Ransomware คืออะไร?

มัลแวร์ประเภทล่าสุดประเภทหนึ่งเรียกว่าแรนซัมแวร์ แรนซัมแวร์เป็นมัลแวร์ประเภทที่น่ารังเกียจอย่างยิ่ง เมื่อมันผ่านเข้าไปและเข้ารหัสทุกไฟล์ในคอมพิวเตอร์ของคุณ จากนั้นจะแสดงหมายเหตุเรียกค่าไถ่ ในการปลดล็อคอุปกรณ์ของคุณ คุณต้องจ่ายค่าไถ่เพื่อรับรหัสปลดล็อค ในอดีต แคมเปญ ransomware ส่วนใหญ่ทำการถอดรหัสไฟล์จริง ๆ เมื่อจ่ายค่าไถ่แล้ว เนื่องจากการประชาสัมพันธ์เกี่ยวกับแฮกเกอร์ที่ยืนกรานการต่อรองราคาเป็นส่วนสำคัญในการเกลี้ยกล่อมให้ผู้คนจ่ายเงิน

หมายเหตุ: โดยทั่วไปแนะนำว่าคุณไม่ต้องจ่ายค่าไถ่ การทำเช่นนี้ยังคงเป็นการพิสูจน์ว่าแรนซัมแวร์สามารถทำกำไรได้ แต่ก็ไม่ได้รับประกันว่าคุณจะสามารถเข้าถึงข้อมูลของคุณได้อีกครั้ง  

เคล็ดลับ: การเข้ารหัสเป็นกระบวนการของการเข้ารหัสข้อมูลด้วยรหัสและรหัสการเข้ารหัส ข้อมูลที่เข้ารหัสสามารถถอดรหัสได้โดยใช้คีย์ถอดรหัสเท่านั้น

มันทำงานอย่างไร?

เช่นเดียวกับมัลแวร์ใด ๆ แรนซัมแวร์จำเป็นต้องเข้าสู่คอมพิวเตอร์ของคุณจึงจะสามารถทำงานได้ มีวิธีการติดไวรัสที่เป็นไปได้มากมาย แต่วิธีการทั่วไปบางวิธี ได้แก่ การดาวน์โหลดที่ติดไวรัสบนหน้าเว็บ การลงโฆษณาในมัลแวร์ และไฟล์แนบอีเมลที่เป็นอันตราย

เคล็ดลับ: Malvertising คือแนวทางปฏิบัติในการนำเสนอซอฟต์แวร์ที่เป็นอันตรายผ่านเครือข่ายโฆษณา

เมื่อดาวน์โหลดมายังคอมพิวเตอร์ของคุณแล้ว แรนซัมแวร์จะเริ่มเข้ารหัสไฟล์ในเบื้องหลัง ตัวแปรบางตัวจะดำเนินการโดยเร็วที่สุด คุณอาจสังเกตเห็นว่าสิ่งนี้ส่งผลต่อประสิทธิภาพของระบบ แต่มีเวลาเพียงเล็กน้อยที่จะทำอะไรกับมัน แรนซัมแวร์บางรุ่นจะเข้ารหัสข้อมูลอย่างช้าๆ เพื่อลดโอกาสที่ข้อมูลจะถูกสังเกตเห็นเมื่อใช้งานจริง ตัวแปรแรนซัมแวร์สองสามตัวจะอยู่เฉยๆ เป็นเวลาหลายสัปดาห์หรือหลายเดือนเพื่อที่จะรวมอยู่ในข้อมูลสำรองใด ๆ ที่สามารถนำมาใช้เพื่อกู้คืนระบบได้

เคล็ดลับ: โดยปกติแรนซัมแวร์จะหลีกเลี่ยงการเข้ารหัสไฟล์ระบบที่สำคัญ Windows ควรจะยังใช้งานได้ แต่ไฟล์ส่วนบุคคล ฯลฯ ทั้งหมดจะถูกเข้ารหัส

