ภัยร้ายของ Ransomware มันทำงานอย่างไรและจะลบออกอย่างไร

ภัยร้ายของ Ransomware คำจำกัดความของ Ransomware

Ransomware เป็นมัลแวร์รูปแบบหนึ่ง ที่เข้ารหัสไฟล์ของเหยื่อ จากนั้นผู้โจมตีจะเรียกร้องค่าไถ่จากเหยื่อเพื่อเรียกคืนการเข้าถึงข้อมูลเมื่อชำระเงิน

ผู้ใช้จะแสดงคำแนะนำเกี่ยวกับวิธีการชำระค่าธรรมเนียมเพื่อรับคีย์การถอดรหัส ค่าใช้จ่ายอาจมีตั้งแต่ไม่กี่ร้อยดอลลาร์ไปจนถึงหลายพันดอลลาร์ซึ่งจ่ายให้กับอาชญากรไซเบอร์ใน Bitcoin

[เรียนรู้ว่าทำไมransomware อาจจะเป็นภัยคุกคามที่ใหญ่ที่สุดของคุณและวิธีการป้องกันการสำรองข้อมูลจาก ransomware | ได้รับล่าสุดจาก CSO โดยการลงทะเบียนสำหรับจดหมายข่าวของเรา ]

ransomware ทำงานอย่างไร
มีเวกเตอร์จำนวนมาก ransomware สามารถใช้ในการเข้าถึงคอมพิวเตอร์ ระบบการจัดส่งที่พบมากที่สุดระบบหนึ่งคือสแปมฟิชชิ่ง – ไฟล์แนบที่ส่งมาถึงเหยื่อในอีเมลโดยปลอมเป็นไฟล์ที่พวกเขาควรเชื่อถือ เมื่อดาวน์โหลดและเปิดแล้วพวกเขาสามารถเข้ายึดคอมพิวเตอร์ของเหยื่อได้โดยเฉพาะอย่างยิ่งหากมีเครื่องมือวิศวกรรมสังคมในตัวที่หลอกให้ผู้ใช้อนุญาตการเข้าถึงระดับผู้ดูแลระบบ แรนซัมแวร์ในรูปแบบอื่นที่ก้าวร้าวมากขึ้นเช่นNotPetyaใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยเพื่อทำให้คอมพิวเตอร์ติดไวรัสโดยไม่จำเป็นต้องหลอกลวงผู้ใช้

มีหลายสิ่งที่มัลแวร์อาจทำเมื่อเข้ายึดคอมพิวเตอร์ของเหยื่อ แต่การดำเนินการที่พบบ่อยที่สุดคือการเข้ารหัสไฟล์บางส่วนหรือทั้งหมดของผู้ใช้ หากคุณต้องการรายละเอียดทางเทคนิค Infosec Institute มีข้อมูลเชิงลึกที่ดีเยี่ยมว่าไฟล์เข้ารหัสแรนซัมแวร์มีหลากหลายรสชาติเพียงใด แต่สิ่งที่สำคัญที่สุดที่ต้องรู้ก็คือในตอนท้ายของกระบวนการไฟล์จะไม่สามารถถอดรหัสได้หากไม่มีคีย์ทางคณิตศาสตร์ที่ผู้โจมตีรู้จักเท่านั้น ผู้ใช้จะได้รับข้อความอธิบายว่าตอนนี้ไฟล์ของพวกเขาไม่สามารถเข้าถึงได้และจะถูกถอดรหัสก็ต่อเมื่อเหยื่อส่งการชำระเงิน Bitcoin ที่ไม่สามารถติดตามได้ไปยังผู้โจมตี ภัยร้ายของ Ransomware

ในมัลแวร์บางรูปแบบผู้โจมตีอาจอ้างว่าเป็นหน่วยงานบังคับใช้กฎหมายที่ปิดคอมพิวเตอร์ของเหยื่อเนื่องจากมีภาพอนาจารหรือซอฟต์แวร์ละเมิดลิขสิทธิ์อยู่และเรียกร้องให้มีการจ่าย “ค่าปรับ” ซึ่งอาจทำให้เหยื่อมีโอกาส รายงานการโจมตีต่อเจ้าหน้าที่ แต่การโจมตีส่วนใหญ่ไม่ได้กังวลกับข้ออ้างนี้ นอกจากนี้ยังมีรูปแบบที่เรียกว่ารั่วหรือด็อกซ์แวร์ซึ่งผู้โจมตีขู่ว่าจะเผยแพร่ข้อมูลที่ละเอียดอ่อนบนฮาร์ดไดรฟ์ของเหยื่อเว้นแต่จะมีการจ่ายค่าไถ่ แต่เนื่องจากการค้นหาและดึงข้อมูลดังกล่าวเป็นเรื่องที่ยุ่งยากมากสำหรับผู้โจมตีแรนซัมแวร์การเข้ารหัสจึงเป็นประเภทที่พบได้บ่อยที่สุด

