Clear
Lead Graphic Papers

CryptoLocker: เรื่องเก่าที่ถูกเอามาเล่าใหม่

ผู้เขียน: ธงชัย ศิลปวรางกูร
วันที่เผยแพร่: 5 พฤศจิกายน 2556
ปรับปรุงล่าสุด: 8 สิงหาคม 2557

Share on Facebook Share on Twitter Share on Google+

เป็นที่ทราบกันดีว่าทุกคนย่อมเคยมีประสบการณ์ที่คอมพิวเตอร์ของตนเองติดมัลแวร์ ไม่ว่าจะเป็นในรูปแบบของโทรจัน เวิร์ม รูทคิท หรือที่ผู้ใช้ทั่วไปมักเรียกโปรแกรมไม่พึงประสงค์เหล่านี้รวมกันว่าไวรัส ซึ่งมัลแวร์แต่ละประเภทและแต่ละตัวก็จะก่อให้เกิดผลกระทบและความเสียหายที่แตกต่างกันไป ตัวอย่างของมัลแวร์ที่คนส่วนใหญ่มักเคยพบเจอได้แก่ โทรจันประเภท Keylogger ที่แอบขโมยข้อมูลการกดแป้นคีย์บอร์ดของผู้ใช้ส่งกลับไปยังผู้ไม่หวังดี หรือมัลแวร์ที่แอบตั้งค่าต่าง ๆ ในระบบปฏิบัติการและป้องกันไม่ให้ผู้ใช้เข้าไปแก้ไขค่าดังกล่าว อย่างไรก็ตาม ยังมีมัลแวร์อยู่ประเภทหนึ่งที่เรียกว่า Ransomware ซึ่งไม่ได้ใช้วิธีการขโมยข้อมูลส่วนบุคคลของผู้ใช้เหมือนกับที่มัลแวร์ในสมัยนี้นิยมทำกัน หากแต่ทำการ “เรียกค่าไถ่” ด้วยการทำให้ผู้ใช้ไม่สามารถเข้าถึงระบบหรือข้อมูลในคอมพิวเตอร์ หรือหลอกล่อด้วยวิธีการใด ๆ ก็ตามที่จะทำให้ผู้ใช้ยอมชำระเงินให้กับผู้ไม่หวังดีเพื่อที่จะแก้ไขปัญหาที่เกิดขึ้น ซึ่งวิธีการข่มขู่หรือหลอกล่อให้เหยื่อชำระเงินนั้นมีด้วยกันสารพัดวิธี ไม่ว่าจะเป็นการขึ้นข้อความแอบอ้างว่าเป็นเจ้าหน้าที่รัฐที่ตรวจสอบพบว่าคอมพิวเตอร์ของเหยื่อถูกนำไปใช้ในทางที่ผิดกฎหมาย [1] หรือขึ้นข้อความหลอกให้ผู้ใช้ทำการ Reactivate Windows ด้วยการโทรศัพท์ไปยังเบอร์ที่ผู้ไม่หวังดีให้บริการ ซึ่งเป็นการโทรทางไกลที่เสียค่าใช้จ่ายสูง [2] เป็นต้น มัลแวร์ประเภท Ransomware นั้นเคยมีการค้นพบมานานนับสิบปีแล้ว แต่เนื่องจากในช่วงที่ผ่านมาไม่นานนี้มีการค้นพบ Ransomware ตัวใหม่ที่มีชื่อว่า CryptoLocker ซึ่งกำลังตกเป็นข่าวที่ผู้คนกำลังให้ความสนใจ ผู้เขียนจึงได้เขียนบทความนี้เพื่อให้ผู้อ่านได้ตระหนักและรู้เท่าทันถึงมัลแวร์ดังกล่าว

ว่าด้วยเรื่องของ CryptoLocker

CryptoLocker เป็น Ransomware บนระบบปฏิบัติการ Windows ตัวล่าสุดที่ถูกค้นพบเมื่อช่วงเดือนกันยายน 2556 ที่ผ่านมา โดยถูกเผยแพร่ผ่านทางไฟล์แนบในอีเมลหลอกลวง (ตัวอย่างที่มีผู้เคยพบ เช่น อีเมลแจ้งการติดตามพัสดุจาก FedEx, UHS หรือ UPS พร้อมกับแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF [3]) หรือผ่านทางมัลแวร์ประเภทบอตเน็ตที่เคยถูกติดตั้งลงบนเครื่องของผู้ใช้มาก่อน หลักการทำงานโดยทั่วไปของ CryptoLocker นั้นคล้ายคลึงกับ Ransomware ตัวอื่น ๆ ในอดีตที่ผ่านมา นั่นคือทำการเข้ารหัสลับข้อมูลไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่น ๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่ายก็ถูกเข้ารหัสลับด้วยเช่นกัน

