วิธีรับมือไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker

การติดไวรัส Crypt0L0cker สามารถติดได้ทั้งทาง Website Email (เจอบ่อยที่สุด) จะได้รับอีเมลใบสั่งซื้อสินค้า หรืออีเมลแจ้งการติดตามพัสดุของบริษัทขนส่งสินค้าชื่อดัง โดยที่จะมีข้อความหลอกลวงคล้ายคลึงกับอีเมลสั่งซื้อสินค้าจริงๆ โดยในอีเมลจะมีการแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF และการลามผ่านทาง Network หรือ USB เรียกได้ว่าสามารถติดได้ทุกช่องทาง (ภาพตัวอย่างอีเมล์) ลักษณะจะมาเป็นไฟล์ zip เมื่อกดเปิดจะโดนล็อคทันที


ทราบได้อย่างไรว่าเครื่องเราโดนไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker
เมื่อเครื่องเราติดไวรัส สามารถสังเกตได้โดยชื่อไฟล์ เอกสาร.xls กลายเป็น เอกสาร.XLS.dsdaojg หรือ Kitty หรือชื่ออื่นๆ เมื่อเราลอง Rename นามสกุลไฟล์ .dsdaojg กลับมาเป็น xls เหมือนเดิม ก็ไม่สามารถเปิดไฟล์เอกสารได้ (หรือเปิดแล้วเป็นตัวอักษรต่างดาว) อีกอาการคือ จะมีไฟล์ชื่อ HELP_DECRYPT ขึ้นมาในทุกๆโฟลเดอร์ที่ไฟล์โดนเข้ารหัส (ดังตัวอย่างในภาพ) จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่าย รวมถึงข้อมูลใน Dropbox / Google Drive ก็ถูกเข้ารหัสลับด้วยเช่นกัน




สิ่งที่ต้องทำเมื่อโดนไวรัส Crypt0L0cker ให้แยกเครื่องดังกล่าวออกจาก network ทันที เพื่อป้องกันการแพร่ระบาดสู่เครื่องอื่นในวงแลน รวมทั้งไม่ควรนำ External HDD หรือ Flash Drive ที่มีข้อมูล มาทดลองต่อ เพราะอาจติดไปด้วย รีบ Copy เอาไฟล์ข้อมูลที่ยังไม่โดนล็อคออกมาก่อน


วิธีการกู้ไฟล์ที่โดนเข้ารหัสกลับคืน สิ่งที่เราแนะนำเป็นอย่างแรกเลยคือ การทำใจเพราะโอกาสได้คืนน้อยมาก ไวรัสเข้ารหัสทำการเข้ารหัสไฟล์ด้วย RSA 2048 bit จึงไม่มีทางกู้คืนไฟล์ข้อมูลได้เลย ยอมเสียไฟล์และ Format ทิ้งไป เราแนะนำทางออกดังนี้

- สำหรับ Window Server ตรวจสอบว่าได้มีการเปิด Feature Shadow Copy ไว้หรือไม่ หากเปิดไว้ สามารถ Restore ไฟล์กลับคืนได้

- ลองดาวน์โหลดเครื่องมือถอดรหัสดังต่อไปนี้ Kaspersky / Fisheye / Cisco (เนื่องจากไวรัสเรียกค่าไถ่มีหลายชนิด หากไม่ตรงกันจะไม่สามารถถอดได้)

- ทางเลือกสุดท้าย หากต้องการกู้ไฟล์ข้อมูลกลับคืน จ่ายเงินค่าไถ่ไฟล์คืนให้แฮกเกอร์ เริ่มต้นที่ 10,000 บาท หากอิดออดจ่ายช้า โปรแกรมจะเรียกเงินสูงขึ้นไปเรื่อยๆ เฉลี่ยอยูที่ประมาณ 20,000 บาท (เนื่องจากเป็นการเก็บสถิติจากลูกค้าและเว็บไซต์บางคนที่ยอมเงินเพื่อแลกตัวถอดรหัสไฟล์ เราไม่รับผิดชอบ หากจ่ายแล้วไม่ได้ไฟล์ ผู้อ่านจะต้องตัดสินใจเสี่ยงเอง)

เครดิตภาพจากคุณ doggone เว็บไซต์ Pantip

จากภาพด้านล่าง เหยื่อไวรัสตัดสินใจจ่ายเงินค่าไถ่ไฟล์ เป็นเงิน Bitcoin ประมาณ 16,000 บาทแลกกับไฟล์สำคัญที่มีคุณค่าทางใจกับคืน หลังจากการจ่าย แฮกเกอร์จะตรวจสอบและส่งไฟล์ถอดรหัส Decrypt.zip มาให้ เมื่อเราทำการแตกไฟล์ จะสามารถเลือกไดรฟ์และถอดรหัสไฟล์กลับคืนได้ การจ่ายเงินเพื่อถอดรหัสไฟล์แต่ละชนิดแตกต่างกันไป ต้องอ่านตามวิธีที่ไวรัสแจ้งไว้เอง แต่ค่นข้างใกล้เคียงกับด้านล่าง



