ThaiEMB.com สังคมแห่งมิตรภาพ และการแบ่งปัน
วันที่ 20 พฤษภาคม พ.ศ. 2567, 12:11:09 *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
 
  หน้าแรก   เว็บบอร์ด   ช่วยเหลือ ค้นหา ปฏิทิน เข้าสู่ระบบ สมัครสมาชิก  
collapse
กฏ-กติกา : ห้ามจำหน่าย, จ่ายแจก ซอฟแวร์ หรือส่วนหนึ่งส่วนใดของผลงานอันมีลิขสิทธิ์ ในเว็บบอร์ด Thaiemb แห่งนี้โดยเด็ดขาด
ไม่ว่าจะเป็นทางหน้าบอร์ด หรือหลังไมค์(PM) หากพบเห็นท่านจะถูกแบน User ถาวร.!!!
หากท่านถูกในในผลงาน หรืออยากสนับสนุนให้ผู้สร้างสรรค์ผลงานมีกำลังใจในการสร้างสรรค์ผลงาน
โปรดช่วยบริจาคให้ผู้จัดทำบ้างตามกำลังนะครับ.!!!  062

หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน หัวข้อ: CryptolLockerไวรัสล๊อดไฟล์เจอมาเลยมาฝาก  (อ่าน 1683 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
DDD
Full Member
***


ออฟไลน์ ออฟไลน์

กระทู้: 143
สมาชิก Nº: 4643

คำขอบคุณ
-ได้ให้: 287
-ได้รับ: 686


จักรปัก: kajima
« เมื่อ: วันที่ 18 มิถุนายน พ.ศ. 2558, 19:22:08 »
CryptoLocker: เรื่องเก่าที่ถูกเอามาเล่าใหม่
วันที่เผยแพร่: 5 พฤศจิกายน 2556
ปรับปรุงล่าสุด: 8 สิงหาคม 2557

Share on Facebook Share on Twitter Share on Google+

เป็นที่ทราบกันดีว่าทุกคนย่อมเคยมีประสบการณ์ที่คอมพิวเตอร์ของตนเองติดมัลแวร์ ไม่ว่าจะเป็นในรูปแบบของโทรจัน เวิร์ม รูทคิท หรือที่ผู้ใช้ทั่วไปมักเรียกโปรแกรมไม่พึงประสงค์เหล่านี้รวมกันว่าไวรัส ซึ่งมัลแวร์แต่ละประเภทและแต่ละตัวก็จะก่อให้เกิดผลกระทบและความเสียหายที่แตกต่างกันไป ตัวอย่างของมัลแวร์ที่คนส่วนใหญ่มักเคยพบเจอได้แก่ โทรจันประเภท Keylogger ที่แอบขโมยข้อมูลการกดแป้นคีย์บอร์ดของผู้ใช้ส่งกลับไปยังผู้ไม่หวังดี หรือมัลแวร์ที่แอบตั้งค่าต่าง ๆ ในระบบปฏิบัติการและป้องกันไม่ให้ผู้ใช้เข้าไปแก้ไขค่าดังกล่าว อย่างไรก็ตาม ยังมีมัลแวร์อยู่ประเภทหนึ่งที่เรียกว่า Ransomware ซึ่งไม่ได้ใช้วิธีการขโมยข้อมูลส่วนบุคคลของผู้ใช้เหมือนกับที่มัลแวร์ในสมัยนี้นิยมทำกัน หากแต่ทำการ “เรียกค่าไถ่” ด้วยการทำให้ผู้ใช้ไม่สามารถเข้าถึงระบบหรือข้อมูลในคอมพิวเตอร์ หรือหลอกล่อด้วยวิธีการใด ๆ ก็ตามที่จะทำให้ผู้ใช้ยอมชำระเงินให้กับผู้ไม่หวังดีเพื่อที่จะแก้ไขปัญหาที่เกิดขึ้น ซึ่งวิธีการข่มขู่หรือหลอกล่อให้เหยื่อชำระเงินนั้นมีด้วยกันสารพัดวิธี ไม่ว่าจะเป็นการขึ้นข้อความแอบอ้างว่าเป็นเจ้าหน้าที่รัฐที่ตรวจสอบพบว่าคอมพิวเตอร์ของเหยื่อถูกนำไปใช้ในทางที่ผิดกฎหมาย [1] หรือขึ้นข้อความหลอกให้ผู้ใช้ทำการ Reactivate Windows ด้วยการโทรศัพท์ไปยังเบอร์ที่ผู้ไม่หวังดีให้บริการ ซึ่งเป็นการโทรทางไกลที่เสียค่าใช้จ่ายสูง [2] เป็นต้น มัลแวร์ประเภท Ransomware นั้นเคยมีการค้นพบมานานนับสิบปีแล้ว แต่เนื่องจากในช่วงที่ผ่านมาไม่นานนี้มีการค้นพบ Ransomware ตัวใหม่ที่มีชื่อว่า CryptoLocker ซึ่งกำลังตกเป็นข่าวที่ผู้คนกำลังให้ความสนใจ ผู้เขียนจึงได้เขียนบทความนี้เพื่อให้ผู้อ่านได้ตระหนักและรู้เท่าทันถึงมัลแวร์ดังกล่าว
ว่าด้วยเรื่องของ CryptoLocker

