วิธีรับมือไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker
15 พ.ค. 2560 เวลา 19:34 | อ่าน 5,201
การติดไวรัส Crypt0L0cker สามารถติดได้ทั้งทาง Website Email (เจอบ่อยที่สุด) จะได้รับอีเมลใบสั่งซื้อสินค้า หรืออีเมลแจ้งการติดตามพัสดุของบริษัทขนส่งสินค้าชื่อดัง โดยที่จะมีข้อความหลอกลวงคล้ายคลึงกับอีเมลสั่งซื้อสินค้าจริงๆ โดยในอีเมลจะมีการแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF และการลามผ่านทาง Network หรือ USB เรียกได้ว่าสามารถติดได้ทุกช่องทาง (ภาพตัวอย่างอีเมล์) ลักษณะจะมาเป็นไฟล์ zip เมื่อกดเปิดจะโดนล็อคทันที
ทราบได้อย่างไรว่าเครื่องเราโดนไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker
เมื่อเครื่องเราติดไวรัส สามารถสังเกตได้โดยชื่อไฟล์ เอกสาร.xls กลายเป็น เอกสาร.XLS.dsdaojg หรือ Kitty หรือชื่ออื่นๆ เมื่อเราลอง Rename นามสกุลไฟล์ .dsdaojg กลับมาเป็น xls เหมือนเดิม ก็ไม่สามารถเปิดไฟล์เอกสารได้ (หรือเปิดแล้วเป็นตัวอักษรต่างดาว) อีกอาการคือ จะมีไฟล์ชื่อ HELP_DECRYPT ขึ้นมาในทุกๆโฟลเดอร์ที่ไฟล์โดนเข้ารหัส (ดังตัวอย่างในภาพ) จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่าย รวมถึงข้อมูลใน Dropbox / Google Drive ก็ถูกเข้ารหัสลับด้วยเช่นกัน
สิ่งที่ต้องทำเมื่อโดนไวรัส Crypt0L0cker ให้แยกเครื่องดังกล่าวออกจาก network ทันที เพื่อป้องกันการแพร่ระบาดสู่เครื่องอื่นในวงแลน รวมทั้งไม่ควรนำ External HDD หรือ Flash Drive ที่มีข้อมูล มาทดลองต่อ เพราะอาจติดไปด้วย รีบ Copy เอาไฟล์ข้อมูลที่ยังไม่โดนล็อคออกมาก่อน
วิธีการกู้ไฟล์ที่โดนเข้ารหัสกลับคืน สิ่งที่เราแนะนำเป็นอย่างแรกเลยคือ การทำใจเพราะโอกาสได้คืนน้อยมาก ไวรัสเข้ารหัสทำการเข้ารหัสไฟล์ด้วย RSA 2048 bit จึงไม่มีทางกู้คืนไฟล์ข้อมูลได้เลย ยอมเสียไฟล์และ Format ทิ้งไป เราแนะนำทางออกดังนี้
- สำหรับ Window Server ตรวจสอบว่าได้มีการเปิด Feature Shadow Copy ไว้หรือไม่ หากเปิดไว้ สามารถ Restore ไฟล์กลับคืนได้
- ลองดาวน์โหลดเครื่องมือถอดรหัสดังต่อไปนี้ Kaspersky / Fisheye / Cisco (เนื่องจากไวรัสเรียกค่าไถ่มีหลายชนิด หากไม่ตรงกันจะไม่สามารถถอดได้)
- ทางเลือกสุดท้าย หากต้องการกู้ไฟล์ข้อมูลกลับคืน จ่ายเงินค่าไถ่ไฟล์คืนให้แฮกเกอร์ เริ่มต้นที่ 10,000 บาท หากอิดออดจ่ายช้า โปรแกรมจะเรียกเงินสูงขึ้นไปเรื่อยๆ เฉลี่ยอยูที่ประมาณ 20,000 บาท (เนื่องจากเป็นการเก็บสถิติจากลูกค้าและเว็บไซต์บางคนที่ยอมเงินเพื่อแลกตัวถอดรหัสไฟล์ เราไม่รับผิดชอบ หากจ่ายแล้วไม่ได้ไฟล์ ผู้อ่านจะต้องตัดสินใจเสี่ยงเอง)