ใครคือเป้าหมายของ ransomware?
มีหลายวิธีที่แตกต่างกันโจมตีเป็นองค์กรที่พวกเขากำหนดเป้าหมายกับ ransomware บางครั้งก็เป็นเรื่องของโอกาสตัวอย่างเช่นผู้โจมตีอาจกำหนดเป้าหมายไปที่มหาวิทยาลัยเนื่องจากพวกเขามักจะมีทีมรักษาความปลอดภัยขนาดเล็กและฐานผู้ใช้ที่แตกต่างกันซึ่งมีการแชร์ไฟล์จำนวนมากทำให้สามารถเจาะแนวป้องกันได้ง่ายขึ้น

ในทางกลับกันองค์กรบางแห่งกำลังล่อลวงเป้าหมายเนื่องจากดูเหมือนว่าจะจ่ายค่าไถ่ได้เร็วกว่า ตัวอย่างเช่นหน่วยงานของรัฐหรือสถานพยาบาลมักต้องการเข้าถึงไฟล์ของตนทันที บริษัท กฎหมายและองค์กรอื่น ๆ ที่มีข้อมูลที่ละเอียดอ่อนอาจยินดีจ่ายเพื่อให้ข่าวการประนีประนอมเงียบ ๆ และองค์กรเหล่านี้อาจมีความอ่อนไหวต่อการโจมตีของรั่วไหล

แต่อย่ารู้สึกว่าคุณปลอดภัยหากคุณไม่เหมาะกับหมวดหมู่เหล่านี้: ดังที่เรากล่าวไว้แรนซัมแวร์บางตัวแพร่กระจายไปทั่วอินเทอร์เน็ตโดยอัตโนมัติและไม่เลือกปฏิบัติ

วิธีป้องกัน ransomware
มีขั้นตอนการป้องกันหลายอย่างที่คุณสามารถทำได้เพื่อป้องกันการติดไวรัสแรนซัมแวร์ ขั้นตอนเหล่านี้เป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีโดยทั่วไปดังนั้นการปฏิบัติตามขั้นตอนเหล่านี้จะช่วยปรับปรุงการป้องกันของคุณจากการโจมตีทุกประเภท:

อัปเดตระบบปฏิบัติการของคุณ ให้ทันสมัยอยู่เสมอ เพื่อให้แน่ใจว่าคุณมีช่องโหว่ที่จะใช้ประโยชน์น้อยลง
อย่า ติดตั้งซอฟต์แวร์หรือให้สิทธิ์ระดับผู้ดูแลระบบเว้นแต่คุณจะรู้แน่ชัดว่ามันคืออะไรและทำอะไร
ติดตั้ง ซอฟต์แวร์ป้องกันไวรัสที่ตรวจพบโปรแกรมที่เป็นอันตรายเช่น ransomware ที่พวกเขาเดินทางมาถึงและ ซอฟแวร์ยกเว้น ,ซึ่งจะช่วยป้องกันการใช้งานที่ไม่ได้รับอนุญาตจากการดำเนินการในสถานที่แรก
และแน่นอน สำรองไฟล์ของคุณ บ่อยและอัตโนมัติ! นั่นจะไม่หยุดการโจมตีของมัลแวร์ แต่สามารถสร้างความเสียหายที่เกิดจากความสำคัญน้อยกว่ามาก
กำจัด Ransomware
หากคอมพิวเตอร์ของคุณติดแรนซัมแวร์คุณจะต้องควบคุมเครื่องของคุณอีกครั้ง Steve Ragan จาก CSO มีวิดีโอที่ยอดเยี่ยมที่สาธิตวิธีการทำสิ่งนี้บนเครื่อง Windows 10:

