ประกาศ !! ใครไม่อ่านจะเสียใจ ก่อนที่อะไรมันจะสายเกินไปครับเอามาฝากเจอมาสดๆ ร้อนๆ ครับ !!

[surat1986]

CryptoLocker: เรื่องเก่าที่ถูกเอามาเล่าใหม่
ผู้เขียน: ธงชัย ศิลปวรางกูร
วันที่เผยแพร่: 5 พฤศจิกายน 2556
ปรับปรุงล่าสุด: 8 สิงหาคม 2557

>>โดนมาสดๆ ร้อนๆ ครับ เลยเอามาฝากมาแชร์กัน ครับ โชคดีครับ <<

เป็นที่ทราบกันดีว่าทุกคนย่อมเคยมีประสบการณ์ที่คอมพิวเตอร์ของตนเองติดมัลแวร์ ไม่ว่าจะเป็นในรูปแบบของโทรจัน เวิร์ม รูทคิท หรือที่ผู้ใช้ทั่วไปมักเรียกโปรแกรมไม่พึงประสงค์เหล่านี้รวมกันว่าไวรัส ซึ่งมัลแวร์แต่ละประเภทและแต่ละตัวก็จะก่อให้เกิดผลกระทบและความเสียหายที่แตกต่างกันไป ตัวอย่างของมัลแวร์ที่คนส่วนใหญ่มักเคยพบเจอได้แก่ โทรจันประเภท Keylogger ที่แอบขโมยข้อมูลการกดแป้นคีย์บอร์ดของผู้ใช้ส่งกลับไปยังผู้ไม่หวังดี หรือมัลแวร์ที่แอบตั้งค่าต่าง ๆ ในระบบปฏิบัติการและป้องกันไม่ให้ผู้ใช้เข้าไปแก้ไขค่าดังกล่าว อย่างไรก็ตาม ยังมีมัลแวร์อยู่ประเภทหนึ่งที่เรียกว่า Ransomware ซึ่งไม่ได้ใช้วิธีการขโมยข้อมูลส่วนบุคคลของผู้ใช้เหมือนกับที่มัลแวร์ในสมัยนี้นิยมทำกัน หากแต่ทำการ “เรียกค่าไถ่” ด้วยการทำให้ผู้ใช้ไม่สามารถเข้าถึงระบบหรือข้อมูลในคอมพิวเตอร์ หรือหลอกล่อด้วยวิธีการใด ๆ ก็ตามที่จะทำให้ผู้ใช้ยอมชำระเงินให้กับผู้ไม่หวังดีเพื่อที่จะแก้ไขปัญหาที่เกิดขึ้น ซึ่งวิธีการข่มขู่หรือหลอกล่อให้เหยื่อชำระเงินนั้นมีด้วยกันสารพัดวิธี ไม่ว่าจะเป็นการขึ้นข้อความแอบอ้างว่าเป็นเจ้าหน้าที่รัฐที่ตรวจสอบพบว่าคอมพิวเตอร์ของเหยื่อถูกนำไปใช้ในทางที่ผิดกฎหมาย [1] หรือขึ้นข้อความหลอกให้ผู้ใช้ทำการ Reactivate Windows ด้วยการโทรศัพท์ไปยังเบอร์ที่ผู้ไม่หวังดีให้บริการ ซึ่งเป็นการโทรทางไกลที่เสียค่าใช้จ่ายสูง [2] เป็นต้น มัลแวร์ประเภท Ransomware นั้นเคยมีการค้นพบมานานนับสิบปีแล้ว แต่เนื่องจากในช่วงที่ผ่านมาไม่นานนี้มีการค้นพบ Ransomware ตัวใหม่ที่มีชื่อว่า CryptoLocker ซึ่งกำลังตกเป็นข่าวที่ผู้คนกำลังให้ความสนใจ ผู้เขียนจึงได้เขียนบทความนี้เพื่อให้ผู้อ่านได้ตระหนักและรู้เท่าทันถึงมัลแวร์ดังกล่าว

