ข่าวและกิจกรรม

รักษาข้อมูลให้ปลอดภัยจากตัวร้าย Ransomware

เป็นที่ทราบกันดีว่าทุกคนย่อมเคยมีประสบการณ์ที่คอมพิวเตอร์ของตนเองติดมัลแวร์ ไม่ว่าจะเป็นในรูปแบบของโทรจัน เวิร์ม รูทคิท หรือที่ผู้ใช้ทั่วไปมักเรียกโปรแกรมไม่พึงประสงค์เหล่านี้รวมกันว่าไวรัส ซึ่งมัลแวร์แต่ละประเภท และแต่ละตัวก็จะก่อให้เกิดผลกระทบและความเสียหายที่แตกต่างกันไป ตัวอย่างของมัลแวร์ที่คนส่วนใหญ่มักเคยพบเจอได้แก่ โทรจันประเภท Keylogger ที่แอบขโมยข้อมูลการกดแป้นคีย์บอร์ดของผู้ใช้ส่งกลับไปยังผู้ไม่หวังดี หรือมัลแวร์ที่แอบตั้งค่าต่างๆ ในระบบปฏิบัติการและป้องกันไม่ให้ผู้ใช้เข้าไปแก้ไขค่าดังกล่าว อย่างไรก็ตาม ยังมีมัลแวร์อยู่ประเภทหนึ่งที่เรียกว่า Ransomware ซึ่งไม่ได้ใช้วิธีการขโมยข้อมูลส่วนบุคคลของผู้ใช้เหมือนกับที่มัลแวร์ในสมัยนี้นิยมทำกัน หากแต่ทำการ “เรียกค่าไถ่” ด้วยการทำให้ผู้ใช้ไม่สามารถเข้าถึงระบบหรือข้อมูลในคอมพิวเตอร์ หรือหลอกล่อด้วยวิธีการใดๆ ก็ตามที่จะทำให้ผู้ใช้ยอมชำระเงินให้กับผู้ไม่หวังดีเพื่อที่จะแก้ไขปัญหาที่เกิดขึ้น ซึ่งวิธีการข่มขู่หรือหลอกล่อให้เหยื่อชำระเงินนั้นมีด้วยกันสารพัดวิธี ไม่ว่าจะเป็นการขึ้นข้อความแอบอ้างว่าเป็นเจ้าหน้าที่รัฐที่ตรวจสอบพบว่าคอมพิวเตอร์ของเหยื่อถูกนำไปใช้ในทางที่ผิดกฎหมาย หรือขึ้นข้อความหลอกให้ผู้ใช้ทำการ Reactivate Windows ด้วยการโทรศัพท์ไปยังเบอร์ที่ผู้ไม่หวังดีให้บริการ ซึ่งเป็นการโทรทางไกลที่เสียค่าใช้จ่ายสูงเป็นต้น มัลแวร์ประเภท Ransomware นั้นเคยมีการค้นพบมานานนับสิบปีแล้ว แต่เนื่องจากในช่วงที่ผ่านมาไม่นานนี้มีการค้นพบ Ransomware ที่มีชื่อว่า CryptoLocker และ CTB-Locker ซึ่งกำลังตกเป็นข่าวที่ผู้คนกำลังให้ความสนใจ จึงขอหยิบบทความที่เกี่ยวข้องมานำเสนอเพื่อให้ผู้อ่านได้ตระหนักและรู้เท่าทันถึงมัลแวร์ดังกล่าว

มารู้จักกับ Ransomware กันดีกว่า……
CryptoLocker และ CTB-Locker เป็น Ransomware บนระบบปฏิบัติการ Windows โดยจะเผยแพร่มาทางไฟล์แนบในอีเมลหลอกลวง พร้อมกับแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงเป็นไฟล์ PDF หรือเผยแพร่ผ่านทางมัลแวร์ประเภทบอตเน็ตที่เคยถูกติดตั้งลงบนเครื่องของผู้ใช้มาก่อน ซึ่งจะทำการเข้ารหัสลับข้อมูลไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่นๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่ายก็ถูกเข้ารหัสลับด้วยเช่นกัน

นามสกุลของไฟล์ที่ถูก Ransomware
นามสกุลของไฟล์ที่ถูก CryptoLocker เข้ารหัสลับ (ภาพประกอบจาก: Naked Security)
หน้าต่างของโปรแกรมที่ข่มขู่ให้ผู้ใช้ชำระเงิน
หน้าต่างของโปรแกรม CryptoLocker ที่ขึ้นข้อความข่มขู่ให้ผู้ใช้ชำระเงิน (ภาพประกอบจาก: Naked Security)

Ransomware มีรูปแบบการโจมตีอย่างไร
เริ่มแรกผู้ไม่หวังดีจะทำการแฮกเว็บไซต์แล้วฝังมัลแวร์ที่จะใช้เผยแพร่บนเว็บไซต์ หรือใช้วิธีการส่งออกอีเมลโดยมีไฟล์แนบที่เป็นมัลแวร์ไปยังผู้ใช้งาน โดยเมื่อผู้ใช้งานเข้าใช้งานเว็บไซต์ที่มีมัลแวร์ฝังอยู่ หรือเปิดไฟล์แนบในอีเมลที่เป็นมัลแวร์ มัลแวร์จะทำการดาวน์โหลด และติดตั้งลงในคอมพิวเตอร์ของผู้ใช้ในทันที

