รู้จัก Ransomware โปรแกรมเรียกค่าไถ่

            ในยุคสมัยที่ข้อมูลเกือบทุกอย่างถูกจัดเก็บอยู่ในรูปแบบดิจิตอลเพื่อความสะดวกในการจัดเก็บ ประมวลผล ค้นหา และการเข้าถึง แต่อย่างไรก็ดีสิ่งนี้ก็ทำให้ข้อมูลมีความเสี่ยงมากมาย ไม่เว้นแม้กระทั้งถูกนำไปเป็นตัวประกันเพื่อเรียกค่าไถ่โดยโปรแกรมประสงค์ร้ายหรือ Malware ประเภท Ransomware ซึ่งหลายๆคนอาจจะเคยประสบกับตัวเองมาบ้างแล้ว ไม่ว่าจะเป็นลักษณะของการถูกล็อคหน้าจอไม่ให้เข้าใช้งานหรือว่าเข้าใช้งานได้แต่ไฟล์ข้อมูลต่างๆ ในเครื่องถูกเข้ารหัสหรือถูกล็อกไว้จนไม่สามารถนำมาใช้งานได้อีก

            โปรแกรม Ransomware ที่เรียกค่าไถ่โดยล็อคหน้าจอไม่ให้ใช้งานนั้นโดยทั่งไปแล้วสามารถแก้ไขได้ไม่ยาก เนื่องจากเป็นการทำงานโดยอาศัยฟังค์ชั่น LockScreen ของระบบปฎิบัติการบนเครื่องที่ติด Ransomware และข้อมูลต่างๆภายในเครื่องก็ไม่ได้ถูกแตะต้องเลย ในขณะที่แบบที่สองนั้นจะแก้ไขได้ยากมาก หรือจะเรียกว่าไม่สามารถแก้ไขได้เลย โดยเฉพาะถ้าเป็น Ransomware เวอร์ชั่น CryptoWall, CryptoLocker,CryptoDefense และ TeslaCrypt และเวอร์ชั่นล่าสุดที่ดังไปทั่วโลกคือ Ransomware ชื่อ WannaCry ที่ส่งผลกระทบต่อคอมพิวเตอร์ทั่วโลก ตามชื่อ Ransomware โดยคนที่โดน Ransomware ตัวนี้ “อยากจะร้องไห้” กันเลยทีเดียว ดังนั้นทางเลือกเดียวที่จะทำให้ได้ข้อมูลกลับมาใช้งานได้เหมือนเดิมก็คือ การจ่ายเงินค่าไถ่ให้กับผู้ประสงค์ร้ายกับเรานั้นเอง Ransomware

            อาชญากรรมลักษณะนี้ ในปัจจุบันแม้ว่าจะพบได้จากการที่ใช้ระบบปฎิบัติการ Windows เป็นหลัก แต่ก็ใช่ว่าระบบปฎิบัติการอื่นๆจะปลอดภัยจากอันตรายลักษณะนี้ เพราะล่าสุดนี้เริ่มมีเครื่องที่ใช้ระบบปฎิบัติการ Android ที่ตกเป็นเหยื่อบ้างแล้ว

การทำงานของ Ransomware ที่เข้ารหัสไฟล์

          เมื่อ Ransomware เข้าสู้เครื่องที่ตกเป็นเป้าหมายแล้ว มันจะเริ่มติดตั้งตัวเองและตั้งค่าให้ตัวเองทำงานโดยอัตโนมัติทุกครั้งที่มีการเปิดเครื่องใช้งานจากนั้นจะพยายามเชื่อมต่อไปยัง Command & Control Center หรือ C&C ซึ่งเป็นศูนย์กลางการควบคุม ที่เก็บข้อมูลและคีย์สำหรับถอดรหัสบนของเครื่องเหยื่อแต่ละราย ให้ได้ก่อน ซึ่งเมื่อติดต่อกับ C&C ได้แล้ว Ransomware จะดำเนินการตามขั้นตอนที่เรียกว่าการทำ Handshake เพื่อระบุให้ได้ว่าใครคือใคร จากนั้นจะทำการสร้างคีย์สำหรับเข้าและถอดรหัสไฟล์ข้อมูลที่อยู่ในเครื่องของเหยื่อขึ้นมา 2 คีย์ โดยแต่ละคีย์จะมีความยาว 2,048 บิต ซึ่งคีย์ทั้งสองนี้จะถูกเรียกว่า PublicKey และ Private Key  โดย Public Key จะถูกส่งมายังเครื่องของเหยื่อเพื่อใช้ในการเข้ารหัส ส่วน Private Key ซึ่งจะใช้สำหรับการถอดรหัสนั้นจะถูกเก็บไว้ที่ C&C ของ Ransomware