นามสกุลของไฟล์ที่ถูก CryptoLocker เข้ารหัสลับ (ที่มา: Naked Security [4])

หน้าต่างของโปรแกรม CryptoLocker ที่ขึ้นข้อความข่มขู่ให้ผู้ใช้ชำระเงิน (ที่มา: Naked Security [4])

พฤติกรรมที่น่าสนใจของ CryptoLocker อย่างหนึ่งหลังจากที่ติดตั้งตัวเองลงในคอมพิวเตอร์แล้ว คือการสร้างสุ่มชื่อโดเมนด้วยเทคนิค Domain Generation Algorithm [5] เพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการ (Command-and-control server) ในการดาวน์โหลด Public key ที่ใช้สำหรับเข้ารหัสลับ ซึ่งเทคนิคการสุ่มชื่อโดเมนเพื่อเชื่อมต่อไปยังเครื่องควบคุมและสั่งการนี้มักพบเห็นในมัลแวร์สมัยใหม่ที่แพร่ระบาดอยู่ในปัจจุบัน โดย Public key ที่ถูกดาวน์โหลดมานั้นใช้อัลกอริทึม RSA ที่มีความยาวถึง 2048 bits ซึ่งด้วยสมรรถนะของคอมพิวเตอร์ในปัจจุบันยังไม่สามารถทำการสุ่มหา Private key ที่ใช้ในการถอดรหัสลับที่มีความยาวขนาดนี้ในทางปฏิบัติได้ ทั้งนี้ RSA public key ดังกล่าวเป็นเพียง Key ที่ใช้ในการเข้ารหัสลับ Secret key ที่ใช้ในการเข้ารหัสลับข้อมูลในคอมพิวเตอร์ของเหยื่อจริง ๆ อีกทอดหนึ่ง โดย Secret key ดังกล่าวใช้อัลกอริทึม AES ความยาว 256 bits นอกจากนี้สิ่งที่น่าสนใจอีกอย่างคือช่องทางการชำระเงิน ซึ่งผู้ไม่หวังดีเปิดโอกาสให้เหยื่อสามารถชำระเงินเพื่อขอรับ Private key ด้วย Bitcoin (ตัวย่อ: BTC) ซึ่งเป็นสกุลเงินในโลกดิจิทัลที่กำลังได้รับความนิยมอยู่ในปัจจุบัน

หน้าต่างระบุช่องทางการชำระเงินเป็น Bitcoin (ที่มา: Securelist [6])

ทั้งนี้เมื่อต้นเดือนพฤศจิกายน 2556 มีการรายงานว่าผู้พัฒนา CryptoLocker ได้ยืดระยะเวลาให้กับผู้ใช้ที่ตกเป็นเหยื่อ ด้วยการเปิดเว็บไซต์ผ่านเครือข่าย TOR เพื่อให้บริการรับชำระเงิน โดยวิธีการชำระเงินนั้นจะเริ่มจากการให้ผู้ใช้อัพโหลดไฟล์ที่ถูกเข้ารหัสลับผ่านหน้าเว็บไซต์เพื่อทำการตรวจสอบหา Private key ที่ใช้ในการถอดรหัสลับ โดยอ้างว่าใช้เวลาในขั้นตอนดังกล่าวประมาณ 24 ชั่วโมง หลังจากเสร็จสิ้นจะมีหน้าต่างปรากฏให้ชำระเงินเป็น Bitcoin เช่นเดิม แต่มีการขึ้นราคาจากเดิม 2 BTC เป็น 10 BTC หรือเทียบเท่ากับราคาจากเดิมประมาณ 460 USD เป็น 2,300 USD (ข้อมูลอัตราแลกเปลี่ยน ณ วันที่ 4 พฤศจิกายน 2556)