เมื่อแรนซัมแวร์เข้ารหัสทุกอย่างบนคอมพิวเตอร์แล้ว การกระทำขั้นสุดท้ายคือการสร้างบันทึกเรียกค่าไถ่ ซึ่งปกติแล้วจะอยู่บนเดสก์ท็อป หมายเหตุเรียกค่าไถ่โดยทั่วไปจะอธิบายสิ่งที่เกิดขึ้น ให้คำแนะนำเกี่ยวกับวิธีการชำระค่าไถ่และจะเกิดอะไรขึ้นถ้าคุณไม่ทำ โดยทั่วไปจะมีการจำกัดเวลาด้วย โดยขู่ว่าจะขึ้นราคาหรือลบคีย์ที่ใช้เพื่อกระตุ้นให้ผู้คนจ่ายเงิน

ตัวแปรแรนซัมแวร์จำนวนหนึ่งมีคุณลักษณะที่ช่วยให้คุณสามารถถอดรหัสไฟล์จำนวนเล็กน้อยเป็นท่าทาง "ความปรารถนาดี" เพื่อพิสูจน์ว่าไฟล์ของคุณสามารถถอดรหัสได้ วิธีการชำระเงินมักจะเป็น bitcoin หรือ cryptocurrencies อื่น ๆ โดยทั่วไปหมายเหตุเรียกค่าไถ่จะมีลิงก์ไปยังเว็บไซต์ต่างๆ ที่คุณสามารถซื้อ cryptocurrencies ที่เกี่ยวข้องได้ เพื่อช่วยให้ผู้คนจ่ายเงินได้ง่ายขึ้น

เมื่อคุณให้การชำระเงินหรือหลักฐานการชำระเงินในบางครั้ง โดยทั่วไปแล้ว คุณจะได้รับคีย์ถอดรหัสที่คุณสามารถใช้เพื่อถอดรหัสข้อมูลของคุณ น่าเสียดาย มีบางรูปแบบที่ไม่เคยถอดรหัส แม้ว่าคุณจะจ่าย –  กล่าวอีกนัยหนึ่ง คุณไม่ควรจ่าย แต่ให้มองหาวิธีแก้ไขปัญหาอื่น

โดยทั่วไป กระบวนการเข้ารหัสในคอมพิวเตอร์ของคุณจะดำเนินการโดยใช้คีย์เข้ารหัสแบบสมมาตรที่สร้างแบบสุ่ม คีย์การเข้ารหัสนี้จะถูกเข้ารหัสด้วยคีย์การเข้ารหัสแบบอสมมาตร ซึ่งผู้สร้างแรนซัมแวร์มีคีย์ถอดรหัสที่ตรงกัน ซึ่งหมายความว่ามีเพียงผู้สร้าง ransomware เท่านั้นที่สามารถถอดรหัสรหัสผ่านที่คุณต้องการเพื่อถอดรหัสคอมพิวเตอร์ของคุณ

เคล็ดลับ: มีอัลกอริธึมการเข้ารหัสสองประเภท ปลายสมมาตรไม่สมมาตร การเข้ารหัสแบบสมมาตรใช้คีย์เข้ารหัสเดียวกันเพื่อเข้ารหัสและถอดรหัสข้อมูล ในขณะที่การเข้ารหัสแบบอสมมาตรใช้คีย์อื่นในการเข้ารหัสและถอดรหัสข้อมูล การเข้ารหัสแบบอสมมาตรทำให้บุคคลหนึ่งคนสามารถมอบคีย์เข้ารหัสเดียวกันให้กับหลายคนได้ ในขณะที่ยังคงรักษาคีย์ถอดรหัสไว้เพียงคีย์เดียว

แรนซัมแวร์บางรุ่นยังมีฟีเจอร์สนับสนุนที่ให้คุณติดต่อกับบุคคลที่ทำการหลอกลวงได้ ข้อมูลนี้ออกแบบมาเพื่อช่วยคุณในกระบวนการชำระเงิน อย่างไรก็ตาม มีบางคนประสบความสำเร็จในการใช้เพื่อพยายามต่อรองราคาให้ต่ำลง

