By: Blltz 
on 8 June 2015 - 11:12
Tags:
Topics:
ตั้งแต่ปลายปีก่อน เริ่มมีรายงานว่าพบมัลแวร์เรียกค่าไถ่(Ransomware) เพิ่มขึ้นอย่างต่อเนื่อง และมีรูปแบบใหม่ในการทำให้เหยื่อติดมัลแวร์ง่ายขึ้น จากเดิมที่มาจากอีเมล ตอนนี้ถึงกับมีคนลงทุนซื้อโฆษณาเพื่อใช้ช่องโหว่จากแฟลช และจาวาสคริปต์เพื่อติดตั้งมัลแวร์ได้สะดวกขึ้น Trend Micro ผู้เชี่ยวชาญด้านความปลอดภัยจึงออกมาแนะนำ และนำเสนอเครื่องมือสำหรับป้องกัน Ransomware โดยเฉพาะ
Ransomware นั้นแต่เดิมมีอยู่หลายประเภทด้วยกัน ตั้งแต่แบบที่หลอกผู้ใช้ว่าเครื่องติดไวรัส (Scareware) ไปจนถึงการเข้ารหัสไฟล์สำคัญของเครื่องเพื่อเรียกค่าไถ่สำหรับปลดล็อกข้อมูล (Crypto-Ransomware) ซึ่งแบบหลังเริ่มพบบ่อยในช่วงหลังทั้งภาคธุรกิจ และผู้ใช้ตามบ้าน ซึ่งนอกจากจะเป็นที่นิยมมากขึ้นแล้ว ตัวมัลแวร์ยังถูกพัฒนาให้ทำงานได้ซับซ้อนยิ่งขึ้น การทำงานของมัลแวร์เรียกค่าไถ่แบบเข้ารหัสไฟล์จะเริ่มต้นจากเหยื่อรันโปรแกรมที่มีมัลแวร์ซึ่งมักได้มาจากอีเมล ทำให้ตัวมัลแวร์เริ่มเข้ารหัสไฟล์ ก่อนจะแจ้งเตือนให้จ่ายเงินเพื่อแลกกับการปลดล็อกไฟล์ในภายหลัง
ปัญหาที่เกิดหลังจากการมาของ Ransomware จะมีตั้งแต่ล็อกหน้าจอ ไปจนถึงเข้ารหัสไฟล์ที่เห็นบ่อยในช่วงหลัง โดยไฟล์ที่ถูกเข้ารหัสนั้นไม่ใช่แค่ในเครื่องที่ติดมัลแวร์ แต่สามารถกระจายไปยังเครือข่ายที่เครื่องนั้นเห็นเป็นไดร์ฟที่สามารถเข้าถึงอีกด้วย โดยในตอนนี้โปรแกรมป้องกันไวรัสยังไม่สามารถแยกจับ Ransomware ได้อย่างเต็มประสิทธิภาพ เนื่องจากการทำงานดันไปตรงกับโปรแกรมเข้ารหัสเป๊ะๆ ต่างกันตรงที่มีการเรียกค่าไถ่เพิ่มเข้ามานั่นเอง
ตัวอย่าง Crypto-Ransomware
เป้าหมายของ Ransomware เป็นกลุ่มธุรกิจองค์กร โดยเฉพาะฝั่งโรงพยาบาลถูกโจมตีอย่างหนัก และมีการสร้างมัลแวร์เฉพาะทางเข้ามาโจมตี เช่น TorrentLocker ที่มุ่งโจมตีธุรกิจองค์กรกว่า 4,000 แห่ง และเรียกค่าไถ่มูลค่าสูงมาก
การป้องกัน Ransomware จะค่อนข้างลำบากกว่ามัลแวร์ประเภทอื่น เนื่องจากต้องทำไว้ล่วงหน้า ทั้งการแบ็คอัพไฟล์อย่างสม่ำเสมอ เพื่อไม่ให้ไฟล์แบ็คอัพถูกมัลแวร์เล่นงานไปด้วย รวมถึงตรวจสอบแหล่งที่มาของอีเมลที่ส่งมาอย่างระมัดระวัง ทั้งไฟล์แนบ และลิงก์ที่อยู่ในอีเมล และท้ายสุดคือการอัพเดตซอฟต์แวร์รักษาความปลอดภัยให้เป็นรุ่นล่าสุดอยู่เสมอ