ว่าด้วยเรื่องของ CryptoLocker
CryptoLocker เป็น Ransomware บนระบบปฏิบัติการ Windows ตัวล่าสุดที่ถูกค้นพบเมื่อช่วงเดือนกันยายน 2556 ที่ผ่านมา โดยถูกเผยแพร่ผ่านทางไฟล์แนบในอีเมลหลอกลวง (ตัวอย่างที่มีผู้เคยพบ เช่น อีเมลแจ้งการติดตามพัสดุจาก FedEx, UHS หรือ UPS พร้อมกับแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF [3]) หรือผ่านทางมัลแวร์ประเภทบอตเน็ตที่เคยถูกติดตั้งลงบนเครื่องของผู้ใช้มาก่อน หลักการทำงานโดยทั่วไปของ CryptoLocker นั้นคล้ายคลึงกับ Ransomware ตัวอื่น ๆ ในอดีตที่ผ่านมา นั่นคือทำการเข้ารหัสลับข้อมูลไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่น ๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่ายก็ถูกเข้ารหัสลับด้วยเช่นกัน

นามสกุลของไฟล์ที่ถูก CryptoLocker เข้ารหัสลับ (ที่มา: Naked Security [4])


หน้าต่างของโปรแกรม CryptoLocker ที่ขึ้นข้อความข่มขู่ให้ผู้ใช้ชำระเงิน (ที่มา: Naked Security [4])

พฤติกรรมที่น่าสนใจของ CryptoLocker อย่างหนึ่งหลังจากที่ติดตั้งตัวเองลงในคอมพิวเตอร์แล้ว คือการสร้างสุ่มชื่อโดเมนด้วยเทคนิค Domain Generation Algorithm [5] เพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการ (Command-and-control server) ในการดาวน์โหลด Public key ที่ใช้สำหรับเข้ารหัสลับ ซึ่งเทคนิคการสุ่มชื่อโดเมนเพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการนี้มักพบเห็นในมัลแวร์สมัยใหม่ที่แพร่ระบาดอยู่ในปัจจุบัน โดย Public key ที่ถูกดาวน์โหลดมานั้นใช้อัลกอริทึม RSA ที่มีความยาวถึง 2048 bits ซึ่งด้วยสมรรถนะของคอมพิวเตอร์ในปัจจุบันยังไม่สามารถทำการสุ่มหา Private key ที่ใช้ในการถอดรหัสลับที่มีความยาวขนาดนี้ในทางปฏิบัติได้ ทั้งนี้ RSA public key ดังกล่าวเป็นเพียง Key ที่ใช้ในการเข้ารหัสลับ Secret key ที่ใช้ในการเข้ารหัสลับข้อมูลในคอมพิวเตอร์ของเหยื่อจริง ๆ อีกทอดหนึ่ง โดย Secret key ดังกล่าวใช้อัลกอริทึม AES ความยาว 256 bits นอกจากนี้สิ่งที่น่าสนใจอีกอย่างคือช่องทางการชำระเงิน ซึ่งผู้ไม่หวังดีเปิดโอกาสให้เหยื่อสามารถชำระเงินเพื่อขอรับ Private key ด้วย Bitcoin (ตัวย่อ: BTC) ซึ่งเป็นสกุลเงินในโลกดิจิทัลที่กำลังได้รับความนิยมอยู่ในปัจจุบัน


หน้าต่างระบุช่องทางการชำระเงินเป็น Bitcoin (ที่มา: Securelist [6])

ทั้งนี้เมื่อต้นเดือนพฤศจิกายน 2556 มีการรายงานว่าผู้พัฒนา CryptoLocker ได้ยืดระยะเวลาให้กับผู้ใช้ที่ตกเป็นเหยื่อ ด้วยการเปิดเว็บไซต์ผ่านเครือข่าย TOR เพื่อให้บริการรับชำระเงิน โดยวิธีการชำระเงินนั้นจะเริ่มจากการให้ผู้ใช้อัพโหลดไฟล์ที่ถูกเข้ารหัสลับผ่านหน้าเว็บไซต์เพื่อทำการตรวจสอบหา Private key ที่ใช้ในการถอดรหัสลับ โดยอ้างว่าใช้เวลาในขั้นตอนดังกล่าวประมาณ 24 ชั่วโมง หลังจากเสร็จสิ้นจะมีหน้าต่างปรากฏให้ชำระเงินเป็น Bitcoin เช่นเดิม แต่มีการขึ้นราคาจากเดิม 2 BTC เป็น 10 BTC หรือเทียบเท่ากับราคาจากเดิมประมาณ 460 USD เป็น 2,300 USD (ข้อมูลอัตราแลกเปลี่ยน ณ วันที่ 4 พฤศจิกายน 2556)


หน้าหลักของเว็บไซต์ที่เปิดให้บริการชำระเงิน (ที่มา: Bleeping Computer [7])