หน้าหลักของเว็บไซต์ที่เปิดให้บริการชำระเงิน (ที่มา: Bleeping Computer [7])

หน้าต่างชำระเงินหลังจากเสร็จสิ้นการค้นหา Private key (ที่มา: Bleeping Computer [7])

การป้องกันและแก้ไข

วิธีการป้องกันมัลแวร์ CryptoLocker รวมถึง Ransomware ตัวอื่น ๆ ในเบื้องต้นได้แก่

  • Backup ข้อมูลอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ถูก Backup ไว้ในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่น ๆ
  • ติดตั้ง/อัปเดตโปรแกรมป้องกันไวรัส รวมถึงอัปเดตโปรแกรมอื่น ๆ โดยเฉพาะโปรแกรมที่มักมีข่าวเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ Adobe Reader และอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
  • ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
  • หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ์เหล่านั้น
  • ตั้งค่า Policy ของระบบปฏิบัติการ เพื่อป้องกันไม่ให้มัลแวร์สามารถทำงานตาม Directory หรือ Path ที่ระบุได้ [8]

ในกรณีที่เครื่องคอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ CryptoLocker และไฟล์ในเครื่องถูกเข้ารหัสลับไปแล้ว ทางบริษัท FireEye และ Fox-IT ได้ร่วมกันเปิดให้บริการเว็บไซต์สำหรับถอดรหัสลับข้อมูลที่ถูกเข้ารหัสลับด้วย CryptoLocker [9] เมื่อวันที่ 6 สิงหาคม 2557 โดยที่มาของการพัฒนาเครื่องมือในการถอดรหัสลับนี้ เป็นผลลัพธ์ที่ได้มาจากความร่วมมือระหว่างหน่วยงานภาครัฐและเอกชนจากหลายประเทศ ในการเข้ายึดเครื่องควบคุมและสั่งการ Botnet ที่ติดมัลแวร์ Gameover Zeus ซึ่งเป็นมัลแวร์ตัวหนึ่งที่ถูกใช้ในการเผยแพร่ CryptoLocker ภายใต้ปฏิบัติการที่ชื่อ Operation Tovar เมื่อเดือนมิถุนายน 2557 [10] ในการใช้งานเว็บไซต์ดังกล่าวนั้น ผู้ใช้จะต้องอัพโหลดไฟล์ที่ถูกเข้ารหัสลับไปยังเว็บไซต์ หลังจากนั้นผู้ใช้จะได้รับ Private key ในการถอดรหัสลับทางอีเมล ซึ่ง Private key ดังกล่าวจะต้องใช้ร่วมกับเครื่องมือที่ทางผู้พัฒนาเตรียมไว้ให้ [11] อย่างไรก็ตาม เครื่องมือนี้อาจไม่สามารถใช้ในการถอดรหัสลับได้ในทุกกรณี เนื่องจากข้อมูลอาจถูกเข้ารหัสลับด้วย CryptoLocker ตัวที่ถูกพัฒนาแยกออกเป็นสายพันธุ์ย่อย ซึ่งแต่ละสายพันธุ์มีพฤติกรรมการทำงานที่แตกต่างกันออกไป ดังนั้นผู้ใช้จึงต้องทดลองใช้งานเครื่องมือดังกล่าวเองว่าไฟล์ของตนสามารถถอดรหัสลับได้หรือไม่ ในอีกทางหนึ่ง หากผู้ใช้ได้เปิดใช้งานฟังก์ชัน System Restore ของ Windows [12] เอาไว้ ก็มีโอกาสที่จะสามารถกู้ดิสก์หรือไฟล์เวอร์ชันก่อนหน้าที่จะถูกมัลแวร์เข้ารหัสลับได้ [13]