สำหรับการป้องกันด้วยซอฟต์แวร์ Trend Micro เพิ่งออกมาประกาศว่าเป็นเจ้าแรกที่สามารถป้องกันการโจมตีของ Ransomware ได้ โดยในอัพเดตของ OfficeScan 11 SP1 ได้มีการเพิ่มฟีเจอร์สำหรับจัดการกับ Ransomware เข้าไป โดยดูจากพฤติกรรมการทำงานของมัลแวร์ เช่นการเรียกไฟล์พร้อมกันเป็นจำนวนมาก และเปลี่ยนข้อมูลพร้อมๆ กัน ซึ่งไม่ใช่พฤติกรรมของมนุษย์แน่นอน ตัว OfficeScan จะจัดการหยุดการทำงานของ Ransomware ตัวดังกล่าวทันที แต่ก็ไม่การันตีว่าจะป้องกันข้อมูลได้สมบูรณ์ ขึ้นอยู่กับการทำงานของมัลแวร์ตัวดังกล่าว
แม้จะสามารถป้องกันได้ แต่สำหรับมัลแวร์บางตัวที่ใช้รูปแบบการทำงานใหม่ หรือผู้ใช้ที่โดนเข้ารหัสไฟล์เป็นที่เรียบร้อยแล้ว โปรแกรมป้องกันไวรัสตัวใดๆ ก็ไม่สามารถช่วยเหลือได้ และ OfficeScan ที่เพิ่งอัพเดตมาตอนนี้ก็ยังสามารถใช้ได้เฉพาะฝั่งองค์กรก่อน โดยจะอัพเดตเพิ่มเติมไปให้ผู้ใช้ตามบ้านในภายหลัง ตอนนี้ก็พยายามแบ็คอัพ และตรวจสอบที่มาของอีเมลให้ละเอียดๆ กันไปก่อน
สำหรับคนที่สงสัยว่า Crypto-Ransomware ทำงานอย่างไร สามารถดูการทำงานของ TorrentLocker ท้ายข่าวได้ครับ
Get latest news from Blognone
Follow @twitterapi
Comments
ข่าวต่อไป Ransomeware ใหม่ "ค่อยๆ encrypt"
lewcpe.com, @wasonliw
ป้องกันนโดยการ เข้ารหัส file ทั้งหมดของตัวเองไว้ก่อนได้ไหมครับ
เข้ารหัสแล้วก็เข้ารหัสทับได้ครับ ก็คือสุดท้ายถ้าโดน ransomware เข้าไปก็ต้องถอดรหัสจาก ransomware ก่อนแล้วค่อยถอดรหัสปกติ
แล้ว ทำไม ระบบ จึงยอม ให้ ทำการ เข้ารหัส โดยไม่ต้อง ขอ การยืนยัน
ยืนยัน ด้วย พาสเวิร์ด ..... ได้มั๊ย
ผมเข้าใจนะว่า การ อ่านไฟล์เดิมมาเข้ารหัสแล้วเขียนทับไฟล์เดิม OS มันป้องกันไม่ได้
แต่ เทรนด์ทางนี้ มันเริ่มมาก มันจะป้องกันได้มั๊ย มีแนวทาง อะไรมั๊ย
OS รู้แค่ว่ามีโปรแกรม อ่านไฟล์ + เขียนไฟล์ ครับ
ในข่าวนี่ล่ะครับ แนวทางหนึ่งที่เขาเสนอมา
lewcpe.com, @wasonliw
จ่ายเงินเพื่อแลกกับการล็อกไฟล์ ?