CryptoLocker เป็น Ransomware บนระบบปฏิบัติการ Windows ตัวล่าสุดที่ถูกค้นพบเมื่อช่วงเดือนกันยายน 2556 ที่ผ่านมา โดยถูกเผยแพร่ผ่านทางไฟล์แนบในอีเมลหลอกลวง (ตัวอย่างที่มีผู้เคยพบ เช่น อีเมลแจ้งการติดตามพัสดุจาก FedEx, UHS หรือ UPS พร้อมกับแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF [3]) หรือผ่านทางมัลแวร์ประเภทบอตเน็ตที่เคยถูกติดตั้งลงบนเครื่องของผู้ใช้มาก่อน หลักการทำงานโดยทั่วไปของ CryptoLocker นั้นคล้ายคลึงกับ Ransomware ตัวอื่น ๆ ในอดีตที่ผ่านมา นั่นคือทำการเข้ารหัสลับข้อมูลไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่น ๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่ายก็ถูกเข้ารหัสลับด้วยเช่นกัน

นามสกุลของไฟล์ที่ถูก CryptoLocker เข้ารหัสลับ (ที่มา: Naked Security [4])

หน้าต่างของโปรแกรม CryptoLocker ที่ขึ้นข้อความข่มขู่ให้ผู้ใช้ชำระเงิน (ที่มา: Naked Security [4])

พฤติกรรมที่น่าสนใจของ CryptoLocker อย่างหนึ่งหลังจากที่ติดตั้งตัวเองลงในคอมพิวเตอร์แล้ว คือการสร้างสุ่มชื่อโดเมนด้วยเทคนิค Domain Generation Algorithm [5] เพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการ (Command-and-control server) ในการดาวน์โหลด Public key ที่ใช้สำหรับเข้ารหัสลับ ซึ่งเทคนิคการสุ่มชื่อโดเมนเพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการนี้มักพบเห็นในมัลแวร์สมัยใหม่ที่แพร่ระบาดอยู่ในปัจจุบัน โดย Public key ที่ถูกดาวน์โหลดมานั้นใช้อัลกอริทึม RSA ที่มีความยาวถึง 2048 bits ซึ่งด้วยสมรรถนะของคอมพิวเตอร์ในปัจจุบันยังไม่สามารถทำการสุ่มหา Private key ที่ใช้ในการถอดรหัสลับที่มีความยาวขนาดนี้ในทางปฏิบัติได้ ทั้งนี้ RSA public key ดังกล่าวเป็นเพียง Key ที่ใช้ในการเข้ารหัสลับ Secret key ที่ใช้ในการเข้ารหัสลับข้อมูลในคอมพิวเตอร์ของเหยื่อจริง ๆ อีกทอดหนึ่ง โดย Secret key ดังกล่าวใช้อัลกอริทึม AES ความยาว 256 bits นอกจากนี้สิ่งที่น่าสนใจอีกอย่างคือช่องทางการชำระเงิน ซึ่งผู้ไม่หวังดีเปิดโอกาสให้เหยื่อสามารถชำระเงินเพื่อขอรับ Private key ด้วย Bitcoin (ตัวย่อ: BTC) ซึ่งเป็นสกุลเงินในโลกดิจิทัลที่กำลังได้รับความนิยมอยู่ในปัจจุบัน

หน้าต่างระบุช่องทางการชำระเงินเป็น Bitcoin (ที่มา: Securelist [6])

