Tags:
Node Thumbnail

มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ (ransomware) มีหลายตัวระบาดทั่วโลกและมักดัดแปลงต่อๆ กันมาเป็นตระกูลต่างๆ ทีมงานของ FireEye เข้าใช้งานเว็บถอดรหัสไฟล์ของมัลแวร์ TesaCrypt พบว่าหน้าเว็บพยายามล่อให้เหยื่อของมัลแวร์จ่ายเงินด้วยการเปิดบริการถอดรหัสฟรีหนึ่งไฟล์ขนาดไม่เกิน 512KB ที่สำคัญคือมีหน้าเว็บ Message Center ให้บริการถามตอบกับเหยื่อ

เหยื่อจำนวนมากเข้าไปด่าทอคนร้ายซึ่งมักไม่ได้อะไรนอกจากคำด่ากลับมา บางคนยังไม่เข้าใจว่าเกิดอะไรขึ้นกับเครื่องของตัวเอง คนจำนวนหนึ่งพยายามต่อรองค่าไถ่บางคนสามารถต่อรองได้ถึง 150 ดอลลาร์ บางคนกลับต่อรองได้เพียง 250 ดอลลาร์ ทาง FireEye ระบุว่ามีกรณีที่จ่ายราคาเต็ม 1,000 ดอลลาร์ถึง 19 คน

FireEye พบว่ามีบัญชีบิทคอยน์ถูกสร้างขึ้นมาจากกลุ่ม TeslaCrypt จำนวน 1,231 บัญชีซึ่งอาจจะไม่เท่ากับจำนวนเหยื่อทั้งหมดแต่น่าจะใกล้เคียงกับจำนวนเหยื่อที่เข้าเว็บไปพยายามจ่ายเงิน ในจำนวนนี้มีคนจ่ายเงินจริง 163 รายการรวมเงิน 254.6 BTC หรือ 57,272 ดอลลาร์ และยังมีเหยื่อที่จ่ายเงินผ่าน PayPal My Cash Card อีก 19,250 ดอลลาร์ รวมช่วงเวลาเกือบสามเดือน คนร้ายกลุ่มนี้ได้เงินไป 76,522 ดอลลาร์

รายงานนี้พบว่าเหยื่อบางรายจ่ายเงินแล้วก็ยังไม่สามารถถอดรหัสได้ โดย TeslaCrypt อ้างว่าเหยื่อถูกมัลแวร์หลายตัวพร้อมกัน

ก่อนหน้านี้ทางซิสโก้รายงานกระบวนการทำงานของ TeslaCrypt พร้อมกับแจกเครื่องมือเพื่อกู้ไฟล์ในบางกรณีที่มัลแวร์ยังไม่ได้ลบกุญแจเข้ารหัสทิ้งไป

ที่มา - FireEye

alt="upic.me"

Get latest news from Blognone

Comments

By: pote2639
ContributoriPhoneWindows PhoneWindows
on 27 May 2015 - 03:14 #815617

(นอกเรี่อง) เข้าไปดูที่มา รูปสุดท้ายสุดเลย

แอบฮา 55

By: BLiNDiNG
AndroidUbuntuWindowsIn Love
on 27 May 2015 - 10:55 #815669 Reply to:815617
BLiNDiNG's picture

I have backups !!!

ฮาาาา

By: panurat2000
ContributorSymbianUbuntuIn Love
on 27 May 2015 - 05:59 #815624
panurat2000's picture

ในจำนวนนี้มีคนโดนเงินจริง 163 รายการ

โดนเงิน ?

By: eak1111 on 27 May 2015 - 08:17 #815636
eak1111's picture

แหม่....ทำเป็นระบบมากเลย มี support ด้วย

นับถือๆ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 27 May 2015 - 09:06 #815642

ทำไมต้องไปตั้งชื่อคล้ายๆบริษัทผลิตรถเป็นมิตรกับสิ่งแวดล้อม ทั้งที่การกระทำไม่ได้เป็นมิตรเลย=_=

By: HoLY CoMM@nDo on 27 May 2015 - 10:07 #815656
HoLY CoMM@nDo's picture

พวกไวรัสเรียกค่าไถ่ ไม่รู้วิธีนี้จะป้องกันได้หรือเปล่านะ?