อย่าหาว่าผมเกรียนเลยนะครับ จนตอนนี้ผมล่ะไม่เข้าใจจริงๆ ว่าทำไมโลกเราต้องมีระบบเข้ารหัสบ้าๆ อะไรอย่างนี้ด้วย
ผมมองตัวเองว่าเป็น user ธรรมดาทั่วไปนะ คือเข้าใจว่าในภาคธุรกิจ ระบบคอมพิวเตอร์จำเป็นต้องมีการเข้ารหัสข้อมูลโดยเฉพาะข้อมูลที่มีค่าและเป็นความลับ ซึ่งอันนี้มันมีความจำเป็น แต่ผู้ใช้ตามบ้านเนี่ย ไม่ทราบว่าจะเอาระบบเข้ารหัสข้อมูลไปทำอะไรไม่ทราบครับ กลายเป็นว่ามาเป็นดาบสองคมให้ Ransomware มาระบาดกันไปเปล่าๆ
ผมเองไม่เคยคิดแม้แต่จะเข้ารหัสข้อมูลไดรฟ์หรือข้อมูลอะไรเลยด้วยซ้ำ ถ้าพูดถึงความปลอดภัยในข้อมูลสำหรับผม ไม่ใช่การรั่ว แต่คือการ "คงอยู่" ผมแคร์มากกว่าว่าถ้าไดรฟ์หรือข้อมูลเป็นอะไรขึ้นมาผมจะต้องกู้ไฟล์ได้ ไฟล์ผมต้องอยู่ แต่ไฟล์รั่วผมไม่แคร์ ดังนั้นผมจึงไม่คิดที่จะเข้ารหัสไฟล์อะไรเลยแม้แต่น้อย
ทุกวันนี้ผมผวา Ransomware มากนะครับพูดเลย กลัว มันซีเรียสมากนะครับ ถ้าโดนนี่คือผมยอมจ่ายอ่ะ แต่ก่อนอื่นก็ต้องพยายามหาทาง backup ข้อมูลอยู่ตลอด แต่มันก็ทำไม่ได้ตลอดหรอก ไม่รู้ว่าวันดีคืนดีจะเจอเมื่อไหร่ ที่กลัวคือเกิดติด Ransomware เอาตอนที่กำลังเสียบ Ext. Hdd Backup อยู่เนี่ย วิกฤติเลยนะครับ ไปหมดเลยทีนี้
ผมไม่เข้าใจว่าทุกวันนี้ทำไมโลกเราปล่อยให้พวก Ransomware มันระบาดได้ มันหนักกว่าไวรัสซะอีก สมัยก่อนเจอไวรัส มันยังแก้ได้ ยังกู้ข้อมูลได้ แต่เจอเข้ารหัสเรียกค่าไถ่ไปนี่จบเลย และมันมีผลตอบแทนเป็นตัวเงินยิ่งทำให้มันระบาดหนัก แต่พวก Anti-virus ยังไม่มีใครออกมาทำอะไรเป็นเรื่องเป็นราว ก็มี Trend Micro ออกำมานี่แหละ แต่ก็ถือว่าขยับตัวกันช้ามากๆๆๆๆๆๆๆๆ
อ่านแล้วจี๊ดตรงเนื้อข่าวที่บอกว่า "ตอนนี้โปรแกรมป้องกันไวรัสยังไม่สามารถแยกจับ Ransomware ได้อย่างเต็มประสิทธิภาพ เนื่องจากการทำงานดันไปตรงกับโปรแกรมเข้ารหัสเป๊ะๆ" ก็อย่างที่ผมบอกว่าผู้ใช้ตามบ้านทั่วไป จะไปเข้ารหัสไฟล์บ้าอะไรอย่างนี้ทำไมครับ ให้คิดได้เลยว่าถ้าเกิดการเข้ารหัสไฟล์ปั๊บ = Ransomware แน่นอน ดังนั้นจะไปแคร์กับโปรแกรมเข้ารหัสกันทำไมล่ะครับ ไม่ว่าจะโปรแกรมหน้าไหนก็ตาม ถ้าเข้ารหัสไฟล์ปั๊บ ควรบล๊อกก่อนทันที
