Ransomware

มุมมองของผู้เชี่ยวชาญเกี่ยวกับโปรแกรมถอดรหัส TeslaCrypt

จากบทความ ESET ปล่อยโปรแกรมถอดรหัส TeslaCrypt Ransomware ที่เป็นที่ฮือฮาในวงการความปลอดภัย พร้อมกับคำถามต่างๆนาๆ

เราจึงขอเชิญคุณ Igor Kabina นักวิจัยมัลแวร์ของ ESET ที่เฝ้าดูการเปลี่ยนแปลงของ TeslaCrypt และเขียนโปรแกรมถอดรหัส TeslaCrypt ขึ้นมา

TeslaCrypt ปิดตัวลง ท่ามกลางผู้ใช้ที่สามารถกำจัดโปรแกรมเรียกค่าไถ่นี้ด้วยโปรแกรมของคุณ และตอนนี้คุณกำลังมีบทบาทสำคัญอะไรบ้าง?

ฉันขอรหัสจากผู้พัฒนา TeslaCrypt ที่หลุดออกมาโดยบังเอิญและสร้างเครื่องมือที่ทำให้การถอดรหัสมีความเป็นไปได้ง่ายมากขึ้น เพื่อกู้ไฟล์กลับคืนมา

ฟังดูง่าย แต่จริงๆแล้วมันไม่น่าจะง่ายเลยที่จะขอกุญแจจากผู้พัฒนาโปรแกรมเรียกค่าไถ่?

ใช่มันไม่ง่ายเลย เนื่องจากกุญแจสำหรับผู้พัฒนาโปรแกรมเรียกค่าไถ่คือ “ทั้งหมด” ของธุรกิจโปรแกรมเรียกค่าไถ่ เพราะสิ่งที่เหยื่อของโปรแกรมเรียกค่าไถ่ยอมจ่ายเงินก็เพื่อที่จะได้กุญแจนี้นั่นเอง แต่การทำแบบนี้เท่ากับการสร้างช่องโหว่ขนาดใหญ่บนโปรแกรมเรียกค่าไถ่ และเป็นการหยุดการพัฒนาโปรแกรมอีกด้วย

กลับมาที่คำถามว่า คุณเอากุญแจนี้มาได้อย่างไร?

เรื่องนี้ค่อนข้างยาว งานของฉันก็คือการจับตามอง TeslaCrypt และหาวิธีที่จะทำให้ผู้ใช้ ESET นั้นปลอดภัย ฉันเห็นความผิดพลาดของ TeslaCrypt พอที่จะทำให้สามารถสร้างโปรแกรมถอดรหัสได้ แต่เวอร์ชั่นล่าสุดของ TeslaCrypt นั้นมีความเสถียรมากทำให้โปรแกรมถอดรหัสนั้นใช้ไม่ได้

เมื่อวิเคราะห์จากแนวโน้มของโปรแกรมเรียกค่าไถ่ ฉันคิดว่า TeslaCrypt จะไปไกลกว่านี้ แต่เมื่อไม่กี่สัปดาห์ที่ผ่านมาฉันสังเกตว่า TeslaCrypt มีการเคลื่อนไหวที่ช้าลง และฉันรู้สึกว่าผู้พัฒนากำลังจะวางมือ และด้วยสาเหตุใดก็ตามทีมพัฒนาของ TeslaCrypt ก็กระโดดไปเริ่มโปรเจคใหม่ที่ชื่อว่า CryptProjectXXX

วันที่ 27 เมษายนที่ผ่านมาเวอร์ชันล่าสุดของ TeslaCrypt กำลังทำงานอยู่ ไม่นานหลังจากนั้นฉันรู้สึกว่าใครก็ตามที่เป็นคนอยู่เบื้องหลังการแพร่กระจายหยุดทำงาน และลิงก์ไฟล์อันตรายก็กำลังหมดอายุอย่างช้าๆ ฉันเลยสบโอกาสแกล้งเป็นหนึ่งในเหยื่อของ TeslaCrypt และขอกุญแจของ TeslaCrypt เวอร์ชันก่อนๆ และหลังจากนั้นอีกหนึ่งวัน ฉันก็ได้คำตอบเป็นกุญแจสำหรับ TeslaCrypt ที่ฉันแกล้งติดเท่านั้น แต่ฉันก็ขอไปอีกครั้ง หลักจากนั้นอีกสองวัน ฉันก็เห็นประกาศ “Project Closed” ของ TeslaCrypt บนเพจของพวกเขา แต่ก็ยังไม่เชื่อสายตาตัวเองจนกระทั่งได้ทำการทดสอบว่ามันเป็นของจริง

