ads_ 728x90
วิธีรับมือไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker ให้อยู่หมัด!

การติดไวรัส Crypt0L0cker สามารถติดได้ทั้งทาง Website Email (เจอบ่อยที่สุด) จะได้รับอีเมลใบสั่งซื้อสินค้า หรืออีเมลแจ้งการติดตามพัสดุของบริษัทขนส่งสินค้าชื่อดัง โดยที่จะมีข้อความหลอกลวงคล้ายคลึงกับอีเมลสั่งซื้อสินค้าจริงๆ โดยในอีเมลจะมีการแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF และการลามผ่านทาง Network หรือ USB เรียกได้ว่าสามารถติดได้ทุกช่องทาง (ภาพตัวอย่างอีเมล์) ลักษณะจะมาเป็นไฟล์ zip เมื่อกดเปิดจะโดนล็อคทันที

11149323_10204164919984323_4044988809745056238_n

ทราบได้อย่างไรว่าเครื่องเราโดนไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker 

เมื่อเครื่องเราติดไวรัส สามารถสังเกตได้โดยชื่อไฟล์ เอกสาร.xls กลายเป็น เอกสาร.XLS.dsdaojg หรือ Kitty หรือชื่ออื่นๆ เมื่อเราลอง Rename นามสกุลไฟล์ .dsdaojg กลับมาเป็น xls เหมือนเดิม ก็ไม่สามารถเปิดไฟล์เอกสารได้ (หรือเปิดแล้วเป็นตัวอักษรต่างดาว) อีกอาการคือ จะมีไฟล์ชื่อ HELP_DECRYPT ขึ้นมาในทุกๆโฟลเดอร์ที่ไฟล์โดนเข้ารหัส (ดังตัวอย่างในภาพ) จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่าย รวมถึงข้อมูลใน Dropbox / Google Drive ก็ถูกเข้ารหัสลับด้วยเช่นกัน

 

11124719_860020864044850_6572409754658007916_n

 

สิ่งที่ต้องทำเมื่อโดนไวรัส Crypt0L0cker ให้แยกเครื่องดังกล่าวออกจาก network ทันที เพื่อป้องกันการแพร่ระบาดสู่เครื่องอื่นในวงแลน รวมทั้งไม่ควรนำ External HDD หรือ Flash Drive ที่มีข้อมูล มาทดลองต่อ เพราะอาจติดไปด้วย รีบ Copy เอาไฟล์ข้อมูลที่ยังไม่โดนล็อคออกมาก่อน

 

Trojan-Ransom_8

 

วิธีการกู้ไฟล์ที่โดนเข้ารหัสกลับคืน สิ่งที่เราแนะนำเป็นอย่างแรกเลยคือ การทำใจเพราะโอกาสได้คืนน้อยมาก ไวรัสเข้ารหัสทำการเข้ารหัสไฟล์ด้วย RSA 2048 bit จึงไม่มีทางกู้คืนไฟล์ข้อมูลได้เลย ยอมเสียไฟล์และ Format ทิ้งไป เราแนะนำทางออกดังนี้

- สำหรับ Window Server ตรวจสอบว่าได้มีการเปิด Feature Shadow Copy ไว้หรือไม่ หากเปิดไว้ สามารถ Restore ไฟล์กลับคืนได้

- ลองดาวน์โหลดเครื่องมือถอดรหัสดังต่อไปนี้ Kaspersky Fisheye / Cisco (เนื่องจากไวรัสเรียกค่าไถ่มีหลายชนิด หากไม่ตรงกันจะไม่สามารถถอดได้)

-

ทางเลือกสุดท้าย หากต้องการกู้ไฟล์ข้อมูลกลับคืน จ่ายเงินค่าไถ่ไฟล์คืนให้แฮกเกอร์ เริ่มต้นที่ 10,000 บาท หากอิดออดจ่ายช้า โปรแกรมจะเรียกเงินสูงขึ้นไปเรื่อยๆ เฉลี่ยอยูที่ประมาณ 20,000 บาท (เนื่องจากเป็นการเก็บสถิติจากลูกค้าและเว็บไซต์บางคนที่ยอมเงินเพื่อแลกตัวถอดรหัสไฟล์ เราไม่รับผิดชอบ หากจ่ายแล้วไม่ได้ไฟล์ ผู้อ่านจะต้องตัดสินใจเสี่ยงเอง)

เครดิตภาพจากคุณ doggone เว็บไซต์ Pantip

จากภาพด้านล่าง เหยื่อไวรัสตัดสินใจจ่ายเงินค่าไถ่ไฟล์ เป็นเงิน Bitcoin ประมาณ 16,000 บาทแลกกับไฟล์สำคัญที่มีคุณค่าทางใจกับคืน หลังจากการจ่าย แฮกเกอร์จะตรวจสอบและส่งไฟล์ถอดรหัส Decrypt.zip มาให้ เมื่อเราทำการแตกไฟล์ จะสามารถเลือกไดรฟ์และถอดรหัสไฟล์กลับคืนได้ การจ่ายเงินเพื่อถอดรหัสไฟล์แต่ละชนิดแตกต่างกันไป ต้องอ่านตามวิธีที่ไวรัสแจ้งไว้เอง แต่ค่นข้างใกล้เคียงกับด้านล่าง

