Trend Micro Security Alert! Ransomware มัลแวร์เรียกค่าไถ่ข้อมูลแพร่กระจายสู่พื้นที่ใหม่ๆ

          แม้ว่าจะมีการตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) อย่างกว้างขวางในบางภูมิภาค เช่น ทวีปอเมริกาเหนือ และยุโรป ก็ยังพบว่ามีการเพิ่มขึ้นอย่างรวดเร็วของกรณีคล้ายกันในภูมิภาคอื่นๆ ตัวอย่างเช่น มีการพบเจอ Critroni หรือ Curve-Tor-Bitcoin (CTB) Locker ซึ่งเป็นมัลแวร์ crypto-locker รุ่นเก่า ในทวีปเอเชีย ถึงแม้ว่าจำนวนการตรวจพบในพื้นที่ใหม่ๆ เหล่านี้จะยังมีไม่มาก แต่ก็อาจเป็นสัญญาณที่บ่งบอกถึงการแพร่กระจายที่เพิ่มมากขึ้นของมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลในอนาคตอันใกล้
Ransomware หรือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลคืออะไร?
          Ransomware เป็นมัลแวร์ชนิดหนึ่งที่มีพฤติกรรมไม่เหมือนกับมัลแวร์อื่นๆ Ransomware นี้จะทำการเข้าหรือล็อกไฟล์เอกสารหรือข้อมูลในเครื่อง (เรียกว่าCryptoLocker) ของผู้ใช้ด้วยรหัส ซึ่งจะส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์หรือคอมพิวเตอร์ได้ จากนั้นก็จะส่งข้อความ “เรียกค่าไถ่” ไปยังเจ้าของข้อมูลนั้นๆ เพื่อให้เจ้าของข้อมูลโอนเงินให้แก่ผู้ควบคุมมัลแวร์เพื่อแลกกับการถอดรหัสเพื่อกู้ข้อมูลคืนมา มัลแวร์ชนิดนี้จะมากับอีเมล์ที่มีไฟล์แนบที่มีชื่อ TOR, Invoice และอื่นๆ ซึ่งถ้าผู้ใช้งานเผลอ/พลาดไปเปิดไฟล์นั้นเข้า มัลแวร์ชนิดนี้ก็จะทำการ encrypted files ของเครื่องนั้นทันที
          Ransomware เป็นมัลแวร์ที่มีหลายสายพันธุ์ และจัดเป็น Zero-day การจะกำจัดนั้นจะต้องได้ตัวอย่างของสายพันธุ์ที่ได้ระบบได้รับการแพร่กระจายมา โดยการกำจัดจะต้องออกแพทเทิร์นในการกำจัดแบบ 1 แพทเทิร์น : 1 สายพันธุ์ หากเป็นสายพันธุ์ที่ทางเทรนด์ไมโครมีตัวอย่างอยู่แล้ว เพียงอัพเดทแพทเทิร์นก็จะสามารถป้องกันได้

CTB Locker แตกต่างอย่างไรจาก Crypto-Ransomware แบบอื่นๆ?
          CTB Locker ทั่วไปขอให้ผู้ใช้จ่าย 3 Bitcoin (มูลค่าเท่ากับ 732.95 ดอลลาร์สหรัฐฯ)
          ไม่จำเป็นต้องใช้อินเทอร์เน็ตในการเข้ารหัสไฟล์ สามารถทำงานได้แม้กระทั่งในกรณีที่ไม่มีการเชื่อมต่อ
          ยอมถอดรหัส 5 ไฟล์ให้ฟรี
          ยืดกำหนดเส้นตายในการจ่ายค่าไถ่สำหรับไฟล์ที่ถูกเข้ารหัส
          เปิดโอกาสให้เหยื่อเลือกภาษาสำหรับข้อความเรียกค่าไถ่