            หลังจากที่เตรียมการและส่ง Public Key มาที่เครื่องของเหยื่อแล้ว Ransomware จะทำการค้นหาไฟล์ข้อมูลที่มีความสำคัญในเครื่องที่มันติดตั้งอยู่ เช่นไฟล์ภาพ ไฟล์วิดีโอ ไฟล์เอกสารของโปรแกรม Office ทั้ง Word Excel และ PowerPoint โดยดู File Extension หรือนามสกุลของไฟล์ จากนั้นจะทำการเข้ารหัสไฟล์เหล่านั้นทั้งหมดด้วยอัลกอริทึ่ม RSA โดยใช้ Public Key ที่ถูกส่งมา ซึ่งในทางเทคนิคนั้น ไฟล์ที่ถูกเข้ารหัสแล้วจะยังสามารถอ่านได้ แต่ในกรณีนี้จะไม่ใช่ในแบบที่เคยเป็น และดูไม่รู้เรื่อง โดยผู้ใช้ทั่วไปจะเข้าใจว่าไฟล์ข้อมูลที่มีอยู่นั้น ใช้งานไม่ได้แล้ว

Ransomware แจ้งเตือนบนหน้าจอ เมื่อเข้ารหัสไฟล์ข้อมูลต่างไ เรียร้อยแล้ว

เมื่อไฟล์ทั้งหมดถูกเข้ารหัส Ransomware จะแสดงหน้าจอเตือนว่าไฟล์ทั้งหมดถูกเข้ารหัส และไม่สามารถใช้งานได้แล้ว ซึ่งผู้ใช้จะต้องจ่ายเงินเป็นจำนวนที่ Ransomware เรียกร้องโดยใช้ตระกูลเงิน Digital ชื่อ Bitcoin ซึ่งเป็นสกุลเงินซึ่งไม่สามารถระบุผู้เป็นเจ้าของปลายทางได้โดยผู้ใช้แต่ละคนจะถูกระบุในรูปแบบ Digital โดยเงินสกุลนี้ถ้าเทียบเป็นเงินบาทไทยแล้ว 1 Bitcoin จะประมาณเท่ากับ 60,000 บาทไทย จากเดิมที่มีมูลค่าประมาณ 25,000 บาท ถึงจะได้รับ Private Key มาปลดล็อคหรือถอดรหัสไฟล์เพื่อใช้งานต่อ แต่ถ้าหากไม่ปฎิบัติตามจะทำการลบ Private Key ทิ้ง และไฟล์ทั้งหมดก็จะไม่สามารถเข้าถึงหรือนำกลับมาใช้งานได้อีก

