สำนักวิทยบริการและเทคโนโลยีสารสนเทศ (สวส.)

Office of Academic Resources and Information Technology

ภัยคุกคามจาก Ransomware ตัวร้าย

Ransomware หรือที่เราเรียกกันว่าไวรัสเรียกค่าไถ่นั้น เป็นมัลแวร์ชนิดหนึ่ง
Ransomware เป็น malware ที่มุ่งเป้าไปยังผู้ใช้งาน Windows และแพร่ผ่านการส่ง spam email ไปยังผู้ใช้งานต่างๆด้วยหัวข้อหรือคำพูดที่น่าสนใจหรือดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือ download file แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติด malware ประเภทนี้แล้ว จะทำการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องของเราทำให้เราไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับ Lock เครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลย จากนั้น Ransomware ก็จะแสดงข้อความขู่ผู้ใช้งานต่างๆนาๆ ให้โอนเงิน(โดยปัจจุบันมักจะให้จ่ายในรูปแบบของ Bitcoin) ให้กับ Hacker ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป โดย Ransomware ตัวที่แพร่หลายมากในปัจจุบันคือ CryptoLocker และ Cryptowall 

 

รูปแบบ 

  1. Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ เป็นการ Lock Screen ของระบบปฏิบัติการทั้งที่เป็น Computer และ Mobile ทำให้เราไม่สามารถใช้งานตามปกติได้
  2. Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานตามปกติได้ทุกอย่าง แต่ผู้ใช้งานไม่สามารถเข้าถึงไฟล์ของตัวเองได้


ขั้นตอนการทำงาน

  1. พยายามแพร่กระจายผ่านเว็บไซด์ต่างๆ, แนบไฟล์ไปใน email
  2. เมื่อผู้ใช้งานเปิดใช้งานจะสร้าง service เพื่อให้ทำงานทุกครั้งเมื่อมีการเปิดเครื่อง
  3. Ransomware ติดต่อกลับไปยังเครื่องของ Hacker เพื่อระบุว่าเครื่องที่ติดอยู่ที่ใด
  4. นำ Key และ config ที่ได้รับจากยังเครื่องของ Hacker มาเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่อง
  5. แสดงหน้าข่มขู่ผู้ใช้งานพร้อมกับบอก link สำหรับวิธีการโอน Bitcoin ไปให้กับ Hacker

วิธีการป้องกัน

  1. ไม่ download file จาก email หรือเว็บไซด์ใดๆที่ไม่น่าเชื่อถือ
  2. Scan file  ด้วย Antivirus ก่อนใช้งาน หรือใช้ผ่านเว็บไซด์สำหรับการตรวจสอบ malware เช่น www.virustotal.com
  3. ปิดการเข้าใช้งานเว็บไซด์ต่างๆที่เป็นเว็บไซด์อันตราย
  4. คอยสอดส่องและปิดการใช้งาน Tor Network
วิธีการแก้ไข
  1. ใช้ System Restore เพื่อ Restore ไปยังวันก่อนที่จะติด Ransomware ได้ 
  2. หากเครื่องติด Ransomware ที่มีชื่อว่า CryptoLocker สามารถนำไฟล์ที่ถูกเข้ารหัสเหล่านั้นไปถอดรหัสด้วยบริการในเว็บไซด์ [decryptcryptolocker.com] ฟรี