ทั้งนี้ จากวิธีการป้องกันตามที่กล่าวมาข้างต้น จะสังเกตได้ว่าส่วนใหญ่เป็นวิธีที่ผู้ใช้ทั่วไปมักทราบกันดีอยู่แล้ว เพียงแต่อาจไม่ใส่ใจที่จะปฏิบัติตาม เนื่องจากคิดว่าตนเองไม่น่ามีโอกาสพบกับเหตุร้ายเหล่านี้ได้ โดยเฉพาะกรณีที่คอมพิวเตอร์ติดมัลแวร์ Ransomware เนื่องจากผู้ใช้มีความเสี่ยงที่จะสูญเสียข้อมูลในคอมพิวเตอร์ทั้งหมดอย่างถาวร เว้นแต่ผู้ใช้จะเลือกวิธีการชำระเงินให้กับผู้ไม่หวังดี สำหรับความเห็นส่วนตัวของผู้เขียนนั้นไม่สนับสนุนวิธีนี้ เนื่องจากไม่มีหลักประกันใด ๆ ว่าเมื่อชำระเงินไปแล้ว ข้อมูลของผู้ใช้จะสามารถถูกถอดรหัสลับกลับมาเป็นเหมือนเดิมได้ รวมถึงการชำระเงินให้กับผู้ไม่หวังดีนั้น เท่ากับว่าเป็นการสนับสนุนให้ผู้ไม่หวังดีมีแรงจูงใจที่จะกระทำการในลักษณะนี้ต่อไปในอนาคตอีกด้วย ดังจะพบเห็นได้จากการแพร่ระบาดของ Ransomware จำนวนมากตามมาหลังจากที่พบการแพร่ระบาดของ CryptoLocker เช่น CryptoBit [14], Locker [15], PowerLocker [16], CryptoDefense [17], CryptoWall [18] และ BitCrypt [19] ซึ่งสะท้อนให้เห็นว่าผู้ไม่หวังดีที่อยู่เบื้องหลังของการเผยแพร่มัลแวร์เหล่านี้ สามารถทำรายได้จากการที่ผู้ใช้ยอมชำระเงินเป็นจำนวนไม่น้อย

สรุป

CryptoLocker เป็นมัลแวร์ประเภท Ransomware ตัวหนึ่งที่พบการแพร่ระบาดในวงกว้าง และทำให้เกิด Ransomware สายพันธุ์อื่น ๆ แพร่ระบาดตามมาเป็นจำนวนมากตั้งแต่ช่วงปลายปี 2556 ซึ่งมัลแวร์เหล่านี้อาจทำให้ผู้ใช้สูญเสียข้อมูลสำคัญทั้งหมดในเครื่องคอมพิวเตอร์ได้ ดังนั้นวิธีการป้องกันไม่ให้เกิดการสูญเสียข้อมูลที่ง่ายและดีที่สุดก็คือการ Backup ข้อมูลลงในอุปกรณ์ที่ปกติไม่ได้เชื่อมต่อกับคอมพิวเตอร์หรือระบบภายนอก ติดตั้งโปรแกรมป้องกันไวรัส อัปเดตโปรแกรมและระบบปฏิบัติการอย่างสม่ำเสมอ รวมถึงการไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย ซึ่งล้วนแล้วแต่เป็นวิธีปฏิบัติพื้นฐานในการป้องกันตนเองจากเหตุภัยคุกคามด้านสารสนเทศที่อาจเกิดขึ้นได้ทุกเมื่อ

อ้างอิง

  1. http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan%3aWin32%2fReveton#tab=1
  2. http://www.computerworld.com/s/article/9215711/Ransomware_squeezes_users_with_bogus_Windows_activation_demand
  3. http://www.examiner.com/article/crypto-locker-virus-hijacks-your-computer-makes-you-pay-300-ransom-what-to-do
  4. http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose
  5. http://en.wikipedia.org/wiki/Domain_generation_algorithm
  6. http://www.securelist.com/en/blog/208214109/Cryptolocker_Wants_Your_Money
  7. http://www.bleepingcomputer.com/forums/t/512668/cryptolocker-developers-charge-10-bitcoins-to-use-new-decryption-service
  8. http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#prevent
  9. https://www.decryptcryptolocker.com
  10. http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge
  11. http://www.fireeye.com/blog/corporate/2014/08/your-locker-of-information-for-cryptolocker-decryption.html
  12. http://en.wikipedia.org/wiki/System_Restore
  13. http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#shadow
  14. http://www.bleepingcomputer.com/virus-removal/cryptorbit-ransomware-information
  15. http://thehackernews.com/2013/12/locker-malware-yet-another-new-variant.html
  16. http://www.pandasecurity.com/mediacenter/malware/powerlocker
  17. http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information
  18. http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
  19. http://blog.trendmicro.com/trendlabs-security-intelligence/ransomware-and-bitcoin-theft-combine-in-bitcrypt
Clear