            ทั้งนี้ยังเคยพบว่ามี Ransomware บางประเภท มีการเข้ารหัสไฟล์โดยไม่เลือกตาม File Extension หรือนามสกุลของไฟล์แต่จะทำการเข้ารหัสไฟล์ทุกชนิดรวมทั้งไฟล์ของระบบปฎิบัติการด้วย ทำให้ระบบปฎิบัติการทำงานไม่สมบูรณ์ จึงทำให้การปลดรหัสล็อกของไฟล์ที่ถูกเข้ารหัสยากขึ้นไปอีกด้วย หลังจากไฟล์ถูกเข้ารหัสแล้ว Ransomware ประเภทนี้จะทำการเพิ่มชื่อไฟล๋ให้มีความยาวขึ้น และมีนามสกุลเปลี่ยนไปโดยจะมีนามสกุลเป็น .lock , .log หรือแบบอื่นๆที่คล้ายกัน ทั้งยังมีการระบุ Email ลงไปในชื่อไฟล์ที่ถูกเข้ารหัสอีกด้วย เช่น myfile0000_myname@domain.com.lock เพื่อให้รู้ว่าไฟล์นี้ถูกเข้ารหัสและถ้าต้องการกู้ไฟล์คืนให้ติดต่อผ่าน Email ที่ระบุอยู่ในชื่อไฟล์นี้

การเข้ารหัสที่การเข้าและถอดรหัสคีย์ต่างกัน

(Asymmetric Key Encryption)

โดยทั่วไปแล้ว การเข้ารหัสข้อมูลแบบ Symmetric Key Encryption จะมีลักษณะเหมือนกับการล็อกกุญแจ คือการล็อคและปลดกุญแจ จะทำโดยใช้ลูกกุญแจหรือคีย์ที่เป็นแบบเดียวกันเพียงอย่างเดียว ดังนั้นจุดอ่อนของการเข้ารหัสแบบนี้ก็คือ หากทราบคีย์ที่ใช้ในการเข้ารหัสก็สามารถถอดรหัสหรือปลดล็อคได้ดังนั้น Asymmetric Key Encryption จึงถูกออกแบบมาเพื่อแก้ไขจุดอ่อนนี้ โดยอาศัยฟังชั่นท์ทางคณิตศาสตร์เพื่อทำให้การเข้ารหัสและการถอดรหัสต้องใช้คีย์คนละคีย์กัน โดยคีย์ทั้งสองนี้ หากใช้คีย์หนึ่งคีย์ใดเข้ารหัสแล้วการถอดรหัสจะต้องใช้คีย์อีกอันหนึ่ง ที่ถูกสร้างขึ้นมาคู่กันเท่านั้น ดังนั้นแม้ว่า Public Key จะถูกเปิดเผยอย่างไรก็ตาม ก็จะไม่ส่งผลใดๆ ต่อข้อมูลที่ถูกเข้ารหัสไว้ ตราใดที่ Private Key ยังคงถูกเก็บเป็นความลับอยู่

การเข้ารหัสแบบ Symmetric Key Encryption จะใช้คีย์ตัวเดียวกันในการเข้าและถอดรหัสข้อมูล ส่วนการเข้ารหัสแบบ Asymmetrix Key Encryption จะใช้คีย์ตัวที่แตกต่างกันซึ่งถูกสร้างขึ้นมาเฉพาะ โดยตัวหนึ่ง (Public Key) จะใช้สำหรับเข้ารหัสส่วนอีกตัว (Private Key) จะถูกเก็บเป็นความลับสำหรับใช้ถอดรหัสข้อมูล

การแพร่กระจาย Ransomware ไปยังเหยื่อ

            โดยส่วนใหญ่แล้ว Ransomware จะถูกส่งไปยังเครื่องของเหยื่อในลักษณะของอีเมล์ที่มีข้อความบอกว่า เครื่องของผู้ใช้กำลังมีปัญหา ซึ่งถ้าหากต้องการแก้ไขจะต้องดาวน์โหลดโปรแกรมไปใช้งาน หรือไม่เช่นนั้นก็ผ่านทางโปรแกรมแชทโดยมีเนื้อหาคล้ายๆ กันนี้ กับอีกทางหนึ่งก็คือ หน้าเว็บไซต์ที่เปิดขึ้นมาหลอกว่าเป็นโปรแกรมป้องกันไวรัส ที่สามารถดาวน์โหลดไปใช้งานได้ฟรีหรือบางทีก็อาจจะแอบแฝงมาพร้อมกับซอฟแวร์อื่นๆ ซึ่งเมื่อโปรแกรมที่ว่านี้ (ซึ่งก็คือ Ransomware) ถูกสั่งให้ทำงานโดยผู้ใช้แล้ว มันก็จะเริ่มกระบวนการตามที่ได้กล่าวไปทันที

            สำหรับการส่งไฟล์ Ransomware ให้ไปกับเหยื่อโดยตรงนั้น โดยมากมักใช้เทคนิค Double Extension ในการแปลงไฟล์ให้ดูน่าเชื่อถือผ่านการทำงานของ Windows ที่เรียกว่า Hide extensions for Known file types และนอกจากการหลอกให้ผู้ใช้เปิดไฟล์ Ransomware ด้วยตัวเองแล้ว ยังมีการใช้ Backdoor ที่เกิดจาก Malware ตัวอื่นๆ หรือเข้าสู่ระบบด้วยบัญชีผู้ใช้และพาสเวิร์ดที่สามารถเดาได้ง่าย เพื่อมาติดตั้งและสั่งให้ Ransomware ทำงานด้วยตัวเองอีกด้วย

Ransomware ลวงผู้ใช้ว่าเป็นเอกสาร Word เพื่อหลอกให้เปิดขึ้นมาทำงาน

            แต่เนื่องจาก Ransomware ในปัจจุบันไม่ได้ถูกออกแบบมาให้ทำงานเหมือนกับ Virus หรือ Worm ที่สามารถแพร่กระจายไปยังที่ต่างๆ ได้ แต่ถ้าหากเครื่องที่ติด Ransomware มีการเชื่อมต่อผ่าน Mapped Network Drive หรือไดรฟ์ USB และมีสิทธิ์ที่จะเขียนข้อมูลลงได้ ไฟล์ข้อมูลที่อยู่ในสื่อบันทึกเหล่านั้นทั้งหมดก็จะถูกเข้ารหัส และถูกจับเป็นตัวประกันด้วย ดังนั้นความเสียหายที่เกิดขึ้นจึงไม่ได้ถูกจำกัดอยู่เฉพาะในเครื่องของเหยื่อเพียงอย่างเดียว

            โดยส่วนใหญ่แล้วผู้บุกรุกมักจะให้ผู้ใช้ที่ตกเป็นเหยื่อ Ransomware จ่ายเงินตระกูล Bitcoin ซึ่งเป็นค่าเงินในโลกไซเบอร์ (มีอัตราแลกเปลี่ยนเหมือนเงินปกติทุกอย่าง) เพื่อทำให้ไม่สามารถตามรอยได้ แม้ว่าจะรู้เลขบัญชี Bitcoin ของผู้บุกรุกก็ตาม (หากผู้บุกรุกไม่เคยเปิดเผยมาก่อน) แต่อย่างไรก็ดีการยอมจ่ายเงินค่าไถ่นี้ก็ไม่มีอะไรยืนยันได้ว่า ผู้ใช้จะได้ไฟล์ข้อมูลที่ถูกเข้ารหัสไว้กลับคืนมาจริงๆ ดังนั้นจึงควรพิจารณาใหดี ว่ามันสมควรจะจ่ายเงินค่าไถ่นี้จริงๆ หรือไม่ หรืออาจทดสอบด้วยการส่งไฟล์ที่ถูกเข้ารหัสไปให้ผู้ประสงค์ร้ายถอดรหัสและส่งไฟล์กลับทาเพื่อยืนยันว่าเป็นผู้ส่ง Ransomware ตัวนี้เข้ามาเข้ารหัสไฟล์ของเรา โดยมากแล้วผู้ประสงค์ร้ายหวังที่จะทำเงินจากการเรียกค่าไถ่โดยใช้ Ransomware ดังนั้นหากผู้ที่ตกเป็นเหยื่อแล้วตัดสินใจจ่ายเงินค่าไถ่ แต่ไม่ได้รับไฟล์ หรือ Key ที่ใช้ปลดการเข้ารหัสแล้วนั้น ผู้ใช้รายอื่นที่ตกเป็นเหยื่อเหมือนกันก็จะไม่มั่นใจว่าถ้าจ่ายเงินค่าไถ่แล้วจะสามารถกู้ไฟล์ที่ถูกเข้ารหัสได้

