สืบเนื่องจากช่วงนี้เห็นหลาย ๆ ท่านโดนไวรัสตัวนี้ไปจึงมาแจ้งเตือนพี่ ๆ ทุกท่านครับ
อย่ากด LINK อะไร ใน email หากไม่มั่นใจว่าปลอดภัย !!!
ตัวอย่างที่คนใกล้ตัวโดนมาล่าสุดครับ
(http://image.ohozaa.com/i/dd3/YptWJJ.jpg)
ขอบคุณข้อมูลจาก : thaicert.or.th/papers/technical/2013/pa2013te011.html
CryptoLocker: เรื่องเก่าที่ถูกเอามาเล่าใหม่
ผู้เขียน: ธงชัย ศิลปวรางกูร
วันที่เผยแพร่: 5 พฤศจิกายน 2556
ปรับปรุงล่าสุด: 8 สิงหาคม 2557
เป็นที่ทราบกันดีว่าทุกคนย่อมเคยมีประสบการณ์ที่คอมพิวเตอร์ของตนเองติดมัลแวร์ ไม่ว่าจะเป็นในรูปแบบของโทรจัน เวิร์ม รูทคิท หรือที่ผู้ใช้ทั่วไปมักเรียกโปรแกรมไม่พึงประสงค์เหล่านี้รวมกันว่าไวรัส ซึ่งมัลแวร์แต่ละประเภทและแต่ละตัวก็จะก่อให้เกิดผลกระทบและความเสียหายที่แตกต่างกันไป ตัวอย่างของมัลแวร์ที่คนส่วนใหญ่มักเคยพบเจอได้แก่ โทรจันประเภท Keylogger ที่แอบขโมยข้อมูลการกดแป้นคีย์บอร์ดของผู้ใช้ส่งกลับไปยังผู้ไม่หวังดี หรือมัลแวร์ที่แอบตั้งค่าต่าง ๆ ในระบบปฏิบัติการและป้องกันไม่ให้ผู้ใช้เข้าไปแก้ไขค่าดังกล่าว อย่างไรก็ตาม ยังมีมัลแวร์อยู่ประเภทหนึ่งที่เรียกว่า Ransomware ซึ่งไม่ได้ใช้วิธีการขโมยข้อมูลส่วนบุคคลของผู้ใช้เหมือนกับที่มัลแวร์ในสมัยนี้นิยมทำกัน หากแต่ทำการ “เรียกค่าไถ่” ด้วยการทำให้ผู้ใช้ไม่สามารถเข้าถึงระบบหรือข้อมูลในคอมพิวเตอร์ หรือหลอกล่อด้วยวิธีการใด ๆ ก็ตามที่จะทำให้ผู้ใช้ยอมชำระเงินให้กับผู้ไม่หวังดีเพื่อที่จะแก้ไขปัญหาที่เกิดขึ้น ซึ่งวิธีการข่มขู่หรือหลอกล่อให้เหยื่อชำระเงินนั้นมีด้วยกันสารพัดวิธี ไม่ว่าจะเป็นการขึ้นข้อความแอบอ้างว่าเป็นเจ้าหน้าที่รัฐที่ตรวจสอบพบว่าคอมพิวเตอร์ของเหยื่อถูกนำไปใช้ในทางที่ผิดกฎหมาย หรือขึ้นข้อความหลอกให้ผู้ใช้ทำการ Reactivate Windows ด้วยการโทรศัพท์ไปยังเบอร์ที่ผู้ไม่หวังดีให้บริการ ซึ่งเป็นการโทรทางไกลที่เสียค่าใช้จ่ายสูง เป็นต้น มัลแวร์ประเภท Ransomware นั้นเคยมีการค้นพบมานานนับสิบปีแล้ว แต่เนื่องจากในช่วงที่ผ่านมาไม่นานนี้มีการค้นพบ Ransomware ตัวใหม่ที่มีชื่อว่า CryptoLocker ซึ่งกำลังตกเป็นข่าวที่ผู้คนกำลังให้ความสนใจ ผู้เขียนจึงได้เขียนบทความนี้เพื่อให้ผู้อ่านได้ตระหนักและรู้เท่าทันถึงมัลแวร์ดังกล่าว
