Ransomware คืออะไรและจะป้องกันได้อย่างไร

Ransomware เป็นรูปแบบของมัลแวร์ที่เข้ารหัสสื่อเอกสารและไฟล์อื่น ๆ บนพีซีเป้าหมายและการเข้าถึงไฟล์เหล่านั้นจะได้รับเฉพาะเมื่อความต้องการเรียกค่าไถ่ของผู้โจมตี

ปัจจุบันมีแรนซัมแวร์สองประเภท - ประเภทหนึ่งซึ่งล็อคไฟล์บางไฟล์บนคอมพิวเตอร์และอื่น ๆ ที่ล็อคทั้งระบบ ส่วนใหญ่จะพบหลังบนสมาร์ทโฟน

Ransomware มีมานานกว่าทศวรรษแล้ว พบการโจมตีครั้งแรกในรัสเซียในปี 2548 ด้วยโทรจัน GPcoder

ก่อนประวัติศาสตร์: การเชื่อมต่อของรัสเซีย

ไวรัสแรนซัมแวร์ตัวแรกที่สร้างปัญหาขนาดใหญ่ได้รับการพัฒนาโดยอาชญากรชาวรัสเซียที่ได้รับการพัฒนาและมาถึงก่อนในปี 2548 และ 2549

พีซีที่ติดมัลแวร์ในรัสเซียเบลารุสยูเครนและคาซัคสถาน หนึ่งในสายพันธุ์ของมัลแวร์ถูกเรียกว่า Archievus และอีกหนึ่งเรียกว่า Troj_Cryzip.A

ในขณะที่อดีตเข้ารหัสโฟลเดอร์ 'My Documents' หลังระบุและย้ายไฟล์บางประเภทในพีซีไปยังโฟลเดอร์ซิปป้องกันด้วยรหัสผ่านซึ่งจะถูกปลดล็อคเฉพาะเมื่อเหยื่อถ่ายโอนไม่กี่ร้อยดอลลาร์ไปยังผู้โจมตีผ่าน E-Gold - สกุลเงินอิเล็กทรอนิกส์ก่อน Bitcoin

E-Gold ถูกยกเลิกในปี 2009 ภายใต้การดูแลของรัฐบาลสหรัฐฯเนื่องจากมีอาชญากรจำนวนมากที่ใช้มันเพื่อฟอกเงิน หลังจากนั้นมีการใช้ Bitcoin และบัตรเดบิตแบบเติมเงินเป็นวิธีการรวบรวมค่าไถ่

ในช่วงปลายทศวรรษแรกการโจมตีแรนซัมแวร์จำนวนมากก็ทำให้หน่วยงานบังคับใช้กฎหมายที่แอบอ้าง ผู้โจมตีเหล่านี้จะก่อกวนผู้ที่ตกเป็นเหยื่อด้วยข้อกล่าวหาที่ผิด ๆ เช่นการละเมิดลิขสิทธิ์และแยก 'ค่าปรับ' สำหรับค่าใช้จ่ายที่ไม่มีอยู่จริงเหล่านี้

สิ่งที่น่าฉงนที่สุดของการแอบอ้างเป็นผู้บังคับใช้กฎหมายเหล่านี้คือ Reveton ซึ่งเป็นแรนซัมแวร์ซึ่งจะทำงานในพื้นที่ ทั้งนี้ขึ้นอยู่กับประเทศที่ผู้เสียหายตั้งอยู่ Reveton จะแอบอ้างเป็นตำรวจแห่งชาติ

นักพัฒนาซอฟต์แวร์ได้พยายามปรับใช้ภาษาท้องถิ่นสำหรับเกือบทุกประเทศในยุโรปสหรัฐอเมริกาออสเตรเลียแคนาดาและนิวซีแลนด์ Ransomware ไม่ได้ใช้การเข้ารหัสเพื่อล็อคไฟล์ของผู้ใช้ซึ่งทำให้ง่ายต่อการลบด้วยโปรแกรมป้องกันไวรัสหรือผ่านเซฟโหมด

ในปี 2555 ransomware อีกเครื่องได้ตั้งเป้า Windows Master Boot Record (MBR) และแทนที่ด้วยรหัสที่เป็นอันตราย เมื่อระบบที่ติดเชื้อถูกบูทผู้ใช้จะได้รับคำแนะนำในการชำระเงินจำนวนมากผ่าน QIWI ซึ่งเป็นระบบชำระเงินของรัสเซียเพื่อเข้าถึงอุปกรณ์ของพวกเขา

Modern Day Crypto-Ransomware

หนึ่งในวิธีการแรนซัมแวร์สมัยใหม่ที่พบครั้งแรกใน 2012-13 CryptoLocker เป็นโปรแกรมมัลแวร์ตัวแรกที่ประสบความสำเร็จอย่างกว้างขวางซึ่งได้รับเงินค่าไถ่มากกว่า 27 ล้านดอลล่าร์

CryptoLocker ได้รับการเข้ารหัสโดยใช้คีย์ AES 256 บิตและคีย์ RSA 2048 บิตซึ่งทำให้การเข้ารหัสนั้นแทบจะไม่สามารถถอดรหัสได้แม้ว่ามัลแวร์จะถูกลบออกไปแล้วซึ่งเป็นหนึ่งในวิธีที่มีประสิทธิภาพมากที่สุดสำหรับผู้โจมตี

ผู้ที่ตกเป็นเหยื่อในการโจมตีเหล่านี้ถูกขอให้จ่าย $ 400 หรือมากกว่าเพื่อรับรหัสการถอดรหัสและถูกคุกคามด้วยการลบคีย์หากพวกเขาล้มเหลวในการชำระเงินภายใน 72 ชั่วโมง