ถ้ามีโปรแกรมตัวไหนทำได้แบบนี้ ผมซื้อมาใช้จริงๆ แต่ทุกวันนี้ยังไม่เห็นมีเจ้าไหนทำเลย
เข้าใจว่ามีบางโปรแกรม ต้องมีการเข้ารหัสข้อมูล เพื่อเก็บ data ของผู้ใช้ไว้ เช่นอาจจะเป็นพวกโปรแกรม chat ที่เก็บ log เอาไว้ แต่พูดเลยว่ามันไม่จำเป็นครับสำหรับผม ผมยอมให้มันเป็นไฟล์เปลือยๆ มากกว่าจะมาเป็นช่องโหว่ให้ Ransomware เอาไปใช้ประโยชน์แบบนี้ได้
ตรรกะผมคือ การเข้ารหัสไฟล์ข้อมูล ไม่จำเป็นสำหรับผู้ใช้ตามบ้าน ดังนั้นไม่ว่าโปรแกรมใดที่มีการเข้ารหัสไฟล์ข้อมูล ควรจะต้องถูกบล็อกก่อนทันที เพราะสันนิฐานว่าไม่ได้เกิดจากตัวผู้ใช้สั่งงานเอง กลายเป็นว่าเพราะ Ransomware นี่ทำให้ผมรังเกียจรูปแบบการ encrypt ไฟล์ไปเลยครับ
ขอให้โชคดีเวลาล็อกอินเว็บ, ทำธุรกรรมธนาคารออนไลน์, และ Wi-Fi ทุกรูปแบบนะครับ (คนตามบ้านทั้งนั้นล่ะของพวกนี้)
ด้วยความสัตย์จริง ผมทึ่งมากนะครับ ที่เห็นคนที่ควรจะรู้เรื่องคอมพิวเตอร์อย่างคุณคอมเมนต์อะไรแบบนี้
lewcpe.com, @wasonliw
ผมเข้าใจคำอธิบายของคุณ lew นะครับ และยอมรับครับว่าแสดงความคิดเห็นจนทำให้คนอ่านอาจจะต้องทึ่ง ^^' โดยเฉพาะคุณ lew ที่เขียนบทความเกี่ยวกับเรื่องนี้มาโดยตลอด
จริงๆ ผมเข้าใจเรื่องการเข้ารหัสข้อมูลครับ ผมอ่านบทความของ blognone โดยเฉพาะที่คุณ lew เขียนมาตลอดแน่นอน เรื่องนี้ผมพอจะเข้าใจดี และทราบถึงความจำเป็น คุณค่าและความสำคัญของการเข้ารหัสข้อมูล โดยเฉพาะการทำธุรกรรมต่างๆ ผ่านอินเทอร์เน็ต อันนี้มองภาพออกแน่นอน
แต่อย่างที่เกริ่นไว้ตอนแรกคือที่ว่าขอคอมเมนต์แบบถ้ามองตัวเองว่าเป็น user ทั่วไป เพราะผมกำลังรู้สึกว่าเรื่อง Ransomware กำลังระบาดหนักไป มันน่ากลัวมาก แต่ที่ผ่านมากลับไม่มีหน่วยงานใดออกมาป้องกันกันอย่างเป็นจริงเป็นจังเลย แม้แต่ตำรวจในสหรัฐฯ ยังโดน และกลุ่มพวกโปรแกรม Security Software ทำไมจึงขยับตัวช้ามากกับกรณีแบบนี้
การเข้ารหัสไฟล์ที่มีการรับส่งผ่านเครือข่ายอินเทอร์เน็ต ถือเป็นสิ่งจำเป็น แต่อย่างที่ผมบอกว่าผู้ใช้ตามบ้าน การอยู่ดีๆ แล้วจะมีการมาเข้ารหัสไฟล์ข้อมูลใน storage มันไม่ควรเกิดขึ้นครับ คงไม่ใช่ผู้ใช้ทุกรายที่มีความจำเป็นต้องเข้ารหัสไฟล์ที่เก็บใน storage นอกจากภาคธุรกิจ แต่เพราะแบบนี้มันเลยกลายเป็นดาบสองคมให้อาชญากรมาทำ ransomware ตรงนี้ได้
