แรนซัมแวร์ มหันตภัยไซเบอร์ปี 2016

ท่านผู้อ่านหลายท่านคงเคยได้ยินคำว่าแรนซัมแวร์มาบ้างไม่มากก็น้อย บางท่านอาจจะรู้จักแรนซัมแวร์เป็นอย่างดีหรืออาจเคยได้รับผลกระทบจากแรนซัมแวร์มาด้วยตนเอง บางท่านอาจเคยได้ยินชื่อแรนซัมแวร์แต่ไม่รู้ว่าคืออะไร ผมขอแบ่งปันประสบการณ์เกี่ยวกับแรนซัมแวร์ มหันตภัยไซเบอร์ให้ท่านผู้อ่านได้เห็นถึงอันตรายใกล้ตัวชนิดนี้ครับ

แรนซัมแวร์ (Ransomware) มาจากศัพท์ 2 คำคือ Ransom และ Software ซึ่งเมื่อรวมกันแล้วก็หมายถึงซอฟต์แวร์เรียกค่าไถ่นั่นเอง โดยแรนซัมแวร์ถูกจัดอยู่ในกลุ่มของ Malware คือเป็นซอฟต์แวร์ที่มีจุดประสงค์ร้าย โดยแรนซัมแวร์ได้ถือกำเนิดขึ้นมาครั้งแรกเมื่อปี 1989 หรือเมื่อประมาณ 27 ปีมาแล้ว ซึ่งแรนซัมแวร์ตัวแรกมีชื่อว่า AIDS Info Disk (เรียกสั้น ๆ ว่า AIDS) หรือรู้จักกันในอีกชื่อหนึ่งคือ PC Cyborg Trojan ซึ่งใช้วิธีการหลอกลวงโดยการแจกแผ่น Diskette ไปให้เหยื่อจำนวนกว่า 20,000 แผ่นในการประชุมเอดส์โลกปี 1989


ซึ่งจัดโดยองค์การอนามัยโลก เมื่อเหยื่อทำการเปิดแผ่น Diskette ในคอมพิวเตอร์และดำเนินการติดตั้งโปรแกรม แรนซัมแวร์จะถูกติดตั้งลงในคอมพิวเตอร์ และทำการตั้งเวลาแบบการนับจำนวน (Counter) เอาไว้ว่าถ้ามีการ Reboot เครื่องคอมพิวเตอร์ครบ 90 ครั้ง แรนซัมแวร์จะทำการเข้ารหัสชื่อไฟล์และซ่อนไดเรคทอรี่ต่าง ๆ และแจ้งให้เหยื่อจ่ายเงินค่าไถ่ในการแก้ไขเป็นจำนวน 189 ดอลล่าร์สหรัฐไปทางตู้ไปรษณีย์ (P.O. Box) ของบริษัทแห่งหนึ่งในประเทศปานามา ซึ่งมีชื่อบริษัทว่า PC Cyborg Corporation ดังนั้นแรนซัมแวร์ตัวนี้จึงมีชื่อเป็นที่รู้จักกันอีกในชื่อหนึ่งว่า PC Cyborg


ในช่วงเวลาที่ผ่านมากว่า 20 ปี ยังคงมีแรนซัมแวร์ตัวใหม่ ๆ ออกมาเป็นระยะแต่จะเห็นแนวโน้มความรุนแรงมากขึ้นเป็นพิเศษตั้งแต่ปี 2012 หรือประมาณ 5 ปีที่ผ่านมา และรูปแบบการเรียกค่าไถ่ก็ดูจะคล้าย ๆ กันคือเป็นการมุ่งโจมตีไปยังอุปกรณ์สำหรับใช้งานส่วนบุคคลเช่น โน๊ตบุ๊ค แท็บเล็ต และโทรศัพท์มือถือสมาร์ทโฟน เป็นต้น