1423386646-Untitled1-o

1423386762-1JPG-o

1423386890-2JPG-o

1423387156-Untitled2-o

1423387200-4JPG-o1423387293-5JPG-o

 

แนวทางป้องกันไวรัสเรียกค่าไถ่ Ransomware Crypt0L0cker

- ควรจะหมั่นสำรองข้อมูล ของคุณเก็บไว้ที่อื่นบ้าง เผื่อวันไหน ต่อให้ไม่โดน Ransomware แต่ Hard Disk พัง ก็ข้อมูลหายเหมือนกันอยู่ดี ดังนั้นการ Backup คือการป้องกันที่ดีที่สุด แนะนำให้หา Harkdisk อีก 1 ลูกทำหน้าที่ Backup ไฟล์งาน หรือรูป อยู่เสมอๆ รวมไปถึงการใช้บริการ Cloud Storage อย่าง Dropbox  ในการเก็บไฟล์ด้วย จะทำให้ มีความปลอดภัยมากยิ่งขึ้น

- ให้ดาวน์โหลดเครื่องมือมาติดตั้งที่ Server และ Client ตามนี้ คลิ๊กเพื่อดาวน์โหลด

 - Add blacklist ใน Firewall เพื่อ block URL ดังต่อไปนี้

http://tkj3higtqlvohs7z.oe92jfee23.com
http://tkj3higtqlvohs7z.feoks62f22.com
https://tkj3higtqlvohs7z.s5.tor-gateways.de
http://torproject.org
http://tkj3higtqlvohs7z.onion/
38.229.72.12
86.59.30.40
82.195.75.101
46.4.123.73
173.245.58.245
173.245.59.115
173.245.58.185
173.245.59.205
62.141.32.2
62.241.33.128
62.141.34.2


รวมถึงการตั้งค่า Block ไฟล์ zip หรือไฟล์นามสกุลแปลกๆไปเลย หากองค์กรไม่มีความจำเป็นต้องใช้ไฟล์เหล่านั้น

อย่างไรก็ดี การแก้ไขปัญหาดังกล่าวเป็นเพียงจุดเล็กๆอย่างหนึ่งที่เราสามารถทำได้เท่านั้น เพราะในภายหน้าก็ต้องมีไวรัสใหม่ๆ พัฒนาเปลี่ยนรูปแบบออกมาอยู่ดี ซึ่งเราไม่สามารถใช้เทคนิคนี้ป้องกันได้ตลอด สำหรับองค์กร การจัดเทรนนิ่งให้ความรู้ภายในองค์กร และการส่งจดหมายข่าวแจ้งเตือน เพื่อให้ความรู้กับ user เกี่ยวกับไวรัสใหม่ๆ เป็นเรื่องที่สำคัญที่สุด แถมยังช่วยให้ฝ่ายไอทีมีความสัมพันธ์อันดีกับพนักงานอีกด้วย 

คำถามที่พบบ่อย

แก้ไวรัส โดยไม่จ่ายเงินให้โจรได้หรือไม่?

- แก้ได้ โดยใช้โปรแกรม Antivirus ทั่วไป แต่ไฟล์ยังคงโดยล็อคไว้เหมือนเดิม

แล้วถ้าต้องการกู้ไฟล์ ทำได้หรือไม่?

- แล็บกู้ข้อมูลไม่สามารถกู้ได้ครับ เพราะไม่มีคีย์สำหรับถอดรหัสไฟล์ ต้องจ่ายเงินค่าไถ่ให้โจร เคสนี้ใครเจอกับตัวเจ็บใจมาก

แล็บกู้ข้อมูลต่างประเทศกู้ได้หรือไม่?

- ไม่ได้เช่นกันครับ

ตำรวจจับไม่ได้เหรอ?

- แฮกเกอร์พวกนี้อยู่ที่ไหนไม่รู้เหมือนกัน แต่หวังพึ่งตำรวจคงยาก เพราะเมื่อช่วงสงกรานต์ที่ผ่านมามีข่าวว่า เซิร์ฟเวอร์ตำรวจสหรัฐฯ ก็ถูกเข้ารหัสข้อมูล ต้องยอมจ่ายเงินค่าถอดรหัส

รู้ได้ไงว่าจ่ายเงินให้โจรแล้ว จะได้ข้อมูลคืน?

- ต้องเสี่ยงเอาครับ

จะป้องกันไม่ให้โดนอีกได้ยังไง?

- เครื่องมือและโปรแกรม AntiVirus ที่อัพเดทอยู่สม่ำเสมอ สามารถช่วยได้บ้าง สิ่งสำคัญคือผู้ใช้ต้องไม่เปิดไฟล์แปลกๆจากคนที่รู้จักครับ โดยเฉพาะไฟล์ zip หรือไฟล์แปลกๆต่างๆที่ส่งมาทางเมล์

บริการที่แนะนำสำหรับป้องกันไฟล์สำคัญหาย

พื้นที่เก็บข้อมูลออนไลน์

..

บทความโดยศูนย์กู้ข้อมูล ATL Recovery / ภาพประกอบจาก thaiadmin , pantip