อาจจะดูเกรียน แต่เรียนตามตรงว่าผมอึดอัดมากครับ กับโลกคอมพิวเตอร์ที่ปล่อยให้เรื่องแบบนี้มันเกิดขึ้นง่ายๆ ได้อย่างไร
ปล. อีกเรื่องนึงที่ผมเริ่มรังเกียจแล้วด้วยก็คือ BitCoin นี่ล่ะครับ โดยตัวผมเข้าใจในหลักการนะครับ และเห็นด้วยในหลักการตอนที่มันออกมา แต่กลายเป็นว่ามันถูกเอามาใช้ในการเป็นเครื่องมือก่ออาชญากรรมแบบนี้ไปซะงั้น จนผมเริ่มสำนึกแล้วว่าทำไมโลกเราระบบการเงินจึงต้องมีศูนย์กลาง ทำไมจึงต้องย้อนตรวจสอบได้ จนแทบจะอยากให้ BitCoin เป็นสิ่งผิดกฏหมายไปเลย
จริงๆ มัลแวร์เรียกค่าไถ่มันมีมานานแล้ว แต่สมัยนั้นหลายคนเชื่อว่ามัลแวร์ประเภทนี้ยังไม่น่าจะระบาดมากนัก เพราะการส่งเงินกลับไปให้โจรมันจะเป็นช่องให้ตำรวจสาวถึงตัวได้ แต่ปัจจุบันการมี BitCoin และ TOR ทำให้โจรสามารถใช้ประโยชน์จากพวกนี้ได้เต็มๆ มันถึงได้ระบาดหนักมากในช่วงหลังๆ มานี้
จะว่าไป การเข้ารหัสข้อมูลยังไม่ควรจะถูกมองเป็นผู้ร้าย เท่ากับธุรกรรมการเงินที่ตรวจสอบย้อนหลังไม่ได้เนี่ยแหละ น่ากลัวกว่ามากจริงๆ เพราะเปิดช่องให้เกิดอาชญากรรมขึ้นได้เต็มๆ
อยากบอกว่าเรื่องนี้ผมกลัวจริงครับ จนอาจจะหลุดแสดงความคิดเห็นอะไรที่มันไร้กรอบไปบ้าง แต่โปรดสบายใจเถอะครับว่าโดยเนื้อแท้แล้วผมก็เข้าใจในหลักการครับ เพียงแต่อาจจะอยากเกิดมีอารมณ์บ่นแบบชาวบ้านๆ บ้าง ก็ต้องขออภัยด้วยครับ ^^"
โลกคอมพิวเตอร์ "ที่ปล่อยให้เรื่องแบบนี้มันเกิดขึ้นง่ายๆ" คือโลกที่
ในโลกความเป็นจริงระบบที่สำคัญสูง แยกเครือข่ายออกจากอินเทอร์เน็ตทั้งสิ้น โลกผู้ใช้ทั่วไป ผู้ใช้ที่ไม่มีความรู้พอที่จะสำรองข้อมูล, ดูแลความปลอดภัยตัวเอง ก็ควรพิมพ์เอกสารเก็บไว้ครับ อันนี้ตรงไปตรงมา คุณดูแลความปลอดภัยความปลอดภัยในคอมพิวเตอร์ของคุณไม่ได้ก็ไม่ควรเอาอะไรไปฝากไว้ในคอม
ผมเห็นหน่วยงานธุรกิจขนาดเล็กหลายหน่วยงานแยกคอมพิวเตอร์สำคัญมากๆ เช่นระบบบัญชีเป็นเครื่องเดียวที่ไม่ต่ออินเทอร์เน็ต ก็เป็นทางที่ตรงไปตรงมา ควบคุมได้ เข้าใจได้โดยคนปฎิบัติงาน ควบคุมกันไปเลยว่าห้ามนำข้อมูลออกนอกห้องนั้น การใส่ข้อมูลเพิ่มต้องใช้คนเข้าไปคีย์ และพิมพ์ออกมาด้วย printer แบบ dot-matrix
