเข้าสู่ระบบ เพื่อเรียกเงิน 0.99 บิทคอยน์ หรือประมาณ 431 ดอลล่าร์สหรัฐฯ

วิธีการของมันคือให้ระบบเริ่มการทำงานของ Ransomware แทนที่จะเป็นระบบปฏิบัติการ และบอกกับเหยื่อว่าได้ทำการเข้ารหัสไฟล์ทั้งหมดไว้แล้ว

Petya

จุดอ่อนของ Petya

ESET จะบอกว่า Petya จริงๆแล้วยังไม่ได้ทำการเข้ารหัสไฟล์ของเรา (ถึงข้อความจะระบุมาอย่างนั้น) ซึ่งเปิดโอกาสให้ผู้ใช้สามารถที่จะนำไฟล์กลับมาได้ แต่ต้องใช้เครื่องมืออีกนิดหน่อย

Petya มีกระบวนการแพร่กระจายอย่างไร?

Petya ใช้อีเมล์ปลอมแปลงตัวเองเป็น Resume มาสมัครงานแต่ไม่มีไฟล์แนบมา พร้อมทิ้งลิงก์ไว้ให้ดาวน์โหลดบนเซิร์ฟเวอร์ Dropbox

ถ้าหากดาวน์โหลดไฟล์ที่มีชื่อว่า Bewerbungmappe-gepackt.exe แทนที่จะเป็น Resume ของผู้สมัคร แต่ไฟล์ที่ดาวน์โหลดมาจะเป็นไฟล์ exe ที่จะปล่อย Petya ลงบนระบบปฏิบัติการ และจากชื่อไฟล์เราสงสัยว่าอาชญากรอาจจะเป็นผู้ที่ใช้ภาษาเยอรมนี

ซึ่งในตอนนี้ Dropbox ได้ลบไฟล์ดังกล่าวไปเป็นที่เรียบร้อยแล้ว แต่ก็ไม่มีอะไรยืนยันว่าอาชญากรจะไม่ใช้ลูกไม้เดิมนี้อีก ซึ่งตอนนี้ ESET สามารถตรวจจับสายพันธุ์ของ Ransomware: Win32/Discoder.Petya.A และ Win32/Discoder.Petya.B

แต่ในตอนนี้มีเครื่องมือที่สามารถถอดรหัสนี้ได้ ซึ่งจะช่วยให้ผู้ใช้สามารถนำไฟล์ของตัวเองกลับมาได้ Free Decryption Tool

Ransomware The Game

โปรแกรมเรียกค่าไถ่อีกชนิดที่เป็นที่สนใจของ ESET ก็คือ Jigsaw จากหนังสยองขวัญ Saw ที่พยายามเล่นเกมส์กับเหยื่อด้วยกฎที่ยื่นความเป็นความตาย

ถ้าหากผู้ใช้ไม่จ่ายเงินค่าไถ่ในชั่วโมงแรก โปรแกรมนี้จะลบไฟล์หนึ่งไฟล์ และถ้าหากผู้ใช้ไม่จ่ายในชั่วโมงที่สอง โปรแกรมจะลบไฟล์อีกสองไฟล์ และเพิ่มจำนวนขึ้นตามชั่วโมง และมีกฎอีกว่าหากเหยื่อรีสตาร์ทเครื่องจะลบไฟล์ 1,000 ไฟล์

Jigsaw1
Jigsaw2
Jigsaw3

แต่เมื่อทาง ESET ดูโค้ดของ Ransomware นี้แล้วพบว่า Jigsaw มีการดำเนินการที่ไม่สมบูรณ์เข้ารหัสไฟล์ทั้งหมด ซึ่งมีเครื่องมือที่สามารถปลดล็อคไฟล์ได้ Decryption Tool

โดยทาง ESET เป็นผู้พบสายพันธุ์เหล่านี้ที่พยายามจะลบไฟล์ของเป้าหมาย MSIL/Filecoder.Jigsaw.A, MSIL/Filecoder.Jigsaw.B and MSIL/Filecoder.Jigsaw.C

Locky ปลอม

ESET ตรวจจับ Ransomware Locky ปลอมได้ในชื่อ Win32/Filecoder.Autolocky.A หรือ Autolocky เป็นตัวอย่างของมัลแวร์ที่พยายามสร้างกระแส

ซึ่งใช้วิธีการเดียวกับ Locky แต่ยังไม่สมบูรณ์ คือการเข้ารหัสไฟล์และเปลี่ยนเป็นนามสกุล (.locky) และสามารถถูกถอดรหัสได้โดยการย้อนกระบวนการ ซึ่งใช้เส้นทางผ่าน Internet Explorer ซึ่งสำหรับเหยื่อของ Autolocky นั้นสามารถปลดล็อคไฟล์ได้แล้วตอนนี้ Tools

จากตัวอย่างเหล่านี้ผู้ใช้อย่าเพิ่งตกใจกับกลยุทธ์ของ Ransomware และไม่ควรรีบจ่ายเงินค่าไถ่ เพราะอาจจะมีเครื่องมือที่สามารถดึงไฟล์ของคุณกลับคืนมาได้ โดยไม่ต้องเสียเงิน

ถึงแม้ว่าโปรแกรมเรียกค่าไถ่จะมีจุดบกพร่อง แต่อาชญากรไซเบอร์ย่อมพัฒนาตัวเองขึ้นเรื่อยๆ เหมือนกัน ดังนั้นการป้องกันจึงเป็นสิ่งที่ดีที่สุดที่ใช้รับมือกับอาชญากรได้

ดังนั้นการอัพเดทเวอร์ชั่นของระบบปฏิบัติการ ใช้ชุดรักษาความปลอดภัยที่ดี และสำรองข้อมูลสำคัญไว้ในที่ที่ไม่มีการเชื่อมต่ออินเตอร์เน็ต ระมัดระวังเสมอเมื่อมีคนส่งลิงก์จากแหล่งที่มาที่ไม่รู้จัก

%d bloggers like this: