มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่มีเทคนิคสารพัดเพื่อขู่ให้เหยื่อจ่ายค่าไถ่ ก่อนหน้านี้มักเป็นการขู่ว่าพบข้อมูลผิดกฎหมายในเครื่อง แต่โดยทั่วไปแล้วหากเราสำรองข้อมูลเอาไว้ มัลแวร์เหล่านี้ก็สร้างความเสียหายได้ไม่มากนัก ล่าสุดมัลแวร์ Chimera เลือกขู่ที่จะเปิดเผยข้อมูลสู่สาธารณะเพื่อกดดันให้เหยื่อจ่ายเงินค่าไถ่

CryptoWall มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่ระบาดหนักสายหนึ่ง แถมกลุ่มพัฒนามีการอัพเกรดต่อเนื่อง มีช่องทางการติดที่หลากหลาย นับแต่อีเมล ไปจนถึงการซื้อโฆษณาหน้าเว็บ ตอนนี้ทาง Cyber Threat Alliance (CTA) ก็ออกรายงานวิเคราะห์ CryptoWall 3.0 และพบว่ามันสร้างความเสียหายไปแล้วจำนวนมาก

มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่หรือ ransomware ระบาดหนักขึ้นเรื่อยๆ ในช่วงไม่กี่ปีที่ผ่านมา เพราะความสามารถในการทำเงินที่ตรงไปตรงมากว่าการยิงสแปมหรือขายบริการ botnet เป้าหมายสำคัญหนึ่งคือออสเตรเลีย Delia Rickard รองประธานกรรมการการแข่งขันและคุ้มครองผู้บริโภค (Australian Competition and Consumer Commission - ACCS) ของออสเตรเลียออกมาระบุว่าภายในเวลาเพียงสองเดือน ทาง ACCS ได้รับเรื่องร้องเรียนจากเหยื่อของมัลแวร์เหล่านี้ถึง 2,500 ราย และมีผู้จ่ายค่าไถ่ไปแล้วมูลค่ากว่า 400,000 ดอลลาร์

TeslaCrypt มัลแวร์เรียกค่าไถ่ที่ระบาดหนักอีกตัวหนึ่งเริ่มมีรุ่นใหม่ออกมา เป็นรุ่น 2.0 จากเดิมที่มีการปรับเล็กๆ น้อยๆ เป็นระยะ รุ่นใหม่นี้ทาง Kaspersky รายงานว่ามีความเปลี่ยนแปลงที่เห็นได้ชัดหลายอย่าง

ประเด็นแรกที่เปลี่ยนคือหน้าจอแจ้งผู้ใช้ว่าตกเป็นเหยื่อของการเรียกค่าไถ่ จากเดิมเป็น GUI ของวินโดวส์ธรรมดา รุ่นใหม่นี้จะเป็นไฟล์ HTML แล้วเรียกเบราว์เซอร์ขึ้นมาแจ้งผู้ใช้ ที่น่าแปลกใจคือหน้าเว็บนี้เอามาจากมัลแวร์อีกตัวคือ CryptoWall 3.0 ทั้งหมด ยกเว้น URL จ่ายเงินที่เป็นของ TeslaCrypt เอง

ผู้สร้างมัลแวร์เรียกค่าไถ่ข้อมูล (ransomeware) Tox ประกาศเลิกกิจการและขอให้ผู้สนใจเสนอราคาซื้อกิจการต่อ

Tox เป็นกิจการแบบให้บริการกับผู้เผยแพร่มัลแวร์ โดยผู้เผยแพร่มัลแวร์สามารถตั้งราคาค่าไถ่ข้อมูลและหาทางทำให้เหยื่อถูกมัลแวร์เล่นงานด้วยวิธีการต่างๆ เมื่อมีเงินโอนเข้ามา ทาง Tox จะหักค่าบริการ 30%

การขายกิจการแบ่งออกเป็นสองแบบ คือ ขายเฉพาะซอฟต์แวร์แพลตฟอร์มและตัวมัลแวร์ หรือขายพร้อมกิจการ ฐานข้อมูลของผู้ที่ติดมัลแวร์เดิมและกุญแจเว็บ toxicola7qwv37qj.onion ไปด้วย เพื่อดำเนินการต่อ

เมื่อสัปดาห์ที่ผ่านมามัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ Locker ที่ติดอยู่ในเครื่องนับร้อยเครื่องถูกกระตุ้นให้ตื่นขึ้นมาเข้ารหัสไฟล์สำคัญในเครื่องทั้งหมด พร้อมกับเรียกค่าไถ่ 0.1BTC หรือประมาณ 24 ดอลลาร์

มัลแวร์ Locker ฝังอยู่ในเครื่องมากับไฟล์ติดตั้ง MineCraft ที่ถูกฝังมัลแวร์เอาไว้แล้วรอเวลาอยู่ในเครื่องนานนับเดือนก่อนจะกระตุ้นทุกเครื่องที่ติดมัลแวร์เปิดการทำงานขึ้นมาพร้อมๆ กัน

มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ (ransomware) มีหลายตัวระบาดทั่วโลกและมักดัดแปลงต่อๆ กันมาเป็นตระกูลต่างๆ ทีมงานของ FireEye เข้าใช้งานเว็บถอดรหัสไฟล์ของมัลแวร์ TesaCrypt พบว่าหน้าเว็บพยายามล่อให้เหยื่อของมัลแวร์จ่ายเงินด้วยการเปิดบริการถอดรหัสฟรีหนึ่งไฟล์ขนาดไม่เกิน 512KB ที่สำคัญคือมีหน้าเว็บ Message Center ให้บริการถามตอบกับเหยื่อ

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) กลายเป็นธุรกิจใต้ดินทำเงินได้อย่างมีประสิทธิภาพไปทั่วโลก ก่อนหน้านี้คนร้ายมักอาศัยการส่งอีเมลมาหลอกล่อให้เหยื่อดาวน์โหลดซอฟต์แวร์มารันบนเครื่อง แต่เมื่อกำไรเริ่มดีขึ้นมากๆ ตอนนี้ ZScaler ก็รายงานว่าพบการซื้อแบนเนอร์มาเพื่อติดตั้ง ransomware เข้าเครื่องของเหยื่อ

เมื่อวันที่ 29 เมษายนที่ผ่านมากรมสอบสวนคดีพิเศษหรือ DSI มีหนังสือแจ้งเตือนภายในหน่วยงานจากสำนักเทคโนโลยีและศูนย์ข้อมูลการตรวจสอบ ระบุถึงระดับการระบาดของมัลแวร์เรียกค่าไถ่ข้อมูล (ransomware) ที่กำลังระบาด ระบุว่าระบบเมลของ DSI เองสามารถลบกรองมัลแวร์เหล่านี้ได้ไปถึง 82 รายการ และยังมีการแจ้งปัญหาจากหน่วยงานต่างๆ อีกจำนวนมาก

ทาง DSI แนะนำในหน่วยงานว่าหากพบอีเมลจากคนที่ไม่รู้จัก หรือแม้จะรู้จักแต่ไม่รู้เหตุผลว่าจะส่งอีเมลมาทำไม ให้โทรสอบถามอีกครั้ง หากไม่สามารถยืนยันได้ว่าเจ้าตัวเป็นผู้ส่งจริงให้ลบอีเมลทิ้งเสีย

หลังมีข่าวเอกสารของ DSI ทาง ThaiCERT ออกมาแนะนำกระบวนการป้องกัน

เซิร์ฟเวอร์ที่แชร์กันของตำรวจสี่เมืองและสำนักงานนายอำเภออีกหนึ่งเมืองในรัฐเมนติดมัลแวร์ megacode หลังจากมีผู้ใช้ดาวน์โหลดไฟล์มารันบนเซิร์ฟเวอร์

