เตือนภัย !!! Ransomware มัลแวร์เรียกค่าไถ่ข้อมูลแพร่กระจายสู่พื้นที่ใหม่ ๆ

Trend Micro Security Alert! Ransomware มัลแวร์เรียกค่าไถ่ข้อมูลแพร่กระจายสู่พื้นที่ใหม่ ๆ

แม้ว่าจะมีการตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) อย่างกว้างขวางในบางภูมิภาค เช่น ทวีปอเมริกาเหนือ และยุโรป ก็ยังพบว่ามีการเพิ่มขึ้นอย่างรวดเร็วของกรณีคล้ายกันในภูมิภาคอื่นๆ ตัวอย่างเช่น มีการพบเจอ Critroni หรือ Curve-Tor-Bitcoin (CTB) Locker ซึ่งเป็นมัลแวร์ crypto-locker รุ่นเก่า ในทวีปเอเชีย ถึงแม้ว่าจำนวนการตรวจพบในพื้นที่ใหม่ๆ เหล่านี้จะยังมีไม่มาก แต่ก็อาจเป็นสัญญาณที่บ่งบอกถึงการแพร่กระจายที่เพิ่มมากขึ้นของมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลในอนาคตอันใกล้

Ransomware หรือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลคืออะไร?

Ransomware เป็นมัลแวร์ชนิดหนึ่งที่มีพฤติกรรมไม่เหมือนกับมัลแวร์อื่นๆ Ransomware นี้จะทำการเข้าหรือล็อกไฟล์เอกสารหรือข้อมูลในเครื่อง (เรียกว่า CryptoLocker) ของผู้ใช้ด้วยรหัส ซึ่งจะส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์หรือคอมพิวเตอร์ได้ จากนั้นก็จะส่งข้อความ “เรียกค่าไถ่” ไปยังเจ้าของข้อมูลนั้นๆ เพื่อให้เจ้าของข้อมูลโอนเงินให้แก่ผู้ควบคุมมัลแวร์เพื่อแลกกับการถอดรหัสเพื่อกู้ข้อมูลคืนมา มัลแวร์ชนิดนี้จะมากับอีเมล์ที่มีไฟล์แนบที่มีชื่อ TOR, Invoice และอื่นๆ ซึ่งถ้าผู้ใช้งานเผลอ/พลาดไปเปิดไฟล์นั้นเข้า มัลแวร์ชนิดนี้ก็จะทำการ encrypted files ของเครื่องนั้นทันที

ขั้นตอนการทำงานของมัลแวร์ที่ผู้ควบคุมมัลแวร์ส่งมาหลอกล่อให้ทำการเปิดไฟล์

ภาพตัวอย่างอีเมล์ขยะที่แนบมัลแวร์มาเป็นซิปไฟล์ภายใต้การหลอกล่อว่าเป็น Invoice

ภาพตัวอย่างการ ‘เรียกค่าไถ่’ ที่ผู้ควบคุมมัลแวร์ CBT-Locker ได้เรียกร้องถึง 630 ดอลล่าร์สหรัฐในการถอดรหัสเพื่อกู้คืนข้อมูล

Ransomware เป็นมัลแวร์ที่มีหลายสายพันธุ์ และจัดเป็น Zero-day การจะกำจัดนั้นจะต้องได้ตัวอย่างของสายพันธุ์ที่ได้ระบบได้รับการแพร่กระจายมา โดยการกำจัดจะต้องออกแพทเทิร์นในการกำจัดแบบ 1 แพทเทิร์น : 1 สายพันธุ์ หากเป็นสายพันธุ์ที่ทางเทรนด์ไมโครมีตัวอย่างอยู่แล้ว เพียงอัพเดทแพทเทิร์นก็จะสามารถป้องกันได้

CTB Locker แตกต่างอย่างไรจาก Crypto-Ransomware แบบอื่นๆ?
· CTB Locker ทั่วไปขอให้ผู้ใช้จ่าย 3 Bitcoin (มูลค่าเท่ากับ 732.95 ดอลลาร์สหรัฐฯ)
· ไม่จำเป็นต้องใช้อินเทอร์เน็ตในการเข้ารหัสไฟล์ สามารถทำงานได้แม้กระทั่งในกรณีที่ไม่มีการเชื่อมต่อ
· ยอมถอดรหัส 5 ไฟล์ให้ฟรี
· ยืดกำหนดเส้นตายในการจ่ายค่าไถ่สำหรับไฟล์ที่ถูกเข้ารหัส
· เปิดโอกาสให้เหยื่อเลือกภาษาสำหรับข้อความเรียกค่าไถ่

ผู้ใช้ติดมัลแวร์ CTB Locker ได้อย่างไร?
· เหยื่อได้รับสแปมเมล์ที่มีมัลแวร์แฝงอยู่
· มัลแวร์ดังกล่าวดาวน์โหลด CTB Locker
· CBT Locker เข้ารหัสไฟล์ของเหยื่อ
· เหยื่อได้รับข้อความระบุยอดค่าไถ่และกำหนดเส้นตายสำหรับการจ่ายค่าไถ่
· จากนั้นเหยื่อจะต้องจ่ายเงิน Bitcoin ผ่านทาง TOR

ผลกระทบจาก CTB Locker ในภูมิภาคใหม่ ๆ
ด้านล่างนี้คือรายชื่อประเทศที่ได้รับผลกระทบมากที่สุด นอกเหนือจากสหรัฐฯ และยุโรป ตะวันออกกลาง และแอฟริกา (EMEA) สาเหตุของปัญหาแตกต่างกันไป แต่โดยมากแล้ว เกิดจากนิสัยการท่องเว็บที่ไม่เหมาะสม และไม่ได้ติดตั้งโซลูชั่นรักษาความปลอดภัยที่มีประสิทธิภาพและทันสมัย

· อินเดีย
· ไทย
· อินโดนีเซีย
· ไต้หวัน
· เวียดนาม
· มาเลเซีย
· ฟิลิปปินส์
· ออสเตรเลีย
· ฮ่องกง
· เกาหลีใต้
· สิงคโปร์
· นิวซีแลนด์

ในกรณีที่ผู้ใช้ติดมัลแวร์ CTB Locker แล้ว จะยังคงสามารถกู้คืนข้อมูลได้หรือไม่?
แม้ว่ามัลแวร์จะอ้างว่าจะถอดรหัสไฟล์ข้อมูลคืนให้หลังจากที่ได้รับเงิน แต่ในความเป็นจริงแล้ว มีโอกาสน้อยมากที่จะได้รับข้อมูลกลับคืน แม้ว่าผู้ใช้จะยอมจ่ายค่าไถ่ให้ก็ตาม วิธีที่ดีที่สุดก็คือ การป้องกัน Ransomware ประเภทนี้เสียแต่เนิ่นๆ

ผู้ใช้จะสามารถหลีกเลี่ยงการติดมัลแวร์ CTB Locker ได้อย่างไร?
ผู้ใช้สามารถดำเนินการดังนี้:

· หลีกเลี่ยงการคลิกลิงค์ที่น่าสงสัย
· แบ็คอัพข้อมูลสำคัญ
· ตรวจสอบชื่อผู้ส่งอีเมล
· ตรวจสอบเนื้อหาและไฟล์แนบในอีเมล์อย่างรอบคอบ
· อัพเดตซอฟต์แวร์ให้ทันสมัย

“เราตรวจพบมัลแวร์ใหม่ๆ อย่างต่อเนื่อง รวมถึงพฤติกรรมที่เปลี่ยนแปลงไปของมัลแวร์เรียกค่าไถ่ข้อมูล และเราได้พัฒนาโซลูชั่นใหม่ๆ เพื่อรับมือกับมัลแวร์เหล่านี้ การแพร่ระบาดของมัลแวร์ที่เกิดขึ้นในพื้นที่ใหม่ๆ ในตอนนี้แสดงให้เห็นว่า มัลแวร์ชนิดนี้ก่อให้เกิดผลกระทบเพิ่มมากขึ้นอย่างต่อเนื่อง เราจึงขอแนะนำให้ทุกคนใช้ความระมัดระวังอย่างสูงสุด”

—พอล โอลิเวเรีย ผู้จัดการฝ่ายสื่อสารเทคนิคของ TrendLabs