วิดีโอมีรายละเอียดทั้งหมด แต่ขั้นตอนสำคัญคือ:

รีบูต Windows 10 ไปที่เซฟโหมด
ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์
สแกนระบบเพื่อค้นหาโปรแกรม ransomware
กู้คืนคอมพิวเตอร์กลับสู่สถานะก่อนหน้า
แต่สิ่งสำคัญที่ควรทราบมีดังนี้: ในขณะที่ทำตามขั้นตอนเหล่านี้สามารถลบมัลแวร์ออกจากคอมพิวเตอร์ของคุณและคืนค่าสู่การควบคุมของคุณได้ แต่จะไม่ถอดรหัสไฟล์ของคุณ การเปลี่ยนแปลงไปสู่ความไม่สามารถอ่านได้ได้เกิดขึ้นแล้วและหากมัลแวร์มีความซับซ้อนทั้งหมดก็จะเป็นไปไม่ได้ทางคณิตศาสตร์ที่ใครก็ตามจะถอดรหัสพวกมันโดยไม่ต้องเข้าถึงคีย์ที่ผู้โจมตีถืออยู่ ในความเป็นจริงการลบมัลแวร์จะทำให้คุณไม่สามารถกู้คืนไฟล์ของคุณได้โดยการจ่ายเงินค่าไถ่ที่ผู้โจมตีขอ

Ransomware ข้อเท็จจริงและตัวเลข
Ransomware เป็นธุรกิจขนาดใหญ่ แรนซัมแวร์มีเงินจำนวนมากและตลาดขยายตัวอย่างรวดเร็วตั้งแต่ต้นทศวรรษที่ผ่านมา ในปี 2560 ransomware ส่งผลให้เกิดความสูญเสีย 5 พันล้านดอลลาร์ทั้งในแง่ของค่าไถ่ที่จ่ายและการใช้จ่ายและการสูญเสียเวลาในการกู้คืนจากการโจมตี นั่นขึ้น 15 เท่าจากปี 2015 ในช่วงไตรมาสแรกของปี 2018 เพียงหนึ่งชนิดของซอฟต์แวร์ ransomware, Samsam, เก็บ $ 1 ล้านบาทในเงินค่าไถ่

ตลาดบางแห่งมีแนวโน้มที่จะถูกแรนซัมแวร์เป็นพิเศษและยอมจ่ายเงินค่าไถ่ การโจมตีแรนซัมแวร์ระดับสูงจำนวนมากเกิดขึ้นในโรงพยาบาลหรือองค์กรทางการแพทย์อื่น ๆ ซึ่งทำให้เป็นเป้าหมายที่น่าดึงดูด: ผู้โจมตีรู้ว่าด้วยชีวิตที่สมดุลองค์กรเหล่านี้มีแนวโน้มที่จะจ่ายค่าไถ่ที่ค่อนข้างต่ำเพื่อให้ปัญหาหมดไป มันประมาณว่าร้อยละ 45 ของการโจมตี ransomware กำหนดเป้าหมายองค์กรด้านการดูแลสุขภาพและตรงกันข้ามว่าร้อยละ 85 ของการติดเชื้อมัลแวร์ที่องค์กรด้านการดูแลสุขภาพเป็น ransomware หล่อๆอีกวงการ? ภาคบริการทางการเงินซึ่งเป็นดังที่ Willie Sutton กล่าวไว้อย่างโด่งดังว่าเงินอยู่ที่ไหน มันประมาณว่าร้อยละ 90 ของสถาบันการเงินเป็นเป้าหมายจากการโจมตี ransomware ในปี 2017

ซอฟต์แวร์ป้องกันมัลแวร์ของคุณไม่จำเป็นต้องปกป้องคุณ Ransomware ถูกเขียนและปรับแต่งโดยนักพัฒนาอย่างต่อเนื่องดังนั้นลายเซ็นของมันมักจะไม่ถูกจับโดยโปรแกรมป้องกันไวรัสทั่วไป ในความเป็นจริงมากที่สุดเท่าที่ร้อยละ 75 ของ บริษัท ที่ตกเป็นเหยื่อของการถูก ransomware วิ่งขึ้นไปวันที่ป้องกันปลายทางบนเครื่องที่ติดเชื้อ