วิธีแก้ไขเมื่อไฟล์ถูกเข้ารหัสด้วย Ransomware

          ไฟล์ที่ถูกเข้ารหัสด้วย Ransomware ปัจจุบันยังไม่มีวิธีการแก้ไขหรือกู้ไฟล์ให้กลับมาใช้ได้ เนื่องจาก Key หรือ Private Key เป็นรหัสที่มีความซับซ้อนในการเข้ารหัสถึง 2048 bits ซึงไม่สามารถใช้วิธีใดแก้ หรือสามารถ Unlock Code นี้ได้ หรือถ้าทำได้อาจใช้เวลาหลาย ปีในการประมวลผลเพื่อค้น Key กลับขึ้นมาเพื่อ Unlock File

            สำหรับเหยื่อที่ถูก Ransomware เข้ารหัสไฟล์แล้วนั้น ถ้าไฟล์มีความสำคัญมาก มีวิธีเดียวคือจ่ายเงินค่าไถ่เพื่อขอรหัส Key กลับมาเพื่อปลดล็อกรหัสไฟล์เหล่านั้น แต่ก่อนที่จะจ่ายเงินค่าไถ่ทางเหยื่อควรตรวจสอบให้ดีว่าจะสามารถกู้ไฟล์ที่ถูกเข้ารหัสคืนมาได้โดยการส่งไฟล์ที่เข้ารหัสไปให้ผู้ประสงค์ร้ายกู้ไฟล์กลับมาก่อนที่จ่ายเงินค่าไถ่

วิธีการป้องกันตัวจาก Ransomware

            แม้ว่าการถูก Ransomware โจมตีจะไม่แก้ไขได้ ดังนั้นการป้องกันตัวเองไม่ให้ตกเป็นเหยื่อ Ransomware จึงเป็นวิธีที่ทำได้ง่ายกว่าโดยเริ่มจากการสำรองข้อมูลสำคัญอย่างสม่ำเสมอ และแยกเก็บข้อมูลสำรองกับข้อมูลที่ใช้งานไว้เป็นคนละส่วนหรือเก็บกันไว้คนละที่กัน รวมทั้งอัพเดตระบบ เว็บบราวเซอร์ โปรแกรมป้องกัน Malware และโปรแกรมต่างๆ ให้ทันสมัยอยู่เสมอ นอกจากนั้นทุกครั้งที่ใช้งานก็ควรใช้ความระมัดระวังให้มาก อะไรที่ไม่แน่ใจห้ามคลิกเด็ดขาด และถ้าจำเป็นต้องดาวน์โหลดข้อมูล ไม่ว่าจะเป็นโปรแกรมหรือไดรเวอร์ก็ควรเลือกเฉพาะแหล่งที่น่าเชื่อถือเท่านั้น

            อย่างไรก็ตาม Ransomware ก็เหมือนกับซอฟต์แวร์และ Malware อื่นๆ ที่มีการพัฒนาและเปลี่ยนการทำงานไปได้เรื่อยๆ ซึ่งบางอย่างก็อาจจะต่างไปจากรายละเอียดที่กล่าวไปบ้าง แต่ไม่ว่าจะเป็นแบบใดก็ตามหากเรามีการป้องกันตัวเอง และใช้งานอย่างรอบคอบ การถูกเรียกค่าไถ่โดยมีไฟล์ข้อมูลเป็นตัวประกันก็ไม่ใช่เป็นสิ่งที่เกิดขึ้นได้ง่ายๆ และยิ่งเราสำรองข้อมูลสำคัญในเครื่องอย่างสม่ำเสมอ เราก็จะปลอดภัยจากอันตรายของ Ransomware ได้มากขึ้นอีก

Credit : ข้อมูลจาก Synnex (Thailand)