คุณรู้สึกอย่างไรที่เป็นคนติดต่อกับคนที่ทำงานกับมัลแวร์? และมันเป็นเรื่องปกติหรือไม่ที่นักวิจัยมัลแวร์พูดคุยกับนักธุรกิจสีเทา?

ก่อนอื่นต้องของบอกก่อนว่าการติดต่อครั้งนี้ผ่านช่องทางที่เหล่าทีมงานของ TeslaCrypt สร้าวไว้เพื่อติดต่อกับเหยื่อ โดยที่ทีมงานนั้นไม่ทราบว่าพวกเขากำลังคุยอยู่กับใคร ฉันจึงปลอมตัวเป็นหนึ่งในเหยื่อของ TeslaCrypt

และคำตอบของอีกคำถามก็คือ การพูดคุยกับอาชญากรไซเบอร์ไม่ใช่เรื่องปกติของนักวิจัยมัลแวร์ แต่ในกรณีฉันรู้สึกว่ามันคุ้มที่จะเสี่ยง

teslacrypt_closed-1024x204

จากประกาศของ TeslaCrypt ที่เขียนว่า “We are sorry” มีความหมายว่าอะไรต่อเมื่อพวกเขาเป็นคนสร้างความเสียหาย?

ยกตัวอย่างกรณีของ CryptoWall พวกเขาอ้างว่าพวกเขากำลังช่วยเหลือผู้คน และกำลังทดสอบโปรแกรมแอนตี้ไวรัส ซึ่งนั่นสร้างความเสียหายจำนวนมากกับผู้คนบนโลกไซเบอร์ ถึงแม้พวกเขาจะอ้างว่ามีเจตนาดี ด้วยการให้กุญแจถอดรหัสในบางครั้ง แต่พวกเขาก็ยังคงเป็นอาชญากรอยู่ดี

บทเรียนของเรื่องนี้ที่คุณอยากจะบอกผู้ใช้อินเตอร์เน็ตคืออะไร?

ผู้ใช้สมควรที่จะมีความรอบรู้เกี่ยวกับคอมพิวเตอร์ให้มากขึ้น และการปกป้องตัวเองจากภัยต่างๆบนโลกอินเตอร์เน็ต อย่างเช่นการระมัดระวังการเปิดไฟล์หรือลิงก์จากแหล่งที่มาที่ไม่พึงประสงค์

และแน่นอน การอัพเดทระบบปฏิบัติการ และซอฟต์แวร์ก็สำคัญไม่แพ้กัน พร้อมทั้งใช้โปรแกรมรักษาความปลอดภัย และสำรองข้อมูล

บริษัทที่ให้บริการแอนตี้ไวรัสกำลังทำงานอย่างหนัก เพื่อปกป้องทุกคนจากภัยเหล่านี้ แต่อีกปัจจัยหนึ่งที่สำคัญก็คือตัวผู้ใช้เอง ที่เป็นหนึ่งในสาเหตุของการสูญเสีย และอยากให้ผู้ที่ตกเป็นเหยื่อของโปรแกรมเรียกค่าไถ่ คิดไว้เสมอว่าสิ่งที่ต้องกังวลไม่ใช้ไฟล์เพียงอย่างเดียว เพราะอาชญากรไม่ได้ต้องการไฟล์ของคุณ แต่พวกเขาต้องการเงิน ฉันรู้ว่าการยอมสูญเสียไฟล์สำคัญนั้นทำใจยาก แต่ก็อยากให้คิดอีกสักนิดว่า ถ้าหากคุณจ่ายเงินให้กับอาชญากรนั่นหมายถึงคุณกำลังสนับสนุนธุรกิจของพวกเขา และถ้าไม่มีใครยอมจ่ายเงินเลยแม้แต่คนเดียวโปรแกรมเรียกค่าไถ่ก็ไม่อาจอยู่ได้

%d bloggers like this: