คืออะไร Ransomware ?
หากคุณโชคดีพอที่จะไม่พบ Ransomware รู้ว่ามันเป็นมัลแวร์ประเภทหนึ่งที่เข้ารหัสไฟล์และพาพวกเขาไปเป็นตัวประกันโดยเรียกร้องการชําระเงินสําหรับการถอดรหัสของพวกเขา มันจะเข้ารหัสไฟล์ส่วนบุคคลทั้งหมดซึ่งจะกลายเป็นเปิดไม่ได้เว้นแต่จะทํางานผ่านโปรแกรมถอดรหัสพิเศษ อย่างไรก็ตามคนเดียวที่มีตัวถอดรหัสมักเป็นอาชญากรไซเบอร์ที่ Ransomware ปฏิบัติการ หากผู้ใช้ปฏิเสธที่จะจ่ายค่าไถ่ไม่ใช่เรื่องแปลกที่ไฟล์จะยังคงสูญหายไป เว้นแต่, แน่นอน, เหยื่อมีกําลังเสริม 
ในช่วงห้าปีที่ผ่านมาได้ Ransomware กลายเป็นหนึ่งในภัยคุกคามความปลอดภัยทางไซเบอร์ที่ใหญ่ที่สุดไม่เพียง แต่สําหรับผู้ใช้แต่ละราย เท่านั้น แต่สําหรับธุรกิจและองค์กรด้วย ทุกปี Ransomware ทําให้เกิดความเสียหายหลายพันล้านดอลลาร์และผลรวมเพิ่มขึ้นอย่างมีนัยสําคัญ ในปี 2020 Ransomware เพียงอย่างเดียวทําให้เกิดความเสียหายมูลค่า 20 พันล้านดอลลาร์ ในเวลาเพียงสองปีความเสียหายที่เกิดจาก Ransomware สองเท่า
ในช่วงหลายปีที่ผ่านมาเป้าหมายได้เปลี่ยนจากผู้ใช้แต่ละคนเป็นธุรกิจขนาดเล็กและ บริษัท รวมถึงสิ่งอํานวยความสะดวกของรัฐบาล แม้แต่ภาคการดูแลสุขภาพก็ตกเป็นเป้าหมาย ซึ่งแตกต่างจากผู้ใช้แต่ละคนเป้าหมายที่ใหญ่กว่าสามารถจ่ายค่าไถ่หลายแสนดอลลาร์ซึ่งเป็นเหตุผลที่พวกเขาเป็นเป้าหมายที่ชื่นชอบสําหรับ Ransomware อาชญากรไซเบอร์แก๊งโดยเฉพาะ
หากคุณต้องการทําความคุ้นเคยกับ วิธีการ Ransomware แพร่กระจายวิธีการทํางานและวิธีการป้องกันตัวเองอ่านต่อเนื่องจากเราจะอธิบายในรายละเอียดเพิ่มเติม
Ransomware ทํางานอย่างไร
- การติดเชื้อ
ขั้นตอนแรกของ Ransomware การโจมตีคือการเข้าไปในระบบเป้าหมาย ในกรณีของผู้ใช้แต่ละคนมักจะ Ransomware ได้รับเมื่อผู้ใช้เปิดไฟล์ที่เป็นอันตรายซึ่งพวกเขาได้รับจากอีเมล malspam เว็บไซต์ฝนตกหนัก เมื่อเปิดไฟล์ที่เป็นอันตราย Ransomware แล้วให้เริ่มกระบวนการเข้ารหัส
เพื่อติดเป้าหมายที่ใหญ่กว่าเช่น บริษัท และหน่วยงานภาครัฐอาชญากรไซเบอร์ใช้กลยุทธ์ที่แตกต่างกันเช่นการใช้โปรโตคอลเดสก์ท็อประยะไกลผิดพลาดซึ่งโดยพื้นฐานแล้วช่วยให้พวกเขาเข้าสู่ระบบเป้าหมายและ Ransomware เริ่มต้นด้วยตนเอง
- การเข้ารหัสไฟล์
เมื่อผู้ใช้เริ่มต้น Ransomware จะมีการเริ่มต้นเข้ารหัสลับไฟล์ Ransomware ทั้งหมดส่วนใหญ่กําหนดเป้าหมายไฟล์ส่วนบุคคลรวมถึงภาพถ่ายเอกสารและวิดีโอ รายการประเภทไฟล์เป้าหมายมักจะกว้างขวางมาก แต่ขึ้นอยู่กับ Ransomware ไฟล์ที่กําหนดเป้าหมาย แต่โดยรวมแล้วไฟล์ส่วนบุคคลส่วนใหญ่จะถูกเข้ารหัส
ไฟล์จะไม่สามารถใช้งานได้ทันทีที่มีการเข้ารหัส ผู้ที่ตกเป็นเหยื่อสามารถกําหนดไฟล์ที่ถูกเข้ารหัสโดยส่วนขยายที่เพิ่มลงในไฟล์ที่เข้ารหัส Ransomware เพิ่มส่วนขยายที่แตกต่างกันซึ่งโดยปกติจะเป็นวิธีที่เหยื่อสามารถระบุได้ว่าพวกเขากําลังจัดการกับชื่อใดหากไม่ได้กล่าวถึงในชื่อเรียกค่าไถ่
- ค่าไถ่
เมื่อไฟล์ถูกเข้ารหัสเสร็จแล้ว Ransomware จะทิ้งบันทึกค่าไถ่ โดยทั่วไป Ransomware ครอบครัวใช้บันทึกเดียวกันซ้ําแล้วซ้ําอีกเรียกร้องผลรวมเดียวกัน ตัวอย่างเช่นครอบครัว Djvu Ransomware ที่มีชื่อเสียงมักจะใช้บันทึกค่าไถ่ที่เหมือนกันทุกครั้ง บันทึกย่อมักจะอธิบายว่าไฟล์ได้รับการเข้ารหัสและเสนอตัวถอดรหัสในราคา ผลรวมค่าไถ่นั้นแตกต่างกันขึ้นอยู่กับ Ransomware ความรับผิดชอบ
สําหรับผู้ใช้แต่ละรายผลรวมค่าไถ่มักจะอยู่ในช่วงตั้งแต่ $ 100 ถึง $ 2000 อย่างไรก็ตามสําหรับธุรกิจและองค์กรผลรวมที่ต้องการอาจอยู่ในช่วงหลายแสนหรือแม้กระทั่งล้านดอลลาร์
สิ่งที่เกี่ยวกับการจ่ายเงินค่าไถ่คือมันไม่ได้รับประกันการถอดรหัสไฟล์เสมอไป ในขณะที่อาชญากรไซเบอร์สัญญาว่าจะให้ถอดรหัสการทํางานพวกเขาไม่ได้ทําดีกับสัญญาเหล่านั้นเสมอไปเลือกที่จะรับเงินแทนและไม่ส่งอะไรมาแลกเปลี่ยน แม้แต่การบังคับใช้กฎหมายก็สนับสนุนให้เหยื่อไม่จ่ายค่าไถ่ อย่างไรก็ตามในท้ายที่สุดไม่ว่าผู้ใช้จะจ่ายค่าไถ่เป็นการตัดสินใจของเหยื่อทุกคนหรือไม่
- ขู่
นี่เป็นวิธีปฏิบัติที่ค่อนข้างใหม่และโดยปกติจะได้รับการว่าจ้างจากเป้าหมายที่ใหญ่กว่าเช่น บริษัท หรือองค์กร หลาย บริษัท ที่ Ransomware ตกเป็นเหยื่อของการโจมตีมีการสํารองข้อมูลและจะสามารถกู้คืนข้อมูลและการดําเนินงานปกติได้อย่างรวดเร็วซึ่งหมายความว่าไม่จําเป็นต้องจ่ายค่าไถ่ อย่างไรก็ตามเพื่อพยายามบังคับให้เป้าหมายจ่ายค่าไถ่อาชญากรไซเบอร์ได้เริ่มแบล็กเมล์พวกเขาโดยขู่ว่าจะเปิดเผยข้อมูลที่พวกเขาถูกขโมยต่อสาธารณะ กลยุทธ์ใหม่นี้มีประสิทธิภาพมากว่ายากที่จะบอกเพราะเหยื่อทุกคนไม่ได้รายงานการโจมตี และส่วนมากของพวกเขานั้น
Ransomware อย่างไรก็ตามแก๊งทําดีกับคํามั่นสัญญาที่จะเปิดเผยข้อมูล ตัวอย่างหนึ่งคือการโจมตี Ransomware CD Projekt ผู้พัฒนาวิดีโอเกมยอดนิยม Witcher 3 และ Cyberpunk 2077 บริษัท ตกเป็นเป้าหมายของแก๊ง Ransomware ที่ขโมยซอร์สโค้ดสําหรับเกมดังกล่าว ผลรวมค่าไถ่ที่ร้องขอยังไม่ได้รับการเปิดเผย แต่ CD Projekt ปฏิเสธที่จะจ่าย นักวิเคราะห์ด้านความปลอดภัยหลายคนรายงานว่าซอร์สโค้ดกําลังถูกประมูลบนเว็บมืดในราคาที่เริ่มต้นด้วย $ 1 ล้าน รหัสถูกแชร์บนโซเชียลมีเดียในภายหลังและ CD Projekt เริ่มใช้ประกาศลบ DMCA เพื่อลบ
วิธีการ Ransomware กระจายที่พบมากที่สุด
- สิ่งที่แนบมากับอีเมล
แคมเปญ Malspam มีประสิทธิภาพมากเมื่อพูดถึงการติดเชื้อผู้ใช้โดยเฉพาะรายบุคคล นักแสดงที่เป็นอันตรายซื้อที่อยู่อีเมลหลายพันรายการจากฟอรัมแฮ็กเกอร์และเปิดตัวแคมเปญสแปมที่เป็นอันตรายโดยใช้พวกเขา ไม่ใช่เรื่องแปลกที่อีเมลที่เป็นอันตรายจะดูเหมือนว่าเป็นการติดต่ออย่างเป็นทางการจาก บริษัท หรือหน่วยงานของรัฐ อีเมลมักจะมีข้อความจํานวนเล็กน้อยบอกว่าการเปิดไฟล์ที่แนบมานั้นสําคัญมาก ถ้าผู้ใช้เปิดแฟ้ม Ransomware ที่แนบมา
- เพลงและแพลตฟอร์มการละเมิดลิขสิทธิ์อื่น ๆ
ฟอรัมและเว็บไซต์ฝนตกหนักมักได้รับการควบคุมที่ไม่ดีซึ่งช่วยให้นักแสดงที่เป็นอันตรายสามารถอัปโหลดเนื้อหาที่เป็นอันตรายได้โดยไม่ยาก นี่เป็นเรื่องธรรมดาโดยเฉพาะอย่างยิ่งในเว็บไซต์ฝนตกหนักและฟอรัมที่มีรอยแตกของซอฟต์แวร์ ผู้ใช้จะดาวน์โหลด Ransomware โดยไม่ตั้งใจและมัลแวร์อื่น ๆ คิดว่าฝนตกหนักจะมีภาพยนตร์รายการทีวีวิดีโอเกมหรือซอฟต์แวร์
- ใช้ประโยชน์จากชุด
เป็นเรื่องปกติที่แก๊ง Ransomware จะใช้ชุดใช้ประโยชน์จากเพื่อเข้าสู่ระบบของผู้ใช้ ชุดใช้ประโยชน์จากเครื่องมือที่มองหาช่องโหว่ในระบบที่พวกเขาสามารถใช้เพื่อส่งมอบการโจมตีและดาวน์โหลดและ Ransomware มัลแวร์อื่น ๆ ชุดใช้ประโยชน์จากสามารถพบได้ในการโฆษณาที่เป็นอันตราย (malvertising) และเว็บไซต์ที่ถูกบุกรุก / เป็นอันตราย วิธีการทํางานนี้ผู้ใช้จะถูกหลอกให้เยี่ยมชมเว็บไซต์ที่เป็นอันตรายหรือถูกบุกรุกที่มีชุดการโจมตีซึ่งจะตรวจสอบช่องโหว่ในซอฟต์แวร์ที่ติดตั้งบนอุปกรณ์ จากนั้นจะใช้ประโยชน์จากช่องโหว่นั้นเพื่อวางเพย์โหลดที่เป็นอันตรายหรือมัลแวร์
- โพรโทคอลการใช้เดสก์ท็อประยะไกล (RDP)
RDP (โพรโทคอลเดสก์ท็อประยะไกล) เป็นเครื่องมือที่อนุญาตให้ผู้ใช้เชื่อมต่อกับคอมพิวเตอร์/เซิร์ฟเวอร์อื่นโดยใช้การเชื่อมต่อเครือข่าย เนื่องจากวิธีการทํางานมันสร้างโอกาสสําหรับอาชญากรไซเบอร์ที่จะใช้มันเพื่อแจกจ่าย Ransomware . มันได้กลายเป็นหนึ่งในวิธีการแทรกซึมมัลแวร์ที่ใช้มากที่สุดโดยเฉพาะอย่างยิ่งเมื่อกําหนดเป้าหมายไปยัง บริษัท และองค์กรขนาดใหญ่ ตระกูลธรรม Ransomware ะเป็นตัวอย่างหนึ่งของตระกูลมัลแวร์ที่ใช้วิธีนี้
เมื่อพอร์ต RDP เปิดอินเทอร์เน็ตทุกคนสามารถลองเชื่อมต่อกับอินเทอร์เน็ตได้ และอาชญากรไซเบอร์มีเครื่องมือที่สแกนหาพอร์ตที่เปิดอยู่เหล่านี้ หากพวกเขาพบพวกเขาพยายามที่จะเชื่อมต่อกับมันโดยใช้ข้อมูลประจําตัวการเข้าสู่ระบบที่ถูกขโมยหรือโดยการคาดเดาพวกเขา หากรหัสผ่านอ่อนอาจเดาได้ง่ายอย่างไม่น่าเชื่อ เมื่อผู้โจมตีเข้าสู่ระบบได้สําเร็จพวกเขาสามารถเข้าถึงเซิร์ฟเวอร์ / คอมพิวเตอร์และทําทุกอย่างรวมถึง Ransomware การเริ่มต้น
วิธีป้องกันตัวเองจากการ Ransomware สูญหาย /ข้อมูล
สํารองไฟล์สําคัญใด ๆ เป็นประจํา
วิธีที่ดีที่สุดในการป้องกันผลกระทบร้ายแรงจากการ Ransomware ติดไวรัสคือการสํารองข้อมูลไฟล์เป็นประจําอย่างน้อยสิ่งที่คุณไม่ต้องการสูญเสีย มีหลายวิธีในสํารองไฟล์และผู้ใช้ทุกคนจะสามารถค้นหาวิธีที่สะดวกที่สุดสําหรับพวกเขา
ติดตั้งซอฟต์แวร์ป้องกันไวรัส
มันจะไม่แปลกใจเลยที่ซอฟต์แวร์ป้องกันไวรัสที่เชื่อถือได้พร้อม Ransomware การป้องกันเป็นบรรทัดแรกของการป้องกันเมื่อพูดถึงมัลแวร์ เพื่อปรับให้เข้ากับภัยคุกคามที่เพิ่มขึ้นของ Ransomware โปรแกรมป้องกันไวรัสจํานวนมากในขณะนี้มีการป้องกัน Ransomware บางอย่าง หากคุณติดตั้งซอฟต์แวร์ป้องกันไวรัสให้ตรวจสอบว่ามีคุณสมบัติดังกล่าวหรือไม่ หากคุณไม่มีโปรแกรมรักษาความปลอดภัย แต่วางแผนที่จะรับโปรแกรมให้วิจัยโปรแกรมที่ให้การป้องกัน Ransomware ที่ดีที่สุด
ติดตั้งการปรับปรุงเป็นประจํา
เราได้กล่าวไปแล้วว่ามัลแวร์สามารถใช้ช่องโหว่บนอุปกรณ์ของคุณเพื่อเข้าได้ เมื่อใดก็ตามที่มีการระบุช่องโหว่โดยเฉพาะอย่างยิ่งหากพวกเขาร้ายแรงการอัปเดตจะถูกปล่อยออกมาเพื่อแก้ไข การติดตั้งการอัปเดตเหล่านี้ทําให้ระบบมีความเสี่ยง ขอแนะนําให้เปิดใช้งานการปรับปรุงอัตโนมัติ
WannaCry Ransomware เป็นตัวอย่างที่ดีที่แสดงความสําคัญของการติดตั้งการอัปเดตเป็นประจํา Ransomware ช่องโหว่ EternalBlue ที่รู้จักซึ่งได้รับการปรับปรุงโดย Microsoft 2 เดือนก่อนการโจมตีในการอัปเดตจํานวนมากสําหรับ Windows ทุกรุ่นที่ได้รับการสนับสนุนในเวลานั้นเริ่มต้นจาก Windows Vista คอมพิวเตอร์มากกว่า 300,000 เครื่องที่ไม่ได้ติดตั้งแพตช์หรือกําลังเรียกใช้ Windows เวอร์ชันที่ไม่ได้รับการสนับสนุน (เช่น Windows XP) ติดไวรัสทั่วโลก WannaCry Ransomware เรียกร้องค่าไถ่ $ 300 – $ 600 เพื่อจ่ายเป็น Bitcoin เหยื่อส่วนใหญ่เป็น บริษัท และองค์กรที่มีแนวทางปฏิบัติด้านความปลอดภัยไม่เพียงพอ
พัฒนาพฤติกรรมการท่องเว็บที่ดี
สําหรับผู้ใช้ทั่วไปการหลีกเลี่ยง Ransomware มักจะหมายถึงการพัฒนาพฤติกรรมการท่องเว็บที่ดีขึ้น ส่วนใหญ่หมายถึงการไม่เปิดไฟล์แนบอีเมลที่ไม่พึงประสงค์ไม่คลิกที่โฆษณาเมื่อเรียกดูเว็บไซต์ที่มีความเสี่ยงสูงและหลีกเลี่ยงการละเมิดลิขสิทธิ์ (โดยเฉพาะผ่าน torrents)