หลังจากนั้นมัลแวร์จะเข้าควบคุมคอมพิวเตอร์ของผู้ใช้งานทำให้ผู้ใช้งานไม่สามารถใช้คอมพิวเตอร์ได้ โดยจะยืนข้อเสนอให้ผู้ใช้งานยอมชำระเงินให้แก่ผู้ไม่หวังดี ซึ่งอาจจ่ายเป็นสกุลเงินจริง หรือเงินเสมือน เช่น Bitcoin ทั้งนี้ขึ้นอยู่กับเงื่อนไขของมัลแวร์แต่ละตัว

หลังจากนั้นผู้ไม่หวังดีจะส่งรหัสสำหรับถอดรหัสลับข้อมูลเพื่อให้ผู้ใช้งานสามารถเข้าใช้งานเครื่องคอมพิวเตอร์ได้ ทั้งนี้ในบางกรณีผู้ไม่หวังดีได้รับเงินแล้ว อาจจะไม่ส่งรหัสข้อมูลกลับมา แต่จะทำการยืนข้อเสนอให้ผู้ใช้งานชำระเงินให้แก่ผู้ไม่หวังดีอีกครั้งจนกว่าจะพอใจ

แนวทางการป้องกัน และการแก้ไขให้ห่างจาก Ransomware
แจ้งเตือน และข้อแนะนำเพื่อป้องกันความเสียหายจาก Ransomware (ภาพประกอบจาก: ThaiCERT)

แนวทางการป้องกัน และการแก้ไขให้ห่างจาก Ransomware

  1. Backup ข้อมูลอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ถูก Backup ไว้ในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
  2. ติดตั้ง/อัปเดตโปรแกรมป้องกันไวรัส รวมถึงอัปเดตโปรแกรมอื่นๆ โดยเฉพาะโปรแกรมที่มักมีข่าวเรื่องช่องโหว่อยู่บ่อยๆ เช่น Java และ Adobe Reader และอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
  3. ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
  4. หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ์เหล่านั้น
  5. ตั้งค่า Policy ของระบบปฏิบัติการ เพื่อป้องกันไม่ให้มัลแวร์สามารถทำงานตาม Directory หรือ Path ที่ระบุได้

จากวิธีการป้องกันตามที่กล่าวมาข้างต้น จะสังเกตได้ว่าส่วนใหญ่เป็นวิธีที่ผู้ใช้ทั่วไปมักทราบกันดีอยู่แล้ว เพียงแต่อาจไม่ใส่ใจที่จะปฏิบัติตาม เนื่องจากคิดว่าตนเองไม่น่ามีโอกาสพบกับเหตุร้ายเหล่านี้ได้ โดยเฉพาะกรณีที่คอมพิวเตอร์ติดมัลแวร์ Ransomware เนื่องจากผู้ใช้มีความเสี่ยงที่จะสูญเสียข้อมูลในคอมพิวเตอร์ทั้งหมดอย่างถาวร เว้นแต่ผู้ใช้จะเลือกวิธีการชำระเงินให้กับผู้ไม่หวังดี ซึ่งไม่แนะนำให้ทำวิธีนั้น เนื่องจากไม่มีหลักประกันใดๆ ว่าเมื่อชำระเงินไปแล้ว ข้อมูลของผู้ใช้จะสามารถถูกถอดรหัสลับกลับมาเป็นเหมือนเดิมได้ รวมถึงการชำระเงินให้กับผู้ไม่หวังดีนั้น เท่ากับว่าเป็นการสนับสนุนให้ผู้ไม่หวังดีมีแรงจูงใจที่จะกระทำการในลักษณะนี้ต่อไปในอนาคตอีกด้วย

โดยสรุป
Ransomware เป็นมัลแวร์ตัวหนึ่งที่พบการแพร่ระบาดในวงกว้าง ซึ่งมัลแวร์เหล่านี้อาจทำให้ผู้ใช้สูญเสียข้อมูลสำคัญทั้งหมดในเครื่องคอมพิวเตอร์ได้ ดังนั้นวิธีการป้องกันไม่ให้เกิดการสูญเสียข้อมูลที่ง่ายและดีที่สุดก็คือการ Backup ข้อมูลลงในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบภายนอก ติดตั้งโปรแกรมป้องกันไวรัส อัปเดตโปรแกรมและระบบปฏิบัติการอย่างสม่ำเสมอ รวมถึงการไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย ซึ่งล้วนแล้วแต่เป็นวิธีปฏิบัติพื้นฐานในการป้องกันตนเองจากเหตุภัยคุกคามด้านสารสนเทศที่อาจเกิดขึ้นได้ทุกเมื่อ

ข้อมูลจาก: thaicert.or.th โดยคุณธงชัย ศิลปวรางกูร ภาพประกอบจาก: Naked Security และ ThaiCERT

ข่าวที่ผ่านมา