เครดิตภาพจากคุณ doggone เว็บไซต์ Pantip
จากภาพด้านล่าง เหยื่อไวรัสตัดสินใจจ่ายเงินค่าไถ่ไฟล์ เป็นเงิน Bitcoin ประมาณ 16,000 บาทแลกกับไฟล์สำคัญที่มีคุณค่าทางใจกับคืน หลังจากการจ่าย แฮกเกอร์จะตรวจสอบและส่งไฟล์ถอดรหัส Decrypt.zip มาให้ เมื่อเราทำการแตกไฟล์ จะสามารถเลือกไดรฟ์และถอดรหัสไฟล์กลับคืนได้ การจ่ายเงินเพื่อถอดรหัสไฟล์แต่ละชนิดแตกต่างกันไป ต้องอ่านตามวิธีที่ไวรัสแจ้งไว้เอง แต่ค่นข้างใกล้เคียงกับด้านล่าง
แนวทางป้องกันไวรัสเรียกค่าไถ่ Ransomware Crypt0L0cker
- ควรจะหมั่นสำรองข้อมูล ของคุณเก็บไว้ที่อื่นบ้าง เผื่อวันไหน ต่อให้ไม่โดน Ransomware แต่ Hard Disk พัง ก็ข้อมูลหายเหมือนกันอยู่ดี ดังนั้นการ Backup คือการป้องกันที่ดีที่สุด แนะนำให้หา Harkdisk อีก 1 ลูกทำหน้าที่ Backup ไฟล์งาน หรือรูป อยู่เสมอๆ รวมไปถึงการใช้บริการ Cloud Storage อย่าง Dropbox ในการเก็บไฟล์ด้วย จะทำให้ มีความปลอดภัยมากยิ่งขึ้น
- ให้ดาวน์โหลดเครื่องมือมาติดตั้งที่ Server และ Client ตามนี้ คลิ๊กเพื่อดาวน์โหลด
- Add blacklist ใน Firewall เพื่อ block URL ดังต่อไปนี้
http://tkj3higtqlvohs7z.oe92jfee23.com http://tkj3higtqlvohs7z.feoks62f22.com https://tkj3higtqlvohs7z.s5.tor-gateways.de http://torproject.org http://tkj3higtqlvohs7z.onion/
38.229.72.12
86.59.30.40
82.195.75.101
46.4.123.73
173.245.58.245
173.245.59.115
173.245.58.185
173.245.59.205
62.141.32.2
62.241.33.128
62.141.34.2
…
รวมถึงการตั้งค่า Block ไฟล์ zip หรือไฟล์นามสกุลแปลกๆไปเลย หากองค์กรไม่มีความจำเป็นต้องใช้ไฟล์เหล่านั้น
อย่างไรก็ดี การแก้ไขปัญหาดังกล่าวเป็นเพียงจุดเล็กๆอย่างหนึ่งที่เราสามารถทำได้เท่านั้น เพราะในภายหน้าก็ต้องมีไวรัสใหม่ๆ พัฒนาเปลี่ยนรูปแบบออกมาอยู่ดี ซึ่งเราไม่สามารถใช้เทคนิคนี้ป้องกันได้ตลอด สำหรับองค์กร การจัดเทรนนิ่งให้ความรู้ภายในองค์กร และการส่งจดหมายข่าวแจ้งเตือน เพื่อให้ความรู้กับ user เกี่ยวกับไวรัสใหม่ๆ เป็นเรื่องที่สำคัญที่สุด แถมยังช่วยให้ฝ่ายไอทีมีความสัมพันธ์อันดีกับพนักงานอีกด้วย
คำถามที่พบบ่อย
แก้ไวรัส โดยไม่จ่ายเงินให้โจรได้หรือไม่?
- แก้ได้ โดยใช้โปรแกรม Antivirus ทั่วไป แต่ไฟล์ยังคงโดยล็อคไว้เหมือนเดิม
แล้วถ้าต้องการกู้ไฟล์ ทำได้หรือไม่?
- แล็บกู้ข้อมูลไม่สามารถกู้ได้ครับ เพราะไม่มีคีย์สำหรับถอดรหัสไฟล์ ต้องจ่ายเงินค่าไถ่ให้โจร เคสนี้ใครเจอกับตัวเจ็บใจมาก
แล็บกู้ข้อมูลต่างประเทศกู้ได้หรือไม่?
- ไม่ได้เช่นกันครับ
ตำรวจจับไม่ได้เหรอ?