- สิ่งที่แนบมากับอีเมล
สิ่งที่แนบมากับอีเมลทั้งหมดควรสแกนด้วยซอฟต์แวร์ VirusTotal ป้องกันไวรัสหรือก่อนที่จะเปิด การสแกนด้วย VirusTotal อาจดีกว่านี้เนื่องจากจะแสดงให้เห็นว่าโปรแกรมป้องกันไวรัสใด ๆ ที่เป็นพันธมิตรกับไฟล์นั้นตรวจพบว่าอาจเป็นอันตรายหรือไม่ โดยทั่วไปคุณควรหลีกเลี่ยงการเปิดไฟล์แนบอีเมลที่มาจากผู้ส่งที่ไม่รู้จัก
อีเมลที่เป็นอันตรายที่มีมัลแวร์มักจะค่อนข้างทั่วไปซึ่งหมายความว่าคุณควรจะสามารถระบุได้ตราบใดที่คุณรู้ว่าต้องมองหาอะไร ที่อยู่อีเมลของผู้ส่งมักเป็นของแถมที่ยิ่งใหญ่ หากผู้ส่งมีที่อยู่อีเมลแบบสุ่มที่ประกอบด้วยตัวอักษรและตัวเลขแบบสุ่มหรือโดยทั่วไปแล้วจะไม่ดูเป็นมืออาชีพคุณควรระมัดระวังในการเปิดไฟล์แนบอีเมล
อีกสัญญาณที่สังเกตเห็นได้ง่ายของอีเมลที่อาจเป็นอันตรายคือวิธีที่คุณได้รับการแก้ไขในอีเมล ตัวอย่างเช่น ถ้าบริษัทที่มีบริการที่คุณใช้ส่งอีเมลถึงคุณ (โดยเฉพาะถ้าเป็นแบบทั่วไป) คุณจะได้รับที่อยู่ตามชื่อของคุณ ตัวอย่างเช่นหากธนาคารของคุณส่งจดหมายติดต่ออย่างเป็นทางการให้กับคุณพวกเขาจะกล่าวถึงคุณด้วยชื่อของคุณในรูปแบบบางอย่างโดยปกติจะเป็นนามสกุลของคุณ การแทรกชื่อจะทําโดยอัตโนมัติดังนั้นจึงไม่มีโอกาสที่คุณจะได้รับการแก้ไขโดยบางสิ่งทั่วไปเช่น “ลูกค้า”, “สมาชิก”, “ผู้ใช้” ฯลฯ ดังนั้นหากคุณเคยได้รับอีเมลที่อ้างว่าคุณต้องเปิดไฟล์แนบอย่างเร่งด่วน แต่คุณได้รับการแก้ไขโดยใช้ข้อกําหนดทั่วไปให้ใช้ความระมัดระวังเป็นพิเศษหากคุณตัดสินใจที่จะเปิดไฟล์ที่แนบมา
สัญญาณอื่น ๆ ของอีเมลที่เป็นอันตรายได้แก่ไวยากรณ์และการสะกดผิดและการเขียนวลีที่น่าอึดอัดใจที่ดูเหมือนปิด
- การละเมิดลิขสิทธิ์
หากคุณเป็นคนที่ชอบรับเนื้อหาแบบชําระเงินฟรีผ่านการละเมิดลิขสิทธิ์คุณจะอยู่ในลานสเก็ตที่เพิ่มขึ้นของ Ransomware การติดเชื้อ ไม่สนใจปัญหาทางศีลธรรมของการขโมยการทํางานหนักของใครบางคนการละเมิดลิขสิทธิ์นั้นท้อแท้อย่างมากเพราะการค้นหามัลแวร์นั้นง่ายอย่างไร นี่เป็นกรณีที่มีเพลงโดยเฉพาะ แพลตฟอร์มฝนตกหนักจํานวนมากได้รับการควบคุมที่ไม่ดีนักซึ่งอาชญากรไซเบอร์ใช้ประโยชน์จากการอัปโหลดมัลแวร์ที่ปลอมตัวเป็น torrents มัลแวร์เป็นเรื่องธรรมดาโดยเฉพาะอย่างยิ่งใน torrents สําหรับภาพยนตร์ยอดนิยมซีรีส์ทีวีวิดีโอเกมและซอฟต์แวร์ เมื่อรายการยอดนิยมเช่น Game of Thrones ออกอากาศเพลงตอนส่วนใหญ่ (โดยเฉพาะตอนใหม่) จะมีมัลแวร์