ว่าด้วยเรื่องของ CryptoLockerCryptoLocker เป็น Ransomware บนระบบปฏิบัติการ Windows ตัวล่าสุดที่ถูกค้นพบเมื่อช่วงเดือนกันยายน 2556 ที่ผ่านมา โดยถูกเผยแพร่ผ่านทางไฟล์แนบในอีเมลหลอกลวง (ตัวอย่างที่มีผู้เคยพบ เช่น อีเมลแจ้งการติดตามพัสดุจาก FedEx, UHS หรือ UPS พร้อมกับแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF ) หรือผ่านทางมัลแวร์ประเภทบอตเน็ตที่เคยถูกติดตั้งลงบนเครื่องของผู้ใช้มาก่อน หลักการทำงานโดยทั่วไปของ CryptoLocker นั้นคล้ายคลึงกับ Ransomware ตัวอื่น ๆ ในอดีตที่ผ่านมา นั่นคือทำการเข้ารหัสลับข้อมูลไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่น ๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่ายก็ถูกเข้ารหัสลับด้วยเช่นกัน
(https://www.thaicert.or.th/papers/images/pa2013te011-1.png)
นามสกุลของไฟล์ที่ถูก CryptoLocker เข้ารหัสลับ (ที่มา: Naked Security)
(https://www.thaicert.or.th/papers/images/pa2013te011-2.png)
หน้าต่างของโปรแกรม CryptoLocker ที่ขึ้นข้อความข่มขู่ให้ผู้ใช้ชำระเงิน (ที่มา: Naked Security)
พฤติกรรมที่น่าสนใจของ CryptoLocker อย่างหนึ่งหลังจากที่ติดตั้งตัวเองลงในคอมพิวเตอร์แล้ว คือการสร้างสุ่มชื่อโดเมนด้วยเทคนิค Domain Generation Algorithm เพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการ (Command-and-control server) ในการดาวน์โหลด Public key ที่ใช้สำหรับเข้ารหัสลับ ซึ่งเทคนิคการสุ่มชื่อโดเมนเพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการนี้มักพบเห็นในมัลแวร์สมัยใหม่ที่แพร่ระบาดอยู่ในปัจจุบัน โดย Public key ที่ถูกดาวน์โหลดมานั้นใช้อัลกอริทึม RSA ที่มีความยาวถึง 2048 bits ซึ่งด้วยสมรรถนะของคอมพิวเตอร์ในปัจจุบันยังไม่สามารถทำการสุ่มหา Private key ที่ใช้ในการถอดรหัสลับที่มีความยาวขนาดนี้ในทางปฏิบัติได้ ทั้งนี้ RSA public key ดังกล่าวเป็นเพียง Key ที่ใช้ในการเข้ารหัสลับ Secret key ที่ใช้ในการเข้ารหัสลับข้อมูลในคอมพิวเตอร์ของเหยื่อจริง ๆ อีกทอดหนึ่ง โดย Secret key ดังกล่าวใช้อัลกอริทึม AES ความยาว 256 bits นอกจากนี้สิ่งที่น่าสนใจอีกอย่างคือช่องทางการชำระเงิน ซึ่งผู้ไม่หวังดีเปิดโอกาสให้เหยื่อสามารถชำระเงินเพื่อขอรับ Private key ด้วย Bitcoin (ตัวย่อ: BTC) ซึ่งเป็นสกุลเงินในโลกดิจิทัลที่กำลังได้รับความนิยมอยู่ในปัจจุบัน
(https://www.thaicert.or.th/papers/images/pa2013te011-3.png)
หน้าต่างระบุช่องทางการชำระเงินเป็น Bitcoin (ที่มา: Securelist)