โดยการทำงานของแรนซัมแวร์โดยทั่วไปมี 2 รูปแบบคือ
1. ทำการล็อคหน้าจอไม่ให้เข้าใช้งาน หรือ
2. ทำการเข้ารหัสไฟล์ต่าง ๆ เช่นไฟล์รูปภาพ ไฟล์เอกสารนามสกุล .doc .ppt .xls .pdf เป็นต้น และจะปรากฎหน้าจอแสดงข้อมูลการเรียกค่าไถ่ พร้อมทั้งเวลาในการไถ่ถอนเป็นตัวเลขเวลานับถอยหลังเช่น 72:00:00, 71:59:59, 71:59:58 เคาน์ดาวน์ไปเรื่อย ๆ พร้อมทั้งระบุจำนวนเงินที่ใช้ไถ่ถอนซึ่งนิยมให้จ่ายเป็น Bitcoin ซึ่งมีความยากในการตามหาเส้นทางการเงิน (ปัจจุบัน 1 Bitcoin เท่ากับประมาณ 15,000 บาท) และเมื่อหมดเวลาเคาน์ดาวน์ก็จะทำการเพิ่มค่าไถ่ให้สูงขึ้น

ภาพแสดงหน้าจอเครื่องคอมพิวเตอร์ที่ติดแรนซัมแวร์ประเภท Crypto Ransomware (แรนซัมแวร์ที่เข้ารหัสไฟล์)
(เครดิตภาพจากเว็บไซต์ www.fbi.gov)

ในปัจจุบัน แรนซัมแวร์ในช่วงปลายปี 2015 และต้นปี 2016 มีรูปแบบการโจมตีเพื่อเรียกค่าไถ่ที่รุนแรงและหลากหลายมากขึ้น โดยเฉพาะอย่างยิ่งเมื่อโครงข่ายอินเทอร์เน็ตมีความเร็วสูงและผู้ใช้งานแพร่หลายมากยิ่งขึ้น ความสามารถในการแพร่ตัวของแรนซัมแวร์ก็มากขึ้นตามไปด้วย และมีแรนซัมแวร์บางตัวเปลี่ยนเป้าหมายจากเดิมที่มักนิยมโจมตีไปยังอุปกรณ์สำหรับใช้งานส่วนบุคคลไปเป็นการโจมตีเว็บไซต์ โดยแรนซัมแวร์ได้แฝงตัวมาในรูปแบบของภาษา PHP และทำการเข้ารหัสเว็บไซต์ที่พัฒนาบนระบบบริหารเว็บไซต์สำเร็จรูป (CMS) เช่น WordPress และ Magento เป็นต้น ซึ่งเมื่อเว็บไซต์ถูกเข้ารหัสโดยแรนซัมแวร์ ก็จะเปิดเว็บไซต์ไม่ได้และอาจขึ้นข้อความเรียกค่าไถ่ปรากฎขึ้นบนหน้าเว็บไซต์ นอกจากนี้ยังมีแรนซัมแวร์ที่เพิ่มประสิทธิภาพของการทำงานแบบ Worm เข้าไป โดยเมื่อเครื่องคอมพิวเตอร์ส่วนบุคคลในองค์กรติดแรนซัมแวร์แล้ว แรนซัมแวร์จะยังคงทำงานต่อ ด้วยการแพร่กระจายแบบ Worm โดยการหาช่องโหว่ของเครื่องคอมพิวเตอร์ส่วนบุคคลอื่น ๆ หรือสิทธิ์การเข้าเครื่องคอมพิวเตอร์ส่วนบุคคลหรือเครื่องคอมพิวเตอร์เซิร์ฟเวอร์ในองค์กรที่เปิดสิทธิ์ให้เข้าไปได้ ดังนั้นแรนซัมแวร์ก็จะแพร่ตัวยึดเครื่องคอมพิวเตอร์ต่าง ๆ ในองค์กรซึ่งก่อให้เกิดความเสียหายรุนแรงในวงกว้าง หรือบางองค์กรเกิดความเสียหายต่อความเชื่อมั่นขององค์กรซึ่งประเมินค่าไม่ได้