เคล็ดลับ: ในบางกรณี แรนซัมแวร์จะถูกปรับใช้เป็นการติดเชื้อรองเพื่อพยายามปกปิดการมีอยู่ของไวรัสอื่นที่อาจขโมยข้อมูลอื่นอย่างลับๆ จุดประสงค์ในกรณีนี้คือการเข้ารหัสไฟล์บันทึกเป็นหลักและทำให้การตอบสนองต่อเหตุการณ์และกระบวนการนิติเวชยากขึ้น การโจมตีประเภทนี้โดยทั่วไปจะใช้เฉพาะในการโจมตีที่กำหนดเป้าหมายอย่างสูงต่อธุรกิจมากกว่าผู้ใช้คอมพิวเตอร์ทั่วไป

วิธีป้องกันตัว

คุณสามารถลดโอกาสที่คุณจะติดไวรัสแรนซัมแวร์และมัลแวร์อื่น ๆ ได้ด้วยความระมัดระวังบนอินเทอร์เน็ต คุณไม่ควรเปิดไฟล์แนบอีเมลที่คุณไม่คาดคิด แม้ว่าคุณจะเชื่อถือผู้ส่งก็ตาม คุณไม่ควรเปิดใช้งานมาโครในเอกสาร office โดยเฉพาะอย่างยิ่งหากเอกสารถูกดาวน์โหลดจากอินเทอร์เน็ต แมโครเอกสาร Office เป็นวิธีการติดเชื้อทั่วไป

ตัวบล็อกโฆษณา เช่น uBlock Origin สามารถเป็นเครื่องมือที่ดีในการป้องกันมัลแวร์ นอกจากนี้ คุณควรตรวจสอบให้แน่ใจว่าคุณดาวน์โหลดไฟล์จากเว็บไซต์ที่ถูกต้องและน่าเชื่อถือเท่านั้น เนื่องจากมัลแวร์มักจะถูกซ่อนไว้ในการดาวน์โหลดที่ติดไวรัสซึ่งปลอมแปลงเป็นซอฟต์แวร์แบบชำระเงินเวอร์ชันฟรี

การมีและการใช้ซอฟต์แวร์ต่อต้านไวรัสหรือซอฟต์แวร์ป้องกันมัลแวร์นั้นเป็นการป้องกันแบ็คสต็อปที่ดีจากมัลแวร์ที่จัดการผ่านแนวป้องกันแรกของคุณ

ช่วยด้วย ฉันติดเชื้อแล้ว!

หากคุณพบว่าตัวเองอยู่ในตำแหน่งที่แรนซัมแวร์เข้าครอบงำคอมพิวเตอร์ของคุณ คุณอาจปลดล็อกแรนซัมแวร์ได้ฟรี แผนการเรียกค่าไถ่จำนวนพอสมควรได้รับการออกแบบมาไม่ดีและ/หรือถูกหน่วยงานบังคับใช้กฎหมายนำออกแล้ว

ในกรณีเหล่านี้ อาจเป็นไปได้ว่ามีการระบุคีย์ถอดรหัสหลักและพร้อมใช้งาน EC3ของ Europol (European Cybercrime Center) มีเครื่องมือที่เรียกว่า “ Crypto Sheriff ” ที่สามารถใช้เพื่อระบุประเภทของแรนซัมแวร์ที่คุณมี แล้วเชื่อมโยงคุณไปยังเครื่องมือถอดรหัสที่ถูกต้องหากมีอยู่

หนึ่งในการป้องกันที่ดีที่สุดที่คุณสามารถป้องกันได้จากแรนซัมแวร์คือการสำรองข้อมูลที่ดี ข้อมูลสำรองเหล่านี้ควรเก็บไว้ในฮาร์ดไดรฟ์ที่ไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือเครือข่ายเดียวกันกับคอมพิวเตอร์เพื่อป้องกันไม่ให้ติดไวรัสด้วย การสำรองข้อมูลควรเชื่อมต่อกับคอมพิวเตอร์ที่ได้รับผลกระทบเมื่อ ransomware ถูกลบออกเท่านั้น ไม่เช่นนั้นจะถูกเข้ารหัสด้วย