Ransomware ไม่แพร่หลายอย่างที่เคยเป็นมา หากคุณต้องการข่าวดีสักหน่อยนี่คือจำนวนการโจมตีของ ransomware หลังจากระเบิดในช่วงกลางทศวรรษที่ 10 ได้ลดลงแม้ว่าตัวเลขเริ่มต้นจะสูงพอที่จะยังคงอยู่ แต่ในไตรมาสแรกของปี 2017 การโจมตีของ ransomware คิดเป็น 60 เปอร์เซ็นต์ของเพย์โหลดมัลแวร์ ตอนนี้ลดลงเหลือ 5 เปอร์เซ็นต์แล้ว

Ransomware ลดลง?
อะไรอยู่เบื้องหลังการจุ่มครั้งใหญ่นี้? ในหลาย ๆ วิธีเป็นการตัดสินใจทางเศรษฐกิจโดยพิจารณาจากสกุลเงินที่อาชญากรไซเบอร์เลือก: bitcoin การดึงค่าไถ่ออกจากเหยื่อมักจะโดนหรือพลาดอยู่เสมอ พวกเขาอาจไม่ตัดสินใจที่จะจ่ายเงินหรือแม้ว่าพวกเขาต้องการพวกเขาอาจไม่คุ้นเคยกับ bitcoin มากพอที่จะคิดว่าจะทำเช่นนั้นได้อย่างไร

ดังที่Kaspersky ชี้ให้เห็นว่าการลดลงของ ransomware นั้นสอดคล้องกับการเพิ่มขึ้นของมัลแวร์การเข้ารหัสที่เพิ่มขึ้นซึ่งติดเชื้อคอมพิวเตอร์ของเหยื่อและใช้พลังในการประมวลผลเพื่อสร้างbitcoin (หรือของฉันในภาษา cryptocurrency) โดยที่เจ้าของไม่รู้ นี่เป็นเส้นทางที่เรียบร้อยในการใช้ทรัพยากรของคนอื่นเพื่อรับ bitcoin ซึ่งหลีกเลี่ยงความยากลำบากส่วนใหญ่ในการให้คะแนนค่าไถ่และมีเพียงการโจมตีทางไซเบอร์ที่น่าสนใจยิ่งขึ้นเนื่องจากราคาของ bitcoin พุ่งสูงขึ้นในช่วงปลายปี 2560

นั่นไม่ได้หมายความว่าภัยคุกคามสิ้นสุดลงแล้ว ผู้โจมตีแรนซัมแวร์มีสองประเภทที่แตกต่างกัน ได้แก่ การโจมตีแบบ “สินค้า” ที่พยายามทำให้คอมพิวเตอร์ติดไวรัสโดยปริมาณที่มากขึ้นและรวมถึงแพลตฟอร์มที่เรียกว่า “ransomware as a service” ที่อาชญากรสามารถเช่าได้ และกลุ่มเป้าหมายที่มุ่งเน้นไปที่กลุ่มตลาดและองค์กรที่มีช่องโหว่โดยเฉพาะ คุณควรระวังหากคุณอยู่ในประเภทหลังไม่ว่าการเติบโตของ ransomware ครั้งใหญ่จะผ่านไปแล้วก็ตาม

ด้วยราคาของ bitcoin ที่ลดลงในช่วงปี 2018 การวิเคราะห์ผลประโยชน์ด้านต้นทุนสำหรับผู้โจมตีอาจเปลี่ยนไป ท้ายที่สุดแล้วการใช้ ransomware หรือมัลแวร์การเข้ารหัสเป็นการตัดสินใจทางธุรกิจสำหรับผู้โจมตี Steve Grobman หัวหน้าเจ้าหน้าที่เทคโนโลยีของ McAfee กล่าว “ เมื่อราคาสกุลเงินดิจิทัลลดลงจึงเป็นเรื่องปกติที่จะเห็นการเปลี่ยนกลับ [ไปยัง ransomware] “

คุณควรจ่ายค่าไถ่หรือไม่?
หากระบบของคุณติดมัลแวร์และคุณสูญเสียข้อมูลสำคัญที่ไม่สามารถกู้คืนจากข้อมูลสำรองได้คุณควรจ่ายค่าไถ่หรือไม่?