- แฮกเกอร์พวกนี้อยู่ที่ไหนไม่รู้เหมือนกัน แต่หวังพึ่งตำรวจคงยาก เพราะเมื่อช่วงสงกรานต์ที่ผ่านมามีข่าวว่า เซิร์ฟเวอร์ตำรวจสหรัฐฯ ก็ถูกเข้ารหัสข้อมูล ต้องยอมจ่ายเงินค่าถอดรหัส
รู้ได้ไงว่าจ่ายเงินให้โจรแล้ว จะได้ข้อมูลคืน?
- ต้องเสี่ยงเอาครับ
จะป้องกันไม่ให้โดนอีกได้ยังไง?
- เครื่องมือและโปรแกรม AntiVirus ที่อัพเดทอยู่สม่ำเสมอ สามารถช่วยได้บ้าง สิ่งสำคัญคือผู้ใช้ต้องไม่เปิดไฟล์แปลกๆจากคนที่รู้จักครับ โดยเฉพาะไฟล์ zip หรือไฟล์แปลกๆต่างๆที่ส่งมาทางเมล์
บริการที่แนะนำสำหรับป้องกันไฟล์สำคัญหาย
- พื้นที่เก็บข้อมูลออนไลน์
..
บทความโดย ศูนย์กู้ข้อมูล ATL Recovery / ภาพประกอบจาก thaiadmin , pantip, http://www.ict.in.th/
ทราบได้อย่างไรว่าเครื่องเราโดนไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker
เมื่อเครื่องเราติดไวรัส สามารถสังเกตได้โดยชื่อไฟล์ เอกสาร.xls กลายเป็น เอกสาร.XLS.dsdaojg หรือ Kitty หรือชื่ออื่นๆ เมื่อเราลอง Rename นามสกุลไฟล์ .dsdaojg กลับมาเป็น xls เหมือนเดิม ก็ไม่สามารถเปิดไฟล์เอกสารได้ (หรือเปิดแล้วเป็นตัวอักษรต่างดาว) อีกอาการคือ จะมีไฟล์ชื่อ HELP_DECRYPT ขึ้นมาในทุกๆโฟลเดอร์ที่ไฟล์โดนเข้ารหัส (ดังตัวอย่างในภาพ) จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่าย รวมถึงข้อมูลใน Dropbox / Google Drive ก็ถูกเข้ารหัสลับด้วยเช่นกัน
สิ่งที่ต้องทำเมื่อโดนไวรัส Crypt0L0cker ให้แยกเครื่องดังกล่าวออกจาก network ทันที เพื่อป้องกันการแพร่ระบาดสู่เครื่องอื่นในวงแลน รวมทั้งไม่ควรนำ External HDD หรือ Flash Drive ที่มีข้อมูล มาทดลองต่อ เพราะอาจติดไปด้วย รีบ Copy เอาไฟล์ข้อมูลที่ยังไม่โดนล็อคออกมาก่อน
วิธีการกู้ไฟล์ที่โดนเข้ารหัสกลับคืน สิ่งที่เราแนะนำเป็นอย่างแรกเลยคือ การทำใจเพราะโอกาสได้คืนน้อยมาก ไวรัสเข้ารหัสทำการเข้ารหัสไฟล์ด้วย RSA 2048 bit จึงไม่มีทางกู้คืนไฟล์ข้อมูลได้เลย ยอมเสียไฟล์และ Format ทิ้งไป เราแนะนำทางออกดังนี้
- สำหรับ Window Server ตรวจสอบว่าได้มีการเปิด Feature Shadow Copy ไว้หรือไม่ หากเปิดไว้ สามารถ Restore ไฟล์กลับคืนได้
- ลองดาวน์โหลดเครื่องมือถอดรหัสดังต่อไปนี้ Kaspersky / Fisheye / Cisco (เนื่องจากไวรัสเรียกค่าไถ่มีหลายชนิด หากไม่ตรงกันจะไม่สามารถถอดได้)
- ทางเลือกสุดท้าย หากต้องการกู้ไฟล์ข้อมูลกลับคืน จ่ายเงินค่าไถ่ไฟล์คืนให้แฮกเกอร์ เริ่มต้นที่ 10,000 บาท หากอิดออดจ่ายช้า โปรแกรมจะเรียกเงินสูงขึ้นไปเรื่อยๆ เฉลี่ยอยูที่ประมาณ 20,000 บาท (เนื่องจากเป็นการเก็บสถิติจากลูกค้าและเว็บไซต์บางคนที่ยอมเงินเพื่อแลกตัวถอดรหัสไฟล์ เราไม่รับผิดชอบ หากจ่ายแล้วไม่ได้ไฟล์ ผู้อ่านจะต้องตัดสินใจเสี่ยงเอง)
เครดิตภาพจากคุณ doggone เว็บไซต์ Pantip
จากภาพด้านล่าง เหยื่อไวรัสตัดสินใจจ่ายเงินค่าไถ่ไฟล์ เป็นเงิน Bitcoin ประมาณ 16,000 บาทแลกกับไฟล์สำคัญที่มีคุณค่าทางใจกับคืน หลังจากการจ่าย แฮกเกอร์จะตรวจสอบและส่งไฟล์ถอดรหัส Decrypt.zip มาให้ เมื่อเราทำการแตกไฟล์ จะสามารถเลือกไดรฟ์และถอดรหัสไฟล์กลับคืนได้ การจ่ายเงินเพื่อถอดรหัสไฟล์แต่ละชนิดแตกต่างกันไป ต้องอ่านตามวิธีที่ไวรัสแจ้งไว้เอง แต่ค่นข้างใกล้เคียงกับด้านล่าง
แนวทางป้องกันไวรัสเรียกค่าไถ่ Ransomware Crypt0L0cker
- ควรจะหมั่นสำรองข้อมูล ของคุณเก็บไว้ที่อื่นบ้าง เผื่อวันไหน ต่อให้ไม่โดน Ransomware แต่ Hard Disk พัง ก็ข้อมูลหายเหมือนกันอยู่ดี ดังนั้นการ Backup คือการป้องกันที่ดีที่สุด แนะนำให้หา Harkdisk อีก 1 ลูกทำหน้าที่ Backup ไฟล์งาน หรือรูป อยู่เสมอๆ รวมไปถึงการใช้บริการ Cloud Storage อย่าง Dropbox ในการเก็บไฟล์ด้วย จะทำให้ มีความปลอดภัยมากยิ่งขึ้น
- ให้ดาวน์โหลดเครื่องมือมาติดตั้งที่ Server และ Client ตามนี้ คลิ๊กเพื่อดาวน์โหลด
- Add blacklist ใน Firewall เพื่อ block URL ดังต่อไปนี้
http://tkj3higtqlvohs7z.oe92jfee23.com http://tkj3higtqlvohs7z.feoks62f22.com https://tkj3higtqlvohs7z.s5.tor-gateways.de http://torproject.org http://tkj3higtqlvohs7z.onion/
38.229.72.12
86.59.30.40
82.195.75.101
46.4.123.73
173.245.58.245
173.245.59.115
173.245.58.185
173.245.59.205
62.141.32.2
62.241.33.128
62.141.34.2
…
รวมถึงการตั้งค่า Block ไฟล์ zip หรือไฟล์นามสกุลแปลกๆไปเลย หากองค์กรไม่มีความจำเป็นต้องใช้ไฟล์เหล่านั้น
อย่างไรก็ดี การแก้ไขปัญหาดังกล่าวเป็นเพียงจุดเล็กๆอย่างหนึ่งที่เราสามารถทำได้เท่านั้น เพราะในภายหน้าก็ต้องมีไวรัสใหม่ๆ พัฒนาเปลี่ยนรูปแบบออกมาอยู่ดี ซึ่งเราไม่สามารถใช้เทคนิคนี้ป้องกันได้ตลอด สำหรับองค์กร การจัดเทรนนิ่งให้ความรู้ภายในองค์กร และการส่งจดหมายข่าวแจ้งเตือน เพื่อให้ความรู้กับ user เกี่ยวกับไวรัสใหม่ๆ เป็นเรื่องที่สำคัญที่สุด แถมยังช่วยให้ฝ่ายไอทีมีความสัมพันธ์อันดีกับพนักงานอีกด้วย
คำถามที่พบบ่อย
แก้ไวรัส โดยไม่จ่ายเงินให้โจรได้หรือไม่?
- แก้ได้ โดยใช้โปรแกรม Antivirus ทั่วไป แต่ไฟล์ยังคงโดยล็อคไว้เหมือนเดิม
แล้วถ้าต้องการกู้ไฟล์ ทำได้หรือไม่?
- แล็บกู้ข้อมูลไม่สามารถกู้ได้ครับ เพราะไม่มีคีย์สำหรับถอดรหัสไฟล์ ต้องจ่ายเงินค่าไถ่ให้โจร เคสนี้ใครเจอกับตัวเจ็บใจมาก
แล็บกู้ข้อมูลต่างประเทศกู้ได้หรือไม่?