ซึ่งเมื่อครั้งที่ผมยังเรียนอยู่ (ประมาณปี 2545) ผมก็เคยเจอไวรัสประเภททำลายไฟล์ .exe ซึ่งจัดว่าร้ายแรงมากในตอนนั้นสำหรับผม เพราะโดนทีถึงกับต้องลง Windows ใหม่กันเลย ลักษณะไวรัสคือมันจะเลือกทำลายเฉพาะไฟล์ .exe เท่านั้น ไฟล์นามสกุลอื่นไม่ยุ่งเลย โดยไฟล์ที่ติดเชื้อจะมีขนาดไฟล์แตกต่างจากไฟล์ปกติ ส่วนการทำงานของไวรัส จะเริ่มทำงานและกระจายตัวทันทีที่รันไฟล์ .exe ที่ติดเชื้อ แล้วแพร่กระจายทำลายไฟล์ .exe อย่างรวดเร็ว ภายในเวลาไม่นานก็จะทำให้โปรแกรมต่างๆ ทั้งของ Windows และโปรแกรมที่เราติดตั้ง ไม่สามารถใช้งานได้ และกลายเป็นไฟล์ติดเชื้อไปทั้งหมด และถ้าเอาไฟล์ .exe ที่ติดเชื้อแล้วไปรันที่คอมพิวเตอร์เครื่องอื่น มันก็จะกระจายทำลายไฟล์ .exe กับเครื่องนั้นๆ เช่นกัน

แต่สิ่งที่ผมสังเกตเห็นในตอนนั้นก็คือ ไฟล์ .exe ที่มีการ zip เอาไว้ รอดทั้งหมด!!

และด้วยเหตุนี้ ทำให้ผมคิดถึงกรณีไวรัสเรียกค่าไถ่ว่า มันจะมีประเภทไฟล์ไหนบ้างไหม? ที่มันยกเว้นและเลือกที่จะไม่เล่นงาน เช่น ไฟล์ซิบอย่าง .zip, .rar, .7z (ทั้งหมดหรืออย่างใดอย่างหนึ่ง เพื่อเอาไว้ส่งตัวแก้มาให้) เพราะถ้ามันยกเว้นไฟล์ที่มีนาสกุลเหล่านี้ แล้วไม่ล็อก/เข้ารหัสไฟล์ นั่นเท่ากับว่า เราสามารถนำไฟล์สำคัญทั้งหมด จับ zip ไฟล์เอาไว้ ก็จะทำให้รอดเงื้อมมือมัจจุราชหิวเงินได้ เหมือนกับกรณีไวรัสทำลายไฟล์ .exe หรือไม่?

อีกวิธีในการป้องกันที่ผมคิดคือ การล็อก Folder ไม่ให้ใคร Access เข้าไปยุ่ง Folder นั้นได้ อาจจะให้ Read only หรือปิดไม่ให้ Access เลย มันจะทำให้รอดพ้นจากไวรัสเรียกค่าไถ่นี้หรือไม่?

จาก 2 วิธีด้านบนนี้ ผมไม่รู้ว่าจะใช้ได้แค่ไหน แต่ก็เป็นแรวทางในการป้องกันเบื้องต้นที่จะไม่ให้ไวรัสมายุ่งไฟล์สำคัญของเรา แต่จะมีก็แค่นามสกุลไฟล์ที่ยกเว้นเท่านั้นแหละ ว่าแต่ละ Hacker มันยกเว้นไฟล์อะไรเป็นส่วนใหญ่

By: Bigta
ContributoriPhoneAndroidUbuntu
on 27 May 2015 - 10:35 #815666 Reply to:815656
Bigta's picture
  1. Ransomware ไม่ได้ encrypt ทุกไฟล์ครับ จะทำกับเฉพาะไฟล์บางนามสกุลเท่านั้น การ compress หรือเปลี่ยนนามสกุลไฟล์ก็อาจจะช่วยให้ไม่โดน encrypt ได้ แต่ก็ไม่ใช่ว่าจะรอดได้เสมอไป
  2. ถ้า Ransomware สามารถรันด้วยสิทธิ์ Admin ได้ก็เข้าไป encrypt ไฟล์ข้างในได้อยู่ดีครับ

เพราะงั้นควร Backup ไฟล์สำคัญเก็บไว้นอกเครื่องจะปลอดภัยกว่า