เมื่อพูดในทางทฤษฎีหน่วยงานบังคับใช้กฎหมายส่วนใหญ่เรียกร้องให้คุณไม่ต้องจ่ายเงินให้กับผู้โจมตีแรนซัมแวร์ด้วยเหตุผลที่ว่าการทำเช่นนั้นกระตุ้นให้แฮกเกอร์สร้าง ransomware มากขึ้นเท่านั้น ด้วยเหตุนี้องค์กรจำนวนมากที่พบว่าตัวเองได้รับผลกระทบจากมัลแวร์หยุดคิดในแง่ของ “สิ่งที่ดีกว่า” อย่างรวดเร็วและเริ่มทำการวิเคราะห์ต้นทุน – ผลประโยชน์โดยชั่งน้ำหนักราคาของค่าไถ่เทียบกับมูลค่าของข้อมูลที่เข้ารหัส จากการวิจัยของ Trend Micro ในขณะที่ 66 เปอร์เซ็นต์ของ บริษัท ต่างๆกล่าวว่าพวกเขาจะไม่จ่ายค่าไถ่ตามหลักการ แต่ในทางปฏิบัติ 65 เปอร์เซ็นต์จะจ่ายค่าไถ่เมื่อพวกเขาถูกโจมตี

ผู้โจมตี Ransomware จะให้ราคาค่อนข้างต่ำ – โดยปกติอยู่ระหว่าง $ 700 ถึง $ 1,300 ซึ่งโดยทั่วไปแล้ว บริษัท จำนวนมากสามารถจ่ายได้เมื่อแจ้งให้ทราบสั้น ๆ มัลแวร์ที่มีความซับซ้อนโดยเฉพาะบางตัวจะตรวจจับประเทศที่คอมพิวเตอร์ที่ติดไวรัสทำงานอยู่และปรับค่าไถ่ให้เข้ากับเศรษฐกิจของประเทศนั้น ๆ เรียกร้องมากขึ้นจาก บริษัท ในประเทศที่ร่ำรวยและน้อยลงจากผู้ที่อยู่ในภูมิภาคยากจน

มักจะมีส่วนลดสำหรับการดำเนินการอย่างรวดเร็วเพื่อกระตุ้นให้เหยื่อจ่ายเงินโดยเร็วก่อนที่จะคิดมากเกินไป โดยทั่วไปแล้วราคาจะถูกกำหนดให้สูงพอที่จะคุ้มกับอาชญากรในขณะนั้น แต่ก็ต่ำพอที่มักจะถูกกว่าที่เหยื่อจะต้องจ่ายเพื่อกู้คืนคอมพิวเตอร์หรือสร้างข้อมูลที่สูญหายขึ้นมาใหม่ ด้วยเหตุนี้บาง บริษัท จึงเริ่มสร้างความจำเป็นที่จะต้องจ่ายค่าไถ่ในแผนการรักษาความปลอดภัยของพวกเขาตัวอย่างเช่น บริษัท ขนาดใหญ่ในสหราชอาณาจักรบางแห่งที่ไม่เกี่ยวข้องกับสกุลเงินดิจิทัลจึงถือ Bitcoin ไว้สำรองสำหรับการจ่ายค่าไถ่โดยเฉพาะ

มีเรื่องยุ่งยากสองสามประการที่ต้องจำไว้ที่นี่โดยจำไว้ว่าคนที่คุณติดต่อด้วยนั้นเป็นอาชญากร ประการแรกสิ่งที่ดูเหมือนว่า ransomware อาจไม่ได้เข้ารหัสข้อมูลของคุณจริงๆ ตรวจสอบให้แน่ใจว่าคุณไม่ได้เกี่ยวข้องกับสิ่งที่เรียกว่า ” scareware ” ก่อนที่จะส่งเงินให้ใคร ประการที่สองการจ่ายเงินให้กับผู้โจมตีไม่ได้รับประกันว่าคุณจะได้ไฟล์กลับคืนมา บางครั้งอาชญากรก็เอาเงินไปและเรียกใช้และอาจไม่ได้สร้างฟังก์ชันการถอดรหัสลงในมัลแวร์ด้วยซ้ำ แต่มัลแวร์ดังกล่าวจะได้รับชื่อเสียงอย่างรวดเร็วและไม่สร้างรายได้ดังนั้นในกรณีส่วนใหญ่ – Gary Sockrider ผู้เชี่ยวชาญด้านเทคโนโลยีความปลอดภัยของ Arbor Networks

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th