ในปี 2014 CryptoLocker ถูกหน่วยงานรัฐบาลหน่วยงานด้านความมั่นคงและสถาบันการศึกษาใน Operation Tovar ดำเนินการลง ต่อมาพวกเขายังเปิดตัวบริการสำหรับผู้ที่ได้รับผลกระทบจาก CryptoLocker ซึ่งช่วยให้พวกเขาถอดรหัสอุปกรณ์ได้ฟรี

แม้ว่าภัยคุกคามของ CryptoLocker จะอยู่ได้ไม่นานนัก แต่มันก็ช่วยให้ผู้โจมตีค้นพบโลกของ ransomware และตรวจสอบให้แน่ใจว่ามันมีกำไรมากเพียงใด - ส่งผลให้จำนวนของ ransomware จำนวนมากที่ถูกปล่อยออกมาในตลาดหลังจากนั้น

CryptoLocker ตามมาด้วย TorrentLocker โปรแกรม ransomware ที่โผล่ขึ้นมาเป็นไฟล์แนบอีเมลโดยปกติจะเป็นไฟล์คำที่มีมาโครที่เป็นอันตรายซึ่งล็อคไฟล์บางประเภทในคอมพิวเตอร์ด้วยการเข้ารหัส AES

TorrentLocker ยังคงใช้งานได้และมีการพัฒนาอย่างมากในช่วงไม่กี่ปีที่ผ่านมา เวอร์ชันที่ใหม่กว่าจะเปลี่ยนชื่อไฟล์ที่ติดไวรัสทั้งหมดในคอมพิวเตอร์ซึ่งทำให้ผู้ใช้ไม่สามารถระบุได้ว่าไฟล์ใดได้รับการเข้ารหัสและกู้คืนไฟล์ผ่านการสำรองข้อมูล

Ransomware ไม่เพียง แต่ติดเชื้อพีซี Windows แต่ Linux และ Mac OS ด้วย ในปี 2558 พบ ransomware สายพันธุ์ที่ติดไวรัสพีซีที่ใช้งานบน Linux และในปี 2559 พบว่ามีความเครียดในการโจมตีคอมพิวเตอร์ Mac

ในทศวรรษที่ผ่านมาการโจมตีของ crypto-ransomware เพิ่มขึ้นอย่างมากเนื่องจากโปรแกรมป้องกันไวรัสปลอมและแอปพลิเคชันที่ทำให้เข้าใจผิดอื่น ๆ มีจำนวนลดลง ในปี 2559 มีรายงานกรณีแรนซัมแวร์ 638 ล้านคดี

วิธีการต่อสู้

มีเว็บไซต์และ บริษัท รักษาความปลอดภัยจำนวนหนึ่งที่พยายามแจ้งให้ผู้คนทราบเกี่ยวกับการคุกคามของมัลแวร์และจัดหาเครื่องมือเพื่อป้องกันและถอดรหัสข้อมูลที่ถูกล็อคโดยผู้โจมตี

บริการแอนตี้ไวรัสที่ได้รับความนิยมอย่าง Avast นั้นมาพร้อมกับเครื่องมือถอดรหัสสำหรับ Windows และ Android เพื่อช่วยให้ผู้คนรับมือกับภัยคุกคามที่เพิ่มขึ้นของ ransomware เครื่องมือเหล่านี้มีอิสระในการใช้งานและครอบคลุม ransomware ที่หลากหลายแม้ว่าเครื่องมือใหม่บางตัวอาจไม่ครอบคลุม แต่ก็ยังสามารถให้คุณเริ่มต้นได้

No More Ransom เป็นเว็บไซต์ที่ให้ข่าวสารเกี่ยวกับการพัฒนาล่าสุดในระบบนิเวศของ ransomware รวมถึงนำผู้ใช้ไปยังเครื่องมือที่สามารถใช้เพื่อต่อสู้กับภัยคุกคามเหล่านี้ เว็บไซต์นี้เป็นความร่วมมือร่วมกันระหว่าง Netherlands Police, Europol, Kaspersky Lab และ Intel Security

หากคุณพบเครื่องมือที่สามารถแนะนำคุณในการถอดรหัส ransomware ที่ส่งผลกระทบต่อพีซีของคุณในขณะนี้สิ่งที่คุณต้องทำคือการระบุมัน ID Ransomware เป็นเว็บไซต์ที่ช่วยให้คุณทำอย่างนั้นสิ่งที่คุณต้องทำคืออัปโหลดสำเนาบันทึกย่อค่าไถ่

หากคุณกำลังมองหาเครื่องมือที่ให้การปกป้องพีซี Windows ของคุณแบบเรียลไทม์ CyberReason Ransomfree คือคำตอบสำหรับความต้องการของคุณ

Ransomware เป็นภัยคุกคามในยุคของอุปกรณ์เชื่อมต่ออินเทอร์เน็ตและเมื่อ IoT กลายเป็นเรื่องธรรมดามันสามารถพิสูจน์ได้ว่าเป็นปัญหาที่ใหญ่กว่า

ปัจจุบัน ransomware ส่งผลกระทบต่ออุปกรณ์หรือไฟล์ของคุณเท่านั้นและยกเลิกการเข้าถึงของผู้ใช้จนกว่าจะได้รับค่าไถ่ แต่ด้วยความนิยมที่เกิดขึ้นใหม่ของอุปกรณ์สมาร์ทโฮมการสูญเสียการเข้าถึงอุปกรณ์ของคุณจะเป็นจุดเริ่มต้นของความกังวล