หน้าต่างชำระเงินหลังจากเสร็จสิ้นการค้นหา Private key (ที่มา: Bleeping Computer [7])

การป้องกันและแก้ไข
วิธีการป้องกันมัลแวร์ CryptoLocker รวมถึง Ransomware ตัวอื่น ๆ ในเบื้องต้นได้แก่
Backup ข้อมูลอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ถูก Backup ไว้ในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่น ๆ
ติดตั้ง/อัปเดตโปรแกรมป้องกันไวรัส รวมถึงอัปเดตโปรแกรมอื่น ๆ โดยเฉพาะโปรแกรมที่มักมีข่าวเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ Adobe Reader และอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ์เหล่านั้น
ตั้งค่า Policy ของระบบปฏิบัติการ เพื่อป้องกันไม่ให้มัลแวร์สามารถทำงานตาม Directory หรือ Path ที่ระบุได้ [8]
ในกรณีที่เครื่องคอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ CryptoLocker และไฟล์ในเครื่องถูกเข้ารหัสลับไปแล้ว ทางบริษัท FireEye และ Fox-IT ได้ร่วมกันเปิดให้บริการเว็บไซต์สำหรับถอดรหัสลับข้อมูลที่ถูกเข้ารหัสลับด้วย CryptoLocker [9] เมื่อวันที่ 6 สิงหาคม 2557 โดยที่มาของการพัฒนาเครื่องมือในการถอดรหัสลับนี้ เป็นผลลัพธ์ที่ได้มาจากความร่วมมือระหว่างหน่วยงานภาครัฐและเอกชนจากหลายประเทศ ในการเข้ายึดเครื่องควบคุมและสั่งการ Botnet ที่ติดมัลแวร์ Gameover Zeus ซึ่งเป็นมัลแวร์ตัวหนึ่งที่ถูกใช้ในการเผยแพร่ CryptoLocker ภายใต้ปฏิบัติการที่ชื่อ Operation Tovar เมื่อเดือนมิถุนายน 2557 [10] ในการใช้งานเว็บไซต์ดังกล่าวนั้น ผู้ใช้จะต้องอัพโหลดไฟล์ที่ถูกเข้ารหัสลับไปยังเว็บไซต์ หลังจากนั้นผู้ใช้จะได้รับ Private key ในการถอดรหัสลับทางอีเมล ซึ่ง Private key ดังกล่าวจะต้องใช้ร่วมกับเครื่องมือที่ทางผู้พัฒนาเตรียมไว้ให้ [11] อย่างไรก็ตาม เครื่องมือนี้อาจไม่สามารถใช้ในการถอดรหัสลับได้ในทุกกรณี เนื่องจากข้อมูลอาจถูกเข้ารหัสลับด้วย CryptoLocker ตัวที่ถูกพัฒนาแยกออกเป็นสายพันธุ์ย่อย ซึ่งแต่ละสายพันธุ์มีพฤติกรรมการทำงานที่แตกต่างกันออกไป ดังนั้นผู้ใช้จึงต้องทดลองใช้งานเครื่องมือดังกล่าวเองว่าไฟล์ของตนสามารถถอดรหัสลับได้หรือไม่ ในอีกทางหนึ่ง หากผู้ใช้ได้เปิดใช้งานฟังก์ชัน System Restore ของ Windows [12] เอาไว้ ก็มีโอกาสที่จะสามารถกู้ดิสก์หรือไฟล์เวอร์ชันก่อนหน้าที่จะถูกมัลแวร์เข้ารหัสลับได้ [13]