- ไม่ได้เช่นกันครับ
ตำรวจจับไม่ได้เหรอ?
- แฮกเกอร์พวกนี้อยู่ที่ไหนไม่รู้เหมือนกัน แต่หวังพึ่งตำรวจคงยาก เพราะเมื่อช่วงสงกรานต์ที่ผ่านมามีข่าวว่า เซิร์ฟเวอร์ตำรวจสหรัฐฯ ก็ถูกเข้ารหัสข้อมูล ต้องยอมจ่ายเงินค่าถอดรหัส
รู้ได้ไงว่าจ่ายเงินให้โจรแล้ว จะได้ข้อมูลคืน?
- ต้องเสี่ยงเอาครับ
จะป้องกันไม่ให้โดนอีกได้ยังไง?
- เครื่องมือและโปรแกรม AntiVirus ที่อัพเดทอยู่สม่ำเสมอ สามารถช่วยได้บ้าง สิ่งสำคัญคือผู้ใช้ต้องไม่เปิดไฟล์แปลกๆจากคนที่รู้จักครับ โดยเฉพาะไฟล์ zip หรือไฟล์แปลกๆต่างๆที่ส่งมาทางเมล์
บริการที่แนะนำสำหรับป้องกันไฟล์สำคัญหาย
- พื้นที่เก็บข้อมูลออนไลน์
..
บทความโดย ศูนย์กู้ข้อมูล ATL Recovery / ภาพประกอบจาก thaiadmin , pantip, http://www.ict.in.th/
มาใหม่
ทหารอาสา คืออะไร
1,774 17 ก.พ. 2569
กอช. เติมความรักต้อนรับวาเลนไทน์ จับมือ 3 พันธมิตร TrueMoney - myAIS - ShopeePay ชวนคนไทยออมเงินสร้างบำนาญ
37 16 ก.พ. 2569
กรมบัญชีกลางอำนวยความสะดวกให้ข้าราชการและลูกจ้างประจำ ตรวจสอบข้อมูลเงินได้และภาษีหัก ณ ที่จ่าย ปี 68 ผ่านระบบ D-MyTax ก่อนยื่นภาษี
65 10 ก.พ. 2569
กอช. จับมือ my AIS ร่วมส่งเสริมการออม จัดแคมเปญ “ออมเงินง่ายๆ อุ่นใจได้ลุ้นทอง” รางวัลมูลค่ารวมกว่า 200,000 บาท
87 23 ม.ค. 2569
SME D Bank เคียงข้างช่วยเอสเอ็มอีไทย เดินหน้าจัด “SME D Market” ตลอดปี 2569 ประเดิม 26-28 ม.ค.นี้ รวมสุดยอดสินค้าดีให้ชอปจุใจ ปลุกพลังเศรษฐกิจให้คึกคัก
83 23 ม.ค. 2569
คุณสมบัติผู้ที่สามารถสมัครสอบภาค ก. ปี 2569 ได้ที่นี่ ใครสอบได้บ้าง วุฒิไหนที่เปิดสอบบ้าง มาดูกันเลย
170 12 ม.ค. 2569
กรุงไทย ส่งต่อความสุขวันเด็กแห่งชาติ 2569 ชวนเด็กไทยออมเงินอย่างสนุก
113 10 ม.ค. 2569
ธอส. มอบของขวัญปีใหม่ตอบแทนลูกค้าผ่อนชำระดี 48 เดือน รับเงิน 1,000 บาท
543 26 ธ.ค. 2568
กระทรวงการคลังย้ำ ใช้จ่ายคนละครึ่ง พลัส ภายในวันที่ 31 ธันวาคม 2568
168 26 ธ.ค. 2568
กรมทางหลวง แนะนำเส้นทางเลือกจากกรุงเทพฯ สู่ภูมิภาคต่าง ๆ ช่วงเทศกาลปีใหม่ 2569 เพื่อให้ผู้ใช้ทางได้รับความสะดวกรวดเร็วในการเดินทาง
503 26 ธ.ค. 2568
English
TOEIC กับ การขึ้นเงินเดือน
GED VS กศน ไทย (สอบเทียบไทย)
แนะนำที่เรียน IELTS ยอดนิยม ของ เด็กอินเตอร์
TOEIC Online
GED
CU-TEP
SAT
บทความกลุ่มเดียวกัน