Ransomware หรือ มัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ (Malware) ที่มีลักษณะการทำงานที่แตกต่างกับมัลแวร์ประเภทอื่นๆ คือ ไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูลของผู้อื่นแต่อย่างใด แต่จะเข้ารหัสหรือล็อคไฟล์ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วีดีโอ ผู้ใช้งานจะไม่สามารถเปิดหรือเข้าถึงไฟล์เหล่านั้นได้ ดังนั้นผู้ใช้จะต้องทำการจ่ายเงินตามข้อความ “เรียกค่าไถ่” เพื่อปลดล็อคกู้ข้อมูลคืนมา
โดยข้อมูลหรือข้อความ “เรียกค่าไถ่” จะแสดงหลังไฟล์ถูกเข้ารหัสเรียบร้อยแล้ว จำนวนเงินค่าไถ่จะแตกต่างกันไป โดยจะมีราคาอยู่ที่ $150 - $500 โดยประมาณและการชำระเงินต้องชำระผ่านระบบที่มีความยากต่อการตรวจสอบหรือติดตาม เช่น การโอนเงินผ่านทางอิเล็กทรอนิกส์, Paysafecard หรือ Bitcoin เป็นต้น แต่อย่างไรก็ตามการชำระเงินก็ไม่ได้หมายความว่าผู้ไม่หวังดีจะส่งคีย์ที่ใช้ในการปลดล็อคไฟล์ให้กับผู้ใช้งาน
รูปที่ 1 ตัวอย่างข้อความ "เรียกค่าไถ่"
Ransomware แพร่กระจายได้อย่างไร
Ransomware จะแพร่กระจาย โดยผ่านช่องทางต่าง ๆ ดังนี้
• ในรูปแบบเอกสารแนบทางอีเมล์
Ransomware จะมาในรูปแบบเอกสารแนบทางอีเมล์ โดยอีเมล์ผู้ส่งมักจะเป็นผู้ให้บริการที่เรารู้จักอย่างเช่น ธนาคาร และจะใช้หัวข้อหรือประโยคที่ดูน่าเชื่อถืออย่าง “Dear Value Customer”, “Undelivered Mail Retured to Sender”, “Invitation to connect on LinkedIn.” เป็นต้น ประเภทของไฟล์แนบก็จะเป็น “.doc” หรือ “.xls” ทำให้ผู้ใช้คิดว่าเป็นไฟล์เอกสาร Word หรือ Excel แต่เมื่อตรวจสอบจะเห็นนามสกุล “.exe” ซ่อนอยู่ อย่างเช่น “Paper.doc.exe” แต่ผู้ใช้จะเห็นเฉพาะ “Paper.dac” ทำให้เข้าใจผิดว่าเป็นไฟล์ที่ไม่อันตราย
รูปที่ 2 แสดงกระบวนการของ Ransomware ที่ถูกส่งมาทางอีเมล์
• ในรูปแบบของโฆษณา (Malvertising)
Ransomware อาจมาในรูปแบบของโฆษณา มาว่าจะเป็นที่ฝังมากับซอฟต์แวร์หรือตามหน้าเว็บไซต์ต่าง ๆ
• เชื่อมโยงไปยังเว็บไซต์อันตรายและอาศัยช่องโหว่ของซอฟต์แวร์
ผู้ใช้ยังสามารถกลายเป็นเหยื่อได้โดยไม่ได้ตั้งใจ เพียงเข้าเยี่ยมชมหน้าเว็บที่ถูกผู้ไม่หวังดีเข้ามาควบคุม ตัวอย่างเช่น ถูกดาวน์โหลดโค้ด (Code) ที่เป็นอันตรายผ่านทางโฆษณาแบนเนอร์ใน Flash ดังแสดงในรูปที่ 3 โดย Ransomware มักจะใช้ประโยชน์จากข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัยอื่นๆในเบราว์เซอร์, แอพลิเคชั่น หรือ ระบบปฏิบัติการ บ่อยครั้งก็มักจะเกิดจากช่องโหว่ในเว็บเบราว์เซอร์, Java และ PDF แต่ช่องโหว่ที่พบมากที่สุดก็คือใน Flash
รูปที่ 3 แสดงกระบวนการทำงานของ Ransomware ที่อาศัยช่องโหว่ของซอฟแวร์
วิธีป้องกัน Ransomware
• ทำการสำรองข้อมูล (Backup) จาก sage 300, sage x3 , sap b1 เป็นประจำ
หากผู้ใช้งานติด Ransomware อย่างน้อยถ้ามีการสำรองข้อมูล (Backup) ก็จะสามารถกู้คืนไฟล์ของคุณได้ และเพื่อป้องกันข้อมูลที่ Backup ถูกเข้ารหัสไปด้วย
• อัพเดทซอฟแวร์ในเครื่องอย่างสม่ำเสมอ
การอัพเดทระบบปฏิบัติการและซอฟต์แวร์จะช่วยป้องกันการโจมตีที่ต้องอาศัยช่องโหว่ของซอฟต์แวร์ได้ โดยเฉพาะอย่างยิ่งใน Adobe Flash, Microsoft Silverlight และเว็บเบราว์เซอร์ ควรติดตามและอัพเดทให้เป็น Version ปัจจุบัน
• ติดตั้งโปรแกรมป้องกันมัลแวร์ (Anti-malware)และโปรแกรมป้องกันไวรัส (Anti-Virus)
เพื่อป้องกันการเข้าถึงเว็บไซต์ที่เป็นอันตรายและตรวจสอบไฟล์ทั้งหมดที่ถูกดาวน์โหลด ควรมีการติดตั้งโปรแกรมป้องกันมัลแวร์และโปรแกรมป้องกันไวรัสลงบนเครื่องคอมพิวเตอร์ไว้ด้วย
• ตรวจสอบอีเมล์ที่เป็นอันตรายเบื้องต้น
ผู้ไม่หวังดีมักใช้อีเมล์เป็นช่องทางในการหลอกลวงผู้ใช้งาน ให้หลงเชื่อเปิดหรือดาวน์โหลดเอกสารแนบ ดังนั้นเมื่อเราได้รับอีเมล์ควรตรวจสอบอีเมล์ฉบับนั้นให้ดีเสียก่อน
• ติดตามข่าวสาร
ควรติดตามข่าวสารช่องโหว่หรือภัยคุกคามต่างๆ รวมถึงศึกษาวิธีการป้องกันเพื่อไม่ให้ตกเป็นเหยื่อของเหล่าผู้ไม่หวังดีและเพื่อความปลอดภัยของตัวผู้ใช้งานเอง
ที่มา:
Ransomware คืออะไร? : it.chula
Defending Against Crypto-Ransomware: Netwrix Corporation
Ransomware Definition: Trend Micro