Ransomware หรือที่เราเรียกกันว่าไวรัสเรียกค่าไถ่นั้น เป็นมัลแวร์ชนิดหนึ่ง
Ransomware เป็น malware ที่มุ่งเป้าไปยังผู้ใช้งาน Windows และแพร่ผ่านการส่ง spam email ไปยังผู้ใช้งานต่างๆด้วยหัวข้อหรือคำพูดที่น่าสนใจหรือดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือ download file แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติด malware ประเภทนี้แล้ว จะทำการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องของเราทำให้เราไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับ Lock เครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลย จากนั้น Ransomware ก็จะแสดงข้อความขู่ผู้ใช้งานต่างๆนาๆ ให้โอนเงิน(โดยปัจจุบันมักจะให้จ่ายในรูปแบบของ Bitcoin) ให้กับ Hacker ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป โดย Ransomware ตัวที่แพร่หลายมากในปัจจุบันคือ CryptoLocker และ Cryptowall
รูปแบบ
- Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ เป็นการ Lock Screen ของระบบปฏิบัติการทั้งที่เป็น Computer และ Mobile ทำให้เราไม่สามารถใช้งานตามปกติได้
- Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานตามปกติได้ทุกอย่าง แต่ผู้ใช้งานไม่สามารถเข้าถึงไฟล์ของตัวเองได้
ขั้นตอนการทำงาน
- พยายามแพร่กระจายผ่านเว็บไซด์ต่างๆ, แนบไฟล์ไปใน email
- เมื่อผู้ใช้งานเปิดใช้งานจะสร้าง service เพื่อให้ทำงานทุกครั้งเมื่อมีการเปิดเครื่อง
- Ransomware ติดต่อกลับไปยังเครื่องของ Hacker เพื่อระบุว่าเครื่องที่ติดอยู่ที่ใด
- นำ Key และ config ที่ได้รับจากยังเครื่องของ Hacker มาเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่อง
- แสดงหน้าข่มขู่ผู้ใช้งานพร้อมกับบอก link สำหรับวิธีการโอน Bitcoin ไปให้กับ Hacker
วิธีการป้องกัน
- ไม่ download file จาก email หรือเว็บไซด์ใดๆที่ไม่น่าเชื่อถือ
- Scan file ด้วย Antivirus ก่อนใช้งาน หรือใช้ผ่านเว็บไซด์สำหรับการตรวจสอบ malware เช่น www.virustotal.com
- ปิดการเข้าใช้งานเว็บไซด์ต่างๆที่เป็นเว็บไซด์อันตราย
- คอยสอดส่องและปิดการใช้งาน Tor Network
- ใช้ System Restore เพื่อ Restore ไปยังวันก่อนที่จะติด Ransomware ได้
- หากเครื่องติด Ransomware ที่มีชื่อว่า CryptoLocker สามารถนำไฟล์ที่ถูกเข้ารหัสเหล่านั้นไปถอดรหัสด้วยบริการในเว็บไซด์ [decryptcryptolocker.com] ฟรี