ทั้งนี้เมื่อต้นเดือนพฤศจิกายน 2556 มีการรายงานว่าผู้พัฒนา CryptoLocker ได้ยืดระยะเวลาให้กับผู้ใช้ที่ตกเป็นเหยื่อ ด้วยการเปิดเว็บไซต์ผ่านเครือข่าย TOR เพื่อให้บริการรับชำระเงิน โดยวิธีการชำระเงินนั้นจะเริ่มจากการให้ผู้ใช้อัพโหลดไฟล์ที่ถูกเข้ารหัสลับผ่านหน้าเว็บไซต์เพื่อทำการตรวจสอบหา Private key ที่ใช้ในการถอดรหัสลับ โดยอ้างว่าใช้เวลาในขั้นตอนดังกล่าวประมาณ 24 ชั่วโมง หลังจากเสร็จสิ้นจะมีหน้าต่างปรากฏให้ชำระเงินเป็น Bitcoin เช่นเดิม แต่มีการขึ้นราคาจากเดิม 2 BTC เป็น 10 BTC หรือเทียบเท่ากับราคาจากเดิมประมาณ 460 USD เป็น 2,300 USD (ข้อมูลอัตราแลกเปลี่ยน ณ วันที่ 4 พฤศจิกายน 2556)

หน้าหลักของเว็บไซต์ที่เปิดให้บริการชำระเงิน (ที่มา: Bleeping Computer [7])

หน้าต่างชำระเงินหลังจากเสร็จสิ้นการค้นหา Private key (ที่มา: Bleeping Computer [7])
การป้องกันและแก้ไข

วิธีการป้องกันมัลแวร์ CryptoLocker รวมถึง Ransomware ตัวอื่น ๆ ในเบื้องต้นได้แก่

    Backup ข้อมูลอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ถูก Backup ไว้ในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่น ๆ
    ติดตั้ง/อัปเดตโปรแกรมป้องกันไวรัส รวมถึงอัปเดตโปรแกรมอื่น ๆ โดยเฉพาะโปรแกรมที่มักมีข่าวเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ Adobe Reader และอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
    ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
    หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ์เหล่านั้น
    ตั้งค่า Policy ของระบบปฏิบัติการ เพื่อป้องกันไม่ให้มัลแวร์สามารถทำงานตาม Directory หรือ Path ที่ระบุได้ [8]

ในกรณีที่เครื่องคอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ CryptoLocker และไฟล์ในเครื่องถูกเข้ารหัสลับไปแล้ว ทางบริษัท FireEye และ Fox-IT ได้ร่วมกันเปิดให้บริการเว็บไซต์สำหรับถอดรหัสลับข้อมูลที่ถูกเข้ารหัสลับด้วย CryptoLocker [9] เมื่อวันที่ 6 สิงหาคม 2557 โดยที่มาของการพัฒนาเครื่องมือในการถอดรหัสลับนี้ เป็นผลลัพธ์ที่ได้มาจากความร่วมมือระหว่างหน่วยงานภาครัฐและเอกชนจากหลายประเทศ ในการเข้ายึดเครื่องควบคุมและสั่งการ Botnet ที่ติดมัลแวร์ Gameover Zeus ซึ่งเป็นมัลแวร์ตัวหนึ่งที่ถูกใช้ในการเผยแพร่ CryptoLocker ภายใต้ปฏิบัติการที่ชื่อ Operation Tovar เมื่อเดือนมิถุนายน 2557 [10] ในการใช้งานเว็บไซต์ดังกล่าวนั้น ผู้ใช้จะต้องอัพโหลดไฟล์ที่ถูกเข้ารหัสลับไปยังเว็บไซต์ หลังจากนั้นผู้ใช้จะได้รับ Private key ในการถอดรหัสลับทางอีเมล ซึ่ง Private key ดังกล่าวจะต้องใช้ร่วมกับเครื่องมือที่ทางผู้พัฒนาเตรียมไว้ให้ [11] อย่างไรก็ตาม เครื่องมือนี้อาจไม่สามารถใช้ในการถอดรหัสลับได้ในทุกกรณี เนื่องจากข้อมูลอาจถูกเข้ารหัสลับด้วย CryptoLocker ตัวที่ถูกพัฒนาแยกออกเป็นสายพันธุ์ย่อย ซึ่งแต่ละสายพันธุ์มีพฤติกรรมการทำงานที่แตกต่างกันออกไป ดังนั้นผู้ใช้จึงต้องทดลองใช้งานเครื่องมือดังกล่าวเองว่าไฟล์ของตนสามารถถอดรหัสลับได้หรือไม่ ในอีกทางหนึ่ง หากผู้ใช้ได้เปิดใช้งานฟังก์ชัน System Restore ของ Windows [12] เอาไว้ ก็มีโอกาสที่จะสามารถกู้ดิสก์หรือไฟล์เวอร์ชันก่อนหน้าที่จะถูกมัลแวร์เข้ารหัสลับได้ [13]