ทั้งนี้เมื่อต้นเดือนพฤศจิกายน 2556 มีการรายงานว่าผู้พัฒนา CryptoLocker ได้ยืดระยะเวลาให้กับผู้ใช้ที่ตกเป็นเหยื่อ ด้วยการเปิดเว็บไซต์ผ่านเครือข่าย TOR เพื่อให้บริการรับชำระเงิน โดยวิธีการชำระเงินนั้นจะเริ่มจากการให้ผู้ใช้อัพโหลดไฟล์ที่ถูกเข้ารหัสลับผ่านหน้าเว็บไซต์เพื่อทำการตรวจสอบหา Private key ที่ใช้ในการถอดรหัสลับ โดยอ้างว่าใช้เวลาในขั้นตอนดังกล่าวประมาณ 24 ชั่วโมง หลังจากเสร็จสิ้นจะมีหน้าต่างปรากฏให้ชำระเงินเป็น Bitcoin เช่นเดิม แต่มีการขึ้นราคาจากเดิม 2 BTC เป็น 10 BTC หรือเทียบเท่ากับราคาจากเดิมประมาณ 460 USD เป็น 2,300 USD (ข้อมูลอัตราแลกเปลี่ยน ณ วันที่ 4 พฤศจิกายน 2556)
(https://www.thaicert.or.th/papers/images/pa2013te011-4.jpg)หน้าหลักของเว็บไซต์ที่เปิดให้บริการชำระเงิน (ที่มา: Bleeping Computer)
(https://www.thaicert.or.th/papers/images/pa2013te011-5.jpg)
หน้าต่างชำระเงินหลังจากเสร็จสิ้นการค้นหา Private key (ที่มา: Bleeping Computer)
การป้องกันและแก้ไขวิธีการป้องกันมัลแวร์ CryptoLocker รวมถึง Ransomware ตัวอื่น ๆ ในเบื้องต้นได้แก่- Backup ข้อมูลอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ถูก Backup ไว้ในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่น ๆ
- ติดตั้ง/อัปเดตโปรแกรมป้องกันไวรัส รวมถึงอัปเดตโปรแกรมอื่น ๆ โดยเฉพาะโปรแกรมที่มักมีข่าวเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ Adobe Reader และอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
- ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
- หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ์เหล่านั้น
- ตั้งค่า Policy ของระบบปฏิบัติการ เพื่อป้องกันไม่ให้มัลแวร์สามารถทำงานตาม Directory หรือ Path ที่ระบุได้
- ในกรณีที่เครื่องคอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ CryptoLocker และไฟล์ในเครื่องถูกเข้ารหัสลับไปแล้ว ทางบริษัท FireEye และ Fox-IT ได้ร่วมกันเปิดให้บริการเว็บไซต์สำหรับถอดรหัสลับข้อมูลที่ถูกเข้ารหัสลับด้วย CryptoLocker เมื่อวันที่ 6 สิงหาคม 2557 โดยที่มาของการพัฒนาเครื่องมือในการถอดรหัสลับนี้ เป็นผลลัพธ์ที่ได้มาจากความร่วมมือระหว่างหน่วยงานภาครัฐและเอกชนจากหลายประเทศ ในการเข้ายึดเครื่องควบคุมและสั่งการ Botnet ที่ติดมัลแวร์ Gameover Zeus ซึ่งเป็นมัลแวร์ตัวหนึ่งที่ถูกใช้ในการเผยแพร่ CryptoLocker ภายใต้ปฏิบัติการที่ชื่อ Operation Tovar เมื่อเดือนมิถุนายน 2557 ในการใช้งานเว็บไซต์ดังกล่าวนั้น ผู้ใช้จะต้องอัพโหลดไฟล์ที่ถูกเข้ารหัสลับไปยังเว็บไซต์ หลังจากนั้นผู้ใช้จะได้รับ Private key ในการถอดรหัสลับทางอีเมล ซึ่ง Private key ดังกล่าวจะต้องใช้ร่วมกับเครื่องมือที่ทางผู้พัฒนาเตรียมไว้ให้ อย่างไรก็ตาม เครื่องมือนี้อาจไม่สามารถใช้ในการถอดรหัสลับได้ในทุกกรณี เนื่องจากข้อมูลอาจถูกเข้ารหัสลับด้วย CryptoLocker ตัวที่ถูกพัฒนาแยกออกเป็นสายพันธุ์ย่อย ซึ่งแต่ละสายพันธุ์มีพฤติกรรมการทำงานที่แตกต่างกันออกไป ดังนั้นผู้ใช้จึงต้องทดลองใช้งานเครื่องมือดังกล่าวเองว่าไฟล์ของตนสามารถถอดรหัสลับได้หรือไม่ ในอีกทางหนึ่ง หากผู้ใช้ได้เปิดใช้งานฟังก์ชัน System Restore ของ Windows เอาไว้ ก็มีโอกาสที่จะสามารถกู้ดิสก์หรือไฟล์เวอร์ชันก่อนหน้าที่จะถูกมัลแวร์เข้ารหัสลับได้ ทั้งนี้ จากวิธีการป้องกันตามที่กล่าวมาข้างต้น จะสังเกตได้ว่าส่วนใหญ่เป็นวิธีที่ผู้ใช้ทั่วไปมักทราบกันดีอยู่แล้ว เพียงแต่อาจไม่ใส่ใจที่จะปฏิบัติตาม เนื่องจากคิดว่าตนเองไม่น่ามีโอกาสพบกับเหตุร้ายเหล่านี้ได้ โดยเฉพาะกรณีที่คอมพิวเตอร์ติดมัลแวร์ Ransomware เนื่องจากผู้ใช้มีความเสี่ยงที่จะสูญเสียข้อมูลในคอมพิวเตอร์ทั้งหมดอย่างถาวร เว้นแต่ผู้ใช้จะเลือกวิธีการชำระเงินให้กับผู้ไม่หวังดี สำหรับความเห็นส่วนตัวของผู้เขียนนั้นไม่สนับสนุนวิธีนี้ เนื่องจากไม่มีหลักประกันใด ๆ ว่าเมื่อชำระเงินไปแล้ว ข้อมูลของผู้ใช้จะสามารถถูกถอดรหัสลับกลับมาเป็นเหมือนเดิมได้ รวมถึงการชำระเงินให้กับผู้ไม่หวังดีนั้น เท่ากับว่าเป็นการสนับสนุนให้ผู้ไม่หวังดีมีแรงจูงใจที่จะกระทำการในลักษณะนี้ต่อไปในอนาคตอีกด้วย ดังจะพบเห็นได้จากการแพร่ระบาดของ Ransomware จำนวนมากตามมาหลังจากที่พบการแพร่ระบาดของ CryptoLocker เช่น CryptoBit , Locker, PowerLocker , CryptoDefense, CryptoWall และ BitCrypt ซึ่งสะท้อนให้เห็นว่าผู้ไม่หวังดีที่อยู่เบื้องหลังของการเผยแพร่มัลแวร์เหล่านี้ สามารถทำรายได้จากการที่ผู้ใช้ยอมชำระเงินเป็นจำนวนไม่น้อย
สรุป CryptoLocker เป็นมัลแวร์ประเภท Ransomware ตัวหนึ่งที่พบการแพร่ระบาดในวงกว้าง และทำให้เกิด Ransomware สายพันธุ์อื่น ๆ แพร่ระบาดตามมาเป็นจำนวนมากตั้งแต่ช่วงปลายปี 2556 ซึ่งมัลแวร์เหล่านี้อาจทำให้ผู้ใช้สูญเสียข้อมูลสำคัญทั้งหมดในเครื่องคอมพิวเตอร์ได้ ดังนั้นวิธีการป้องกันไม่ให้เกิดการสูญเสียข้อมูลที่ง่ายและดีที่สุดก็คือการ Backup ข้อมูลลงในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบภายนอก ติดตั้งโปรแกรมป้องกันไวรัส อัปเดตโปรแกรมและระบบปฏิบัติการอย่างสม่ำเสมอ รวมถึงการไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย ซึ่งล้วนแล้วแต่เป็นวิธีปฏิบัติพื้นฐานในการป้องกันตนเองจากเหตุภัยคุกคามด้านสารสนเทศที่อาจเกิดขึ้นได้ทุกเมื่อ