กระบวนการเข้ารหัสมีอยู่ในโลก คุณเห็นด้วยการ transport ที่มีการเข้ารหัส แล้วคุณคิดว่ามันเป็นไปได้หรือที่จะห้ามไม่ให้แฮกเกอร์ใช้กระบวนการเดียวกันมาเข้ารหัสข้อมูลบนดิสก์
แต่รับทราบครับ ว่าเป็นการบ่นแบบระบายไปเรื่อยๆ
lewcpe.com, @wasonliw
Trend Micro ก็แค่โฆษณาครับ antivirus อื่นๆ มีพวก activities/attributes scan นานแล้ว บางเจ้าใช้ระบบ file rating/ages/reputation/population เข้ามาช่วยด้วย
ส่วนการเข้ารหัสนั้นดีแน่นอนครับ ที่ไม่ดีก็คือคนที่เอาไปใช้มากกว่า เรื่องนี้ไม่เกียวกับการเข้ารหัสกับ ransomware หรอกครับ ถ้าคนมันจ้องจะเล่นงานก็ลบข้อมูลในไฟล์ทั้งหมดเลยก็ได้ เพียงแต่ ransomware มันยังเปิดโอกาสให้คุณได้ไฟล์คืนแค่นั้นเอง การเข้ารหัสเป็นเพียงเครื่องมือนึงเท่านั้น อย่างคำสั่ง echo เองก็เอาไปใช้ทำลายข้อมูลคุณได้
เป็นผมถ้าจะโดน ผมยอมโดน ransomware มากกว่าข้อมูลหายทั้งหมดนะ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ตอบคุณ illusion ผมอ่านก็เข้าใจมุมมองคุณนะครับ แต่ผมอยากบอกว่า user ธรรมดา ก็คือ คนปกติทั่วไป คนทั่วไปก็ต้องการ privacy ยกตัวอย่างคนธรรมดา ยังต้องมีบ้าน และประตูบ้านก็ยังล็อกกุญแจเลยครับ แต่ละคนมองความสำคัญของ privacy ต่างกันก็เท่านั้นเองครับ
อธิบาย Clear ดีครับ น่ากลัวจริงๆ TT
น่าจะมี antivirus ที่มันตรวจได้ว่าเป็นโปรแกรมที่ไม่ได้อยู่ใน whitelist ก็ run บน sandbox ไปแบบนี้ ไม่รู้ว่ามีใหม
+100 ทุกครั้งที่รันอะไรนอกเหนือจาก whitelist ต้องกรอก password ก่อนน่าจะช่วยได้
+1
มันคือ UAC? ที่ไมโครซอฟท์ถูกบ่นอย่างหนัก
lewcpe.com, @wasonliw
ผมว่า UAC มันดันไปสนใจเฉพาะโปรแกรมที่กำลังไปยุ่งกับระบบมากกว่า ผิดกับพวกนี้ที่เลือกเล่นงานเฉพาะไฟล์ของ user เองมากกว่า
UAC ก็ดีนะครับตั้งค่าการเข้ารหัสไว้ว่าทุกครั้งที่จะเข้ารหัสไฟล์ในเครื่องให้ถามก่อน
ไวรัสพวกนี้ก็ทำตัวเหมือนไวรัสโมนาลิซ่าที่พอมีถามเรื่องauto run พี่แกก็ไปไม่เป็น
โดยในอัพเดตของ OfficeScan 10 SP1
ต้องแก้เป็น officeScan 11 SP1 นะครับ ( 11 ไม่ใช่ 10 ครับ )