ทั้งนี้ จากวิธีการป้องกันตามที่กล่าวมาข้างต้น จะสังเกตได้ว่าส่วนใหญ่เป็นวิธีที่ผู้ใช้ทั่วไปมักทราบกันดีอยู่แล้ว เพียงแต่อาจไม่ใส่ใจที่จะปฏิบัติตาม เนื่องจากคิดว่าตนเองไม่น่ามีโอกาสพบกับเหตุร้ายเหล่านี้ได้ โดยเฉพาะกรณีที่คอมพิวเตอร์ติดมัลแวร์ Ransomware เนื่องจากผู้ใช้มีความเสี่ยงที่จะสูญเสียข้อมูลในคอมพิวเตอร์ทั้งหมดอย่างถาวร เว้นแต่ผู้ใช้จะเลือกวิธีการชำระเงินให้กับผู้ไม่หวังดี สำหรับความเห็นส่วนตัวของผู้เขียนนั้นไม่สนับสนุนวิธีนี้ เนื่องจากไม่มีหลักประกันใด ๆ ว่าเมื่อชำระเงินไปแล้ว ข้อมูลของผู้ใช้จะสามารถถูกถอดรหัสลับกลับมาเป็นเหมือนเดิมได้ รวมถึงการชำระเงินให้กับผู้ไม่หวังดีนั้น เท่ากับว่าเป็นการสนับสนุนให้ผู้ไม่หวังดีมีแรงจูงใจที่จะกระทำการในลักษณะนี้ต่อไปในอนาคตอีกด้วย ดังจะพบเห็นได้จากการแพร่ระบาดของ Ransomware จำนวนมากตามมาหลังจากที่พบการแพร่ระบาดของ CryptoLocker เช่น CryptoBit [14], Locker [15], PowerLocker [16], CryptoDefense [17], CryptoWall [18] และ BitCrypt [19] ซึ่งสะท้อนให้เห็นว่าผู้ไม่หวังดีที่อยู่เบื้องหลังของการเผยแพร่มัลแวร์เหล่านี้ สามารถทำรายได้จากการที่ผู้ใช้ยอมชำระเงินเป็นจำนวนไม่น้อย
สรุป

CryptoLocker เป็นมัลแวร์ประเภท Ransomware ตัวหนึ่งที่พบการแพร่ระบาดในวงกว้าง และทำให้เกิด Ransomware สายพันธุ์อื่น ๆ แพร่ระบาดตามมาเป็นจำนวนมากตั้งแต่ช่วงปลายปี 2556 ซึ่งมัลแวร์เหล่านี้อาจทำให้ผู้ใช้สูญเสียข้อมูลสำคัญทั้งหมดในเครื่องคอมพิวเตอร์ได้ ดังนั้นวิธีการป้องกันไม่ให้เกิดการสูญเสียข้อมูลที่ง่ายและดีที่สุดก็คือการ Backup ข้อมูลลงในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบภายนอก ติดตั้งโปรแกรมป้องกันไวรัส อัปเดตโปรแกรมและระบบปฏิบัติการอย่างสม่ำเสมอ รวมถึงการไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย ซึ่งล้วนแล้วแต่เป็นวิธีปฏิบัติพื้นฐานในการป้องกันตนเองจากเหตุภัยคุกคามด้านสารสนเทศที่อาจเกิดขึ้นได้ทุกเมื่อ
บันทึกการเข้า
 
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2011, Simple Machines
SimplePortal 2.3.7 © 2008-2024, SimplePortal
SMFAds for Free Forums

Clear Mind Theme, by StathisG 		Valid XHTML 1.0! Valid CSS!
หน้านี้ถูกสร้างขึ้นภายในเวลา 0.06 วินาที กับ 25 คำสั่ง