จากที่ผมได้กล่าวถึงอันตรายจากแรนซัมแวร์ในข้างต้นนี้แล้ว ท่านผู้อ่านคงจะมองเห็นภาพของมหันตภัยไซเบอร์ตัวนี้ชัดเจนมากยิ่งขึ้น และหลายท่านอาจกำลังนึกถึงการป้องกันความเสียหายที่อาจจะเกิดขึ้นจากแรนซัมแวร์เหล่านี้ ซึ่งผมจะขอเสนอข้อมูลการป้องกันหรือการลดความเสี่ยงจากแรนซัมแวร์ รวมถึงวิธีการแก้ไขปัญหาเมื่อเครื่องคอมพิวเตอร์ติดแรนซัมแวร์ แต่แน่นอนว่าการป้องกันย่อมดีกว่าการแก้ไข เพราะการแก้ไขปัญหาอาจไม่สำเร็จทุกครั้งไป

การป้องกันแรนซัมแวร์ มีวิธีง่าย ๆ 2 วิธีคือ

1) การใช้เครื่องมือสำหรับป้องกัน เช่น การใช้ซอฟต์แวร์ Anti-Ransomware หรือซอฟต์แวร์ Anti-Virus ก็สามารถป้องกัน Ransomware ได้เช่นเดียวกัน แต่ทั้งนี้ก็ยังมีความเสี่ยงจาก Ransomware ตัวใหม่ ๆ ที่ ซอฟต์แวร์ Anti-Ransomware หรือซอฟต์แวร์ Anti-Virus ยังไม่รู้จัก ซึ่งเราจะเรียก Ransomware หรือ Virus ประเภทนี้ว่าเป็น Zero-day
2) ความรู้ของผู้ใช้งาน เช่น ไม่เปิดไฟล์แนบในเมล์จากผู้ที่เราไม่ทราบว่าเป็นใคร หรือแม้แต่ทราบว่าใครเป็นคนส่งไฟล์มาให้ก็ควรพิจารณาว่าควรเปิดไฟล์นั้นหรือไม่ หรือในกรณีที่เป็นไฟล์ข้อมูลในกลุ่มของ Microsoft Office ที่มี Macro ก็ควรเลือกที่จะไม่เปิดใช้งาน Macro เป็นต้น รวมถึงความเข้าใจในเรื่องการอัพเดทซอฟต์แวร์เว็บบราวเซอร์ที่มีความทันสมัย เพื่อลดความเสี่ยงของช่องโหว่อันเกิดจากการใช้ซอฟต์แวร์เว็บบราวเซอร์เก่า และการลดความเสี่ยงจากการเข้าไปชมเว็บไซต์ที่อาจมีการฝังมัลแวร์หรือแรนซัมแวร์เอาไว้ เช่น เว็บไซต์ประเภทลามกอนาจาร หรือเว็บไซต์ที่ขึ้นข้อความให้ดาวน์โหลดซอฟต์แวร์ฟรีต่าง ๆ ที่ไม่น่าเชื่อถือ เป็นต้น


วิธีการแก้ไขเมื่อเครื่องคอมพิวเตอร์หรืออุปกรณ์ติดแรนซัมแวร์ มี 3 วิธี



1) ใช้โปรแกรมถอดรหัสข้อมูล (Decryption Program) ซึ่งจะมีเว็บไซต์ทางด้านความปลอดภัยบางแห่ง ได้สร้างระบบ Ransomware Decryptor เพื่อให้บริการถอดรหัสไฟล์ที่ถูกแรนซัมแวร์ทำการเข้ารหัสไว้ โดยผู้ใช้บริการสามารถเข้าไปดาวน์โหลด Tools โดยไม่มีค่าใช้จ่าย เช่น เว็บไซต์ https://noransom.kaspersky.com เป็นต้น โดยเว็บไซต์ด้านความปลอดภัยเหล่านี้ จะทำการเอากุญแจที่ได้จากการที่หน่วยงานด้านความปลอดภัยต่าง ๆ สามารถเข้าไปยึด หรือแฮ็ก เซิร์ฟเวอร์ของกลุ่มแฮ็กเกอร์ที่ผลิตแรนซัมแวร์ และเมื่อเข้ายึดเครื่องได้แล้วก็นำเอากุญแจถอดรหัสออกมาเปิดเผย เพื่อใช้ในการแก้ไขปัญหาให้แก่เหยื่อของแรนซัมแวร์ทั่วโลก แต่ทั้งนี้แฮ็กเกอร์ที่ผลิตแรนซัมแวร์มีจำนวนมากมาย ดังนั้นเว็บไซต์ที่ให้บริการระบบ Ransomware Decryptor ก็จะสามารถช่วยถอดรหัสได้บางส่วน แต่ก็ยังมีแรนซัมแวร์อีกจำนวนหนึ่งที่ยังไม่สามารถถอดรหัสเพื่อกู้ข้อมูลกลับคืนมาได้ จนกว่าจะมีหน่วยงานที่ค้นพบกุญแจถอดรหัสแล้วนำมาเผยแพร่

