TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
แม้ว่าจะมีการตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) อย่างกว้างขวางในบางภูมิภาค เช่น ทวีปอเมริกาเหนือ และยุโรป ก็ยังพบว่ามีการเพิ่มขึ้นอย่างรวดเร็วของกรณีคล้ายกันในภูมิภาคอื่นๆ ตัวอย่างเช่น มีการพบเจอ Critroni หรือ Curve-Tor-Bitcoin (CTB) Locker ซึ่งเป็นมัลแวร์ crypto-locker รุ่นเก่า ในทวีปเอเชีย ถึงแม้ว่าจำนวนการตรวจพบในพื้นที่ใหม่ๆ เหล่านี้จะยังมีไม่มาก แต่ก็อาจเป็นสัญญาณที่บ่งบอกถึงการแพร่กระจายที่เพิ่มมากขึ้นของมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลในอนาคตอันใกล้
Ransomware หรือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลคืออะไร?
Ransomware เป็นมัลแวร์ชนิดหนึ่งที่มีพฤติกรรมไม่เหมือนกับมัลแวร์อื่นๆ Ransomware นี้จะทำการเข้าหรือล็อกไฟล์เอกสารหรือข้อมูลในเครื่อง (เรียกว่า CryptoLocker) ของผู้ใช้ด้วยรหัส ซึ่งจะส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์หรือคอมพิวเตอร์ได้ จากนั้นก็จะส่งข้อความ “เรียกค่าไถ่” ไปยังเจ้าของข้อมูลนั้นๆ เพื่อให้เจ้าของข้อมูลโอนเงินให้แก่ผู้ควบคุมมัลแวร์เพื่อแลกกับการถอดรหัสเพื่อกู้ข้อมูลคืนมา มัลแวร์ชนิดนี้จะมากับอีเมล์ที่มีไฟล์แนบที่มีชื่อ TOR, Invoice และอื่นๆ ซึ่งถ้าผู้ใช้งานเผลอ/พลาดไปเปิดไฟล์นั้นเข้า มัลแวร์ชนิดนี้ก็จะทำการ encrypted files ของเครื่องนั้นทันที
Ransomware เป็นมัลแวร์ที่มีหลายสายพันธุ์ และจัดเป็น Zero-day การจะกำจัดนั้นจะต้องได้ตัวอย่างของสายพันธุ์ที่ได้ระบบได้รับการแพร่กระจายมา โดยการกำจัดจะต้องออกแพทเทิร์นในการกำจัดแบบ 1 แพทเทิร์น : 1 สายพันธุ์ หากเป็นสายพันธุ์ที่ทางเทรนด์ไมโครมีตัวอย่างอยู่แล้ว เพียงอัพเดทแพทเทิร์นก็จะสามารถป้องกันได้
เพิ่มเติม: Ransomware 101: มัลแวร์เรียกค่าไถ่ข้อมูลคืออะไรและทำงานอย่างไร
CTB Locker แตกต่างอย่างไรจาก Crypto-Ransomware แบบอื่นๆ?
- Locker ทั่วไปขอให้ผู้ใช้จ่าย 3 Bitcoin (มูลค่าเท่ากับ 732.95 ดอลลาร์สหรัฐฯ)
- ไม่จำเป็นต้องใช้อินเทอร์เน็ตในการเข้ารหัสไฟล์ สามารถทำงานได้แม้กระทั่งในกรณีที่ไม่มีการเชื่อมต่อ
- ยอมถอดรหัส 5 ไฟล์ให้ฟรี
- ยืดกำหนดเส้นตายในการจ่ายค่าไถ่สำหรับไฟล์ที่ถูกเข้ารหัส
- เปิดโอกาสให้เหยื่อเลือกภาษาสำหรับข้อความเรียกค่าไถ่
ผู้ใช้ติดมัลแวร์ CTB Locker ได้อย่างไร?
- เหยื่อได้รับสแปมเมล์ที่มีมัลแวร์แฝงอยู่
- มัลแวร์ดังกล่าวดาวน์โหลด CTB Locker
- CBT Locker เข้ารหัสไฟล์ของเหยื่อ
- เหยื่อได้รับข้อความระบุยอดค่าไถ่และกำหนดเส้นตายสำหรับการจ่ายค่าไถ่
- จากนั้นเหยื่อจะต้องจ่ายเงิน Bitcoin ผ่านทาง TOR
ผลกระทบจาก CTB Locker ในภูมิภาคใหม่ๆ
ด้านล่างนี้คือรายชื่อประเทศที่ได้รับผลกระทบมากที่สุด นอกเหนือจากสหรัฐฯ และยุโรป ตะวันออกกลาง และแอฟริกา (EMEA) สาเหตุของปัญหาแตกต่างกันไป แต่โดยมากแล้ว เกิดจากนิสัยการท่องเว็บที่ไม่เหมาะสม และไม่ได้ติดตั้งโซลูชั่นรักษาความปลอดภัยที่มีประสิทธิภาพและทันสมัย
- อินเดีย
- ไทย
- อินโดนีเซีย
- ไต้หวัน
- เวียดนาม
- มาเลเซีย
- ฟิลิปปินส์
- ออสเตรเลีย
- ฮ่องกง
- เกาหลีใต้
- สิงคโปร์
- นิวซีแลนด์
ในกรณีที่ผู้ใช้ติดมัลแวร์ CTB Locker แล้ว จะยังคงสามารถกู้คืนข้อมูลได้หรือไม่?
แม้ว่ามัลแวร์จะอ้างว่าจะถอดรหัสไฟล์ข้อมูลคืนให้หลังจากที่ได้รับเงิน แต่ในความเป็นจริงแล้ว มีโอกาสน้อยมากที่จะได้รับข้อมูลกลับคืน แม้ว่าผู้ใช้จะยอมจ่ายค่าไถ่ให้ก็ตาม วิธีที่ดีที่สุดก็คือ การป้องกัน Ransomware ประเภทนี้เสียแต่เนิ่นๆ
ผู้ใช้จะสามารถหลีกเลี่ยงการติดมัลแวร์ CTB Locker ได้อย่างไร?
ผู้ใช้สามารถดำเนินการดังนี้:
- หลีกเลี่ยงการคลิกลิงค์ที่น่าสงสัย
- แบ็คอัพข้อมูลสำคัญ
- ตรวจสอบชื่อผู้ส่งอีเมล
- ตรวจสอบเนื้อหาและไฟล์แนบในอีเมล์อย่างรอบคอบ
- อัพเดตซอฟต์แวร์ให้ทันสมัย
“เราตรวจพบมัลแวร์ใหม่ๆ อย่างต่อเนื่อง รวมถึงพฤติกรรมที่เปลี่ยนแปลงไปของมัลแวร์เรียกค่าไถ่ข้อมูล และเราได้พัฒนาโซลูชั่นใหม่ๆ เพื่อรับมือกับมัลแวร์เหล่านี้ การแพร่ระบาดของมัลแวร์ที่เกิดขึ้นในพื้นที่ใหม่ๆ ในตอนนี้แสดงให้เห็นว่า มัลแวร์ชนิดนี้ก่อให้เกิดผลกระทบเพิ่มมากขึ้นอย่างต่อเนื่อง เราจึงขอแนะนำให้ทุกคนใช้ความระมัดระวังอย่างสูงสุด” — พอล โอลิเวเรีย ผู้จัดการฝ่ายสื่อสารเทคนิคของ TrendLabs