ทั้งนี้ จากวิธีการป้องกันตามที่กล่าวมาข้างต้น จะสังเกตได้ว่าส่วนใหญ่เป็นวิธีที่ผู้ใช้ทั่วไปมักทราบกันดีอยู่แล้ว เพียงแต่อาจไม่ใส่ใจที่จะปฏิบัติตาม เนื่องจากคิดว่าตนเองไม่น่ามีโอกาสพบกับเหตุร้ายเหล่านี้ได้ โดยเฉพาะกรณีที่คอมพิวเตอร์ติดมัลแวร์ Ransomware เนื่องจากผู้ใช้มีความเสี่ยงที่จะสูญเสียข้อมูลในคอมพิวเตอร์ทั้งหมดอย่างถาวร เว้นแต่ผู้ใช้จะเลือกวิธีการชำระเงินให้กับผู้ไม่หวังดี สำหรับความเห็นส่วนตัวของผู้เขียนนั้นไม่สนับสนุนวิธีนี้ เนื่องจากไม่มีหลักประกันใด ๆ ว่าเมื่อชำระเงินไปแล้ว ข้อมูลของผู้ใช้จะสามารถถูกถอดรหัสลับกลับมาเป็นเหมือนเดิมได้ รวมถึงการชำระเงินให้กับผู้ไม่หวังดีนั้น เท่ากับว่าเป็นการสนับสนุนให้ผู้ไม่หวังดีมีแรงจูงใจที่จะกระทำการในลักษณะนี้ต่อไปในอนาคตอีกด้วย ดังจะพบเห็นได้จากการแพร่ระบาดของ Ransomware จำนวนมากตามมาหลังจากที่พบการแพร่ระบาดของ CryptoLocker เช่น CryptoBit [14], Locker [15], PowerLocker [16], CryptoDefense [17], CryptoWall [18] และ BitCrypt [19] ซึ่งสะท้อนให้เห็นว่าผู้ไม่หวังดีที่อยู่เบื้องหลังของการเผยแพร่มัลแวร์เหล่านี้ สามารถทำรายได้จากการที่ผู้ใช้ยอมชำระเงินเป็นจำนวนไม่น้อย

สรุป

CryptoLocker เป็นมัลแวร์ประเภท Ransomware ตัวหนึ่งที่พบการแพร่ระบาดในวงกว้าง และทำให้เกิด Ransomware สายพันธุ์อื่น ๆ แพร่ระบาดตามมาเป็นจำนวนมากตั้งแต่ช่วงปลายปี 2556 ซึ่งมัลแวร์เหล่านี้อาจทำให้ผู้ใช้สูญเสียข้อมูลสำคัญทั้งหมดในเครื่องคอมพิวเตอร์ได้ ดังนั้นวิธีการป้องกันไม่ให้เกิดการสูญเสียข้อมูลที่ง่ายและดีที่สุดก็คือการ Backup ข้อมูลลงในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบภายนอก ติดตั้งโปรแกรมป้องกันไวรัส อัปเดตโปรแกรมและระบบปฏิบัติการอย่างสม่ำเสมอ รวมถึงการไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย ซึ่งล้วนแล้วแต่เป็นวิธีปฏิบัติพื้นฐานในการป้องกันตนเองจากเหตุภัยคุกคามด้านสารสนเทศที่อาจเกิดขึ้นได้ทุกเมื่อ

อ้างอิง

http://www.microsoft.com/security/po...fReveton#tab=1
http://www.computerworld.com/s/artic...ivation_demand
http://www.examiner.com/article/cryp...som-what-to-do
http://nakedsecurity.sophos.com/2013...r-on-the-loose
http://en.wikipedia.org/wiki/Domain_...tion_algorithm
http://www.securelist.com/en/blog/20...nts_Your_Money
http://www.bleepingcomputer.com/foru...yption-service
http://www.bleepingcomputer.com/viru...mation#prevent
https://www.decryptcryptolocker.com
http://krebsonsecurity.com/2014/06/o...locker-scourge
http://www.fireeye.com/blog/corporat...ecryption.html
http://en.wikipedia.org/wiki/System_Restore
http://www.bleepingcomputer.com/viru...rmation#shadow
http://www.bleepingcomputer.com/viru...re-information
http://thehackernews.com/2013/12/loc...w-variant.html
http://www.pandasecurity.com/mediace...re/powerlocker
http://www.bleepingcomputer.com/viru...re-information
http://www.bleepingcomputer.com/viru...re-information
http://blog.trendmicro.com/trendlabs...ne-in-bitcrypt

เพียงคำขอบคุณครับ Credit : https://www.thaicert.or.th/papers/te...2013te011.html

[TONP555]

เป็นไวรัสที่เลวมากๆ นี่มันปล้นกันชัดๆ

[surat1986]

เป็นไวรัสที่เลวมากๆ นี่มันปล้นกันชัดๆ

ใช่ครับผมไฟล์หายหมดเลย Hard Disk 3 ลูก เรียบครับ น้ำตาไหลเลยครับ

[maruchik0]

ผมเคยดูในรายการทีวีเหมือนกันการทำงานนี้คือกดแล้วข้อมูลเข้ารหัสหมดเลยรูปภาพก็มองไม่เห็นสุดซวยจริงๆถ้าจ่ายเงินไป