2) ยอมจ่ายค่าไถ่ให้แก่แฮ็กเกอร์ วิธีนี้เป็นวิธีที่หลายคนนิยมทำกัน เนื่องจากความเร่งด่วนจำเป็นต้องรีบใช้ข้อมูล หรือจากการที่ลองใช้งานระบบ Ransomware Decryptor แล้ว แต่ยังไม่สามารถทำการถอดรหัสได้ แต่ทั้งนี้การจ่ายค่าไถ่ให้แก่แฮ็กเกอร์ก็ไม่ได้หมายความว่าจะได้รับกุญแจถอดรหัสทุกครั้งไป เพราะขึ้นชื่อว่าเป็นผู้ไม่ประสงค์ดีแล้ว เราก็ไม่สามารถเชื่อใจได้ อีกทั้งการที่เรายอมจ่ายเงินให้แก่กลุ่มแฮกเกอร์ที่ผลิตแรนซัมแวร์ ก็หมายความว่าเราเป็นส่วนหนึ่งในการสนับสนุนเงินทุนให้กลุ่มเหล่านี้นำเงินที่ได้ไปใช้ในทางที่ไม่ดีทั้งบนโลกออนไลน์และโลกทั่วไปเช่นการก่อเหตุร้ายต่าง ๆ

3)  นำข้อมูลที่ได้สำรองเอาไว้กลับขึ้นมาใช้งาน แต่ทั้งนี้การสำรองข้อมูลต้องอยู่ในสภาพแวดล้อมที่ไม่สามารถทำการเขียน
ข้อมูลทับ
หรือแก้ไขข้อมูลได้ เช่นการสำรองข้อมูลไว้ในแผ่น CD/DVD ที่ได้เขียนปิดแผ่นเรียบร้อยแล้ว หรือการใช้บริการสำรองข้อมูลกับผู้ให้บริการที่ทำการสำรองข้อมูลไว้หลายสำเนา เป็นต้น แต่การสำรองข้อมูลเอาไว้บนเครื่องคอมพิวเตอร์เครื่องเดียวกัน หรือ Shared Drive หรือ External Harddisk มีความเสี่ยงที่ข้อมูลเหล่านั้นจะถูกแรนซัมแวร์ทำการเข้ารหัสได้เมื่อมีการเชื่อมต่อเข้ากับเครื่องคอมพิวเตอร์ที่ติดแรนซัมแวร์

สุดท้ายนี้หวังว่าท่านผู้อ่านทุกท่านจะได้รับมุมมองเกี่ยวกับอันตรายของแรนซัมแวร์ รวมถึงวิธีการหลีกเลี่ยงและลดความเสี่ยงจากแรนซัมแวร์ มหันตภัยไซเบอร์ปี 2016 นี้นะครับ แล้วพบกันใหม่ในบทความใหม่จาก UIH ครับ

สามารถสอบถามข้อมูลเพิ่มเติมได้ที่ ฝ่ายการตลาด
โทร. 0 2016 5000
อีเมล info@uih.co.th

เนื้อหาโดย คุณสุวัฒน์ โลกาพัฒนา (UIH)

ที่มา : http://www.uih.co.th/