ผู้ใช้ติดมัลแวร์ CTB Locker ได้อย่างไร?
          เหยื่อได้รับสแปมเมล์ที่มีมัลแวร์แฝงอยู่
          มัลแวร์ดังกล่าวดาวน์โหลด CTB Locker
          CBT Locker เข้ารหัสไฟล์ของเหยื่อ
          เหยื่อได้รับข้อความระบุยอดค่าไถ่และกำหนดเส้นตายสำหรับการจ่ายค่าไถ่
          จากนั้นเหยื่อจะต้องจ่ายเงิน Bitcoin ผ่านทาง TOR

ผลกระทบจาก CTB Locker ในภูมิภาคใหม่ๆ
          ด้านล่างนี้คือรายชื่อประเทศที่ได้รับผลกระทบมากที่สุด นอกเหนือจากสหรัฐฯ และยุโรป ตะวันออกกลาง และแอฟริกา (EMEA) สาเหตุของปัญหาแตกต่างกันไป แต่โดยมากแล้ว เกิดจากนิสัยการท่องเว็บที่ไม่เหมาะสม และไม่ได้ติดตั้งโซลูชั่นรักษาความปลอดภัยที่มีประสิทธิภาพและทันสมัย
          อินเดีย
          ไทย
          อินโดนีเซีย
          ไต้หวัน
          เวียดนาม
          มาเลเซีย
          ฟิลิปปินส์
          ออสเตรเลีย
          ฮ่องกง
          เกาหลีใต้
          สิงคโปร์
          นิวซีแลนด์
ในกรณีที่ผู้ใช้ติดมัลแวร์ CTB Locker แล้ว จะยังคงสามารถกู้คืนข้อมูลได้หรือไม่?
          แม้ว่ามัลแวร์จะอ้างว่าจะถอดรหัสไฟล์ข้อมูลคืนให้หลังจากที่ได้รับเงิน แต่ในความเป็นจริงแล้ว มีโอกาสน้อยมากที่จะได้รับข้อมูลกลับคืน แม้ว่าผู้ใช้จะยอมจ่ายค่าไถ่ให้ก็ตาม วิธีที่ดีที่สุดก็คือ การป้องกัน Ransomware ประเภทนี้เสียแต่เนิ่นๆ
ผู้ใช้จะสามารถหลีกเลี่ยงการติดมัลแวร์ CTB Locker ได้อย่างไร?
ผู้ใช้สามารถดำเนินการดังนี้:
          หลีกเลี่ยงการคลิกลิงค์ที่น่าสงสัย
          แบ็คอัพข้อมูลสำคัญ
          ตรวจสอบชื่อผู้ส่งอีเมล
          ตรวจสอบเนื้อหาและไฟล์แนบในอีเมล์อย่างรอบคอบ
          อัพเดตซอฟต์แวร์ให้ทันสมัย
          “เราตรวจพบมัลแวร์ใหม่ๆ อย่างต่อเนื่อง รวมถึงพฤติกรรมที่เปลี่ยนแปลงไปของมัลแวร์เรียกค่าไถ่ข้อมูล และเราได้พัฒนาโซลูชั่นใหม่ๆ เพื่อรับมือกับมัลแวร์เหล่านี้ การแพร่ระบาดของมัลแวร์ที่เกิดขึ้นในพื้นที่ใหม่ๆ ในตอนนี้แสดงให้เห็นว่า มัลแวร์ชนิดนี้ก่อให้เกิดผลกระทบเพิ่มมากขึ้นอย่างต่อเนื่อง เราจึงขอแนะนำให้ทุกคนใช้ความระมัดระวังอย่างสูงสุด”
          —พอล โอลิเวเรีย ผู้จัดการฝ่ายสื่อสารเทคนิคของ TrendLabs

Trend Micro Security Alert! Ransomware มัลแวร์เรียกค่าไถ่ข้อมูลแพร่กระจายสู่พื้นที่ใหม่ๆ

ข่าวมัลแวร์เรียกค่าไถ่+Trend Microวันนี้