มันจะมาปลดให้ก็โชคไปครับถ้าไม่ก็อาจโดนจับแล้วก็ได้

[siriuscry]

พึ่งเจอไปกับตัวนี่ โดนยังไงครับ เปิดเว็ปอะไร หรือเมลอะไร ยังไง

[xReapZ]

คนรู้จักผมก็พึ่งโดนมาเหมือนท่านเลย

[surat1986]

พึ่งเจอไปกับตัวนี่ โดนยังไงครับ เปิดเว็ปอะไร หรือเมลอะไร ยังไง

ผมไม่แน่ใจครับ น่าจะมากับพวก เมลล์ หรือไฟล์ zip ที่โหลดมานี่แหละ ต้องระวัง ทางที่ดีลง Anti Virus ดีสุดครับ (ก่อนหน้านี้ผมไม่ได้ลงเลยเพราะคิดว่าโดนยังไงก็พอแก้ได้) เจอตัวนี้ปวดกะบานเลยครับ

[ninjakolo]

windows defender ช่วยกันเจ้านี่ได้ไหมครับ...จะได้หา antivirus มาใช้

[oQLollipopBoyQo]

แวะมา Update ครับ 55
ที่ทำงานผม ซึ่งผมเป็นฝ่่าย IT อันกัน 3-4 เครื่องโดยไวรัสพวกนี้ จะไม่แชร์หรือติดเครื่องอื่น โดยจะ lock ID CPU และ เมนบอร์ด (อ่าโห่วววมันเก่งไปป่าว)
ตอนข้อมูล ก็สำคัญมากๆ แต่ก็ยังหาวิธีแก้ไม่ได้
...และปัจจุบัน ไวรัสตัวนี้ได้ถูกพัฒนาไปอีกระดับ จาก 2556 โดย สแกนไวรัส kaspersky สามารถ Uplock รหัสนี่ได้แต่ เป็นเพียง 1024bit ซึ่ง ****ใครเขียนกันว่ะเนี้ยะ..
ปัจจุบัน ตัวที่โดนล่าสุด เป็น v.2048 ยังหาวิธีแก้ไม่ได้ ซึ่ง ไฟล์ที่โดน เป็นไฟล์ database ล้วนๆ TT..
..ไวรัสมากับการ คลิกไปมั่วๆ เช่นเว็บ "การจองตั๋วเครื่องบิน การจองตั๋วที่พัก" จะเด้งข้อความมาให้กด ย้ำ เพื่อ ยืนยัน คลิกครั้งแรกจะไม่โดน
"ระวังกันให้ดีดีน่ะครับ" อันตราย ที่สุดคือตัวนี้...

[Mcarmy]

ถ้า ฐานข้อมูล facebook โดนจะเป็นไงนะนี่

[surat1986]

แวะมา Update ครับ 55
ที่ทำงานผม ซึ่งผมเป็นฝ่่าย IT อันกัน 3-4 เครื่องโดยไวรัสพวกนี้ จะไม่แชร์หรือติดเครื่องอื่น โดยจะ lock ID CPU และ เมนบอร์ด (อ่าโห่วววมันเก่งไปป่าว)
ตอนข้อมูล ก็สำคัญมากๆ แต่ก็ยังหาวิธีแก้ไม่ได้
...และปัจจุบัน ไวรัสตัวนี้ได้ถูกพัฒนาไปอีกระดับ จาก 2556 โดย สแกนไวรัส kaspersky สามารถ Uplock รหัสนี่ได้แต่ เป็นเพียง 1024bit ซึ่ง ****ใครเขียนกันว่ะเนี้ยะ..
ปัจจุบัน ตัวที่โดนล่าสุด เป็น v.2048 ยังหาวิธีแก้ไม่ได้ ซึ่ง ไฟล์ที่โดน เป็นไฟล์ database ล้วนๆ TT..
..ไวรัสมากับการ คลิกไปมั่วๆ เช่นเว็บ "การจองตั๋วเครื่องบิน การจองตั๋วที่พัก" จะเด้งข้อความมาให้กด ย้ำ เพื่อ ยืนยัน คลิกครั้งแรกจะไม่โดน
"ระวังกันให้ดีดีน่ะครับ" อันตราย ที่สุดคือตัวนี้...

ขอบคุณข้อมูลดีๆ ครับ...คนเขียนไวรัสก็ใจร้ายจัง