แนวทางป้องกันไวรัสเรียกค่าไถ่ Ransomware Crypt0L0cker
- ควรจะหมั่นสำรองข้อมูล ของคุณเก็บไว้ที่อื่นบ้าง เผื่อวันไหน ต่อให้ไม่โดน Ransomware แต่ Hard Disk พัง ก็ข้อมูลหายเหมือนกันอยู่ดี ดังนั้นการ Backup คือการป้องกันที่ดีที่สุด แนะนำให้หา Harkdisk อีก 1 ลูกทำหน้าที่ Backup ไฟล์งาน หรือรูป อยู่เสมอๆ รวมไปถึงการใช้บริการ Cloud Storage อย่าง Dropbox ในการเก็บไฟล์ด้วย จะทำให้ มีความปลอดภัยมากยิ่งขึ้น

- ให้ดาวน์โหลดเครื่องมือมาติดตั้งที่ Server และ Client ตามนี้ คลิ๊กเพื่อดาวน์โหลด

- Add blacklist ใน Firewall เพื่อ block URL ดังต่อไปนี้

http://tkj3higtqlvohs7z.oe92jfee23.com http://tkj3higtqlvohs7z.feoks62f22.com https://tkj3higtqlvohs7z.s5.tor-gateways.de http://torproject.org http://tkj3higtqlvohs7z.onion/
38.229.72.12
86.59.30.40
82.195.75.101
46.4.123.73
173.245.58.245
173.245.59.115
173.245.58.185
173.245.59.205
62.141.32.2
62.241.33.128
62.141.34.2


…
รวมถึงการตั้งค่า Block ไฟล์ zip หรือไฟล์นามสกุลแปลกๆไปเลย หากองค์กรไม่มีความจำเป็นต้องใช้ไฟล์เหล่านั้น

อย่างไรก็ดี การแก้ไขปัญหาดังกล่าวเป็นเพียงจุดเล็กๆอย่างหนึ่งที่เราสามารถทำได้เท่านั้น เพราะในภายหน้าก็ต้องมีไวรัสใหม่ๆ พัฒนาเปลี่ยนรูปแบบออกมาอยู่ดี ซึ่งเราไม่สามารถใช้เทคนิคนี้ป้องกันได้ตลอด สำหรับองค์กร การจัดเทรนนิ่งให้ความรู้ภายในองค์กร และการส่งจดหมายข่าวแจ้งเตือน เพื่อให้ความรู้กับ user เกี่ยวกับไวรัสใหม่ๆ เป็นเรื่องที่สำคัญที่สุด แถมยังช่วยให้ฝ่ายไอทีมีความสัมพันธ์อันดีกับพนักงานอีกด้วย



คำถามที่พบบ่อย
แก้ไวรัส โดยไม่จ่ายเงินให้โจรได้หรือไม่?

- แก้ได้ โดยใช้โปรแกรม Antivirus ทั่วไป แต่ไฟล์ยังคงโดยล็อคไว้เหมือนเดิม


แล้วถ้าต้องการกู้ไฟล์ ทำได้หรือไม่?
- แล็บกู้ข้อมูลไม่สามารถกู้ได้ครับ เพราะไม่มีคีย์สำหรับถอดรหัสไฟล์ ต้องจ่ายเงินค่าไถ่ให้โจร เคสนี้ใครเจอกับตัวเจ็บใจมาก


แล็บกู้ข้อมูลต่างประเทศกู้ได้หรือไม่?
- ไม่ได้เช่นกันครับ


ตำรวจจับไม่ได้เหรอ?
- แฮกเกอร์พวกนี้อยู่ที่ไหนไม่รู้เหมือนกัน แต่หวังพึ่งตำรวจคงยาก เพราะเมื่อช่วงสงกรานต์ที่ผ่านมามีข่าวว่า เซิร์ฟเวอร์ตำรวจสหรัฐฯ ก็ถูกเข้ารหัสข้อมูล ต้องยอมจ่ายเงินค่าถอดรหัส


รู้ได้ไงว่าจ่ายเงินให้โจรแล้ว จะได้ข้อมูลคืน?
- ต้องเสี่ยงเอาครับ


จะป้องกันไม่ให้โดนอีกได้ยังไง?
- เครื่องมือและโปรแกรม AntiVirus ที่อัพเดทอยู่สม่ำเสมอ สามารถช่วยได้บ้าง สิ่งสำคัญคือผู้ใช้ต้องไม่เปิดไฟล์แปลกๆจากคนที่รู้จักครับ โดยเฉพาะไฟล์ zip หรือไฟล์แปลกๆต่างๆที่ส่งมาทางเมล์

บริการที่แนะนำสำหรับป้องกันไฟล์สำคัญหาย

- พื้นที่เก็บข้อมูลออนไลน์

..

บทความโดย ศูนย์กู้ข้อมูล ATL Recovery / ภาพประกอบจาก thaiadmin , pantip, http://www.ict.in.th/