ทางตำรวจยอมจ่ายเงิน 300 ยูโร หรือ 318 ดอลลาร์ผ่านบิตคอยน์เพื่อจะได้กุญแจถอดรหัสมาทำงานต่อไป

เจ้าหน้าที่ฝ่ายไอทีได้สำรองข้อมูลเอาไว้แล้ว แต่ช่องว่างของการออกแบบระบบสำรองข้อมูลทำให้ข้อมูลในเซิร์ฟเวอร์สำรองถูกเข้ารหัสไปพร้อมกัน ทางฝ่ายไอทีติดตั้งเซิร์ฟเวอร์ใหม่เพื่อให้แน่ใจว่ารอบต่อไปจะสามารถทำงานต่อได้ทันทีในกรณีติดมัลแวร์เช่นนี้

Kaspersky รายงานผลการวิเคราะห์การเข้ารหัสของมัลแวร์ TorLocker หรือชื่อที่ทางบริษัทเรียกคือ Trojan-Ransom.Win32.Scraper โดยตอนนี้พบสองรุ่นที่ระบาดคือ 1.0.1 และ 2.0 มุ่งโจมตีชาวญี่ปุ่น เรียกค่าไถ่ข้อมูลประมาณ 300 ดอลลาร์ โดยตอนนี้สามารถถอดรหัสไฟล์ได้บางส่วนแล้ว

มัลแวร์จะไล่ลบ system recovery point ของระบบ แล้วเข้ารหัสไฟล์รูปภาพ, วิดีโอ, เอกสาร, อิมเมจฮาร์ดดิสก์, และไฟล์บีบอัดแทบทุกสกุล ไปจนถึงไฟล์กุญแจเข้ารหัส จากนั้นจึงดาวน์โหลด Tor เพื่อเชื่อมต่อกับเซิร์ฟเวอร์แล้วเรียกค่าไถ่

Bromium Labs รายงานถึงมัลแวร์ที่เริ่มระบาดในช่วงหลังชื่อว่า TeslaCrypt มัลแวร์เรียกค่าไถ่ข้อมูล (ransomware) ที่ต่างจากมัลแวร์ประเภทเดียวกันในกลุ่มเพราะมันมุ่งเป้าไปที่ไฟล์เกมโดยเฉพาะ

มัลแวร์ตัวนี้อาศัยช่องโหว่ของ Flash ตั้งแต่ปี 2013 ร่วมกับช่องโหว่ใหม่ที่เพิ่งพบในปีนี้จากนั้นจึงติดตั้งซอฟต์แวร์ในเครื่องแล้วค้นหาไฟล์นามสกุลต่างๆ 185 นามสกุล เพื่อเข้ารหัส โดยมากกว่า 50 นามสกุลเป็นไฟล์เซฟเกม เช่น Call of Duty, Starcraft, Diablo, Fallout, Minecraft, Warcraft ฯลฯ แม้ว่าไฟล์เหล่านี้จะไม่ได้ทำอันตรายแต่เกมเมอร์จำนวนหนึ่งอาจจะยอมจ่ายเพราะต้องการเก็บสถิติ หรือเซฟเกมที่สำคัญๆ

มัลแวร์รูปแบบใหม่ที่ระบาดมากในช่วงหลังคือมัลแวร์แบบเรียกค่าไถ่ข้อมูล หรือ ransomware ที่เข้ารหัสข้อมูลในเครื่องแล้วแจ้งให้จ่ายเงินเพื่อขอรหัสผ่านมาปลดล็อกไฟล์ในเครื่อง

ก่อนหน้านี้มัลแวร์เหล่านี้มักใช้กระบวนการที่อ่อนแอ มัลแวร์บางตัวใช้กุญแจเข้ารหัสเดิมเสมอ ทำให้สามารถหากุญแจมาถอดรหัสได้ตามอินเทอร์เน็ต บางตัวอาจจะใช้กุญแจขนาดเล็ก ทำให้ถอดรหัสได้ง่าย หลายตัวติดต่อเซิร์ฟเวอร์เดิมตลอดเวลา