เว็บบอร์ดจังหวัดพระนครศรีอยุธยา

แนะนำขั้นตอนการทำงาน/แก้ไขปัญหา => ป้องกันไวรัส => ข้อความที่เริ่มโดย: นายอบ ที่ กันยายน 23, 2016, 11:10:12 AM

หัวข้อ: วิธีรับมือไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker ให้อยู่หมัด!
เริ่มหัวข้อโดย: นายอบ ที่ กันยายน 23, 2016, 11:10:12 AM
 
การติดไวรัส Crypt0L0cker สามารถติดได้ทั้งทาง Website Email (เจอบ่อยที่สุด) จะได้รับอีเมลใบสั่งซื้อสินค้า หรืออีเมลแจ้งการติดตามพัสดุของบริษัทขนส่งสินค้าชื่อดัง โดยที่จะมีข้อความหลอกลวงคล้ายคลึงกับอีเมลสั่งซื้อสินค้าจริงๆ โดยในอีเมลจะมีการแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF และการลามผ่านทาง Network หรือ USB เรียกได้ว่าสามารถติดได้ทุกช่องทาง (ภาพตัวอย่างอีเมล์) ลักษณะจะมาเป็นไฟล์ zip เมื่อกดเปิดจะโดนล็อคทันที

(http://www.atlrecovery.net/wp-content/uploads/2015/04/11149323_10204164919984323_4044988809745056238_n-510x906.jpg)

ทราบได้อย่างไรว่าเครื่องเราโดนไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker

เมื่อเครื่องเราติดไวรัส สามารถสังเกตได้โดยชื่อไฟล์ เอกสาร.xls กลายเป็น เอกสาร.XLS.dsdaojg หรือ Kitty หรือชื่ออื่นๆ เมื่อเราลอง Rename นามสกุลไฟล์ .dsdaojg กลับมาเป็น xls เหมือนเดิม ก็ไม่สามารถเปิดไฟล์เอกสารได้ (หรือเปิดแล้วเป็นตัวอักษรต่างดาว) อีกอาการคือ จะมีไฟล์ชื่อ HELP_DECRYPT ขึ้นมาในทุกๆโฟลเดอร์ที่ไฟล์โดนเข้ารหัส (ดังตัวอย่างในภาพ) จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่าย รวมถึงข้อมูลใน Dropbox / Google Drive ก็ถูกเข้ารหัสลับด้วยเช่นกัน

 
(http://www.atlrecovery.net/wp-content/uploads/2015/04/11124719_860020864044850_6572409754658007916_n-510x382.jpg)

 

สิ่งที่ต้องทำเมื่อโดนไวรัส Crypt0L0cker ให้แยกเครื่องดังกล่าวออกจาก network ทันที เพื่อป้องกันการแพร่ระบาดสู่เครื่องอื่นในวงแลน รวมทั้งไม่ควรนำ External HDD หรือ Flash Drive ที่มีข้อมูล มาทดลองต่อ เพราะอาจติดไปด้วย รีบ Copy เอาไฟล์ข้อมูลที่ยังไม่โดนล็อคออกมาก่อน

(http://www.atlrecovery.net/wp-content/uploads/2015/04/Trojan-Ransom_8-510x410.jpg)

 

วิธีการกู้ไฟล์ที่โดนเข้ารหัสกลับคืน สิ่งที่เราแนะนำเป็นอย่างแรกเลยคือ การทำใจเพราะโอกาสได้คืนน้อยมาก ไวรัสเข้ารหัสทำการเข้ารหัสไฟล์ด้วย RSA 2048 bit จึงไม่มีทางกู้คืนไฟล์ข้อมูลได้เลย ยอมเสียไฟล์และ Format ทิ้งไป เราแนะนำทางออกดังนี้

- สำหรับ Window Server ตรวจสอบว่าได้มีการเปิด Feature Shadow Copy ไว้หรือไม่ หากเปิดไว้ สามารถ Restore ไฟล์กลับคืนได้

- ลองดาวน์โหลดเครื่องมือถอดรหัสดังต่อไปนี้ Kaspersky / Fisheye / Cisco (เนื่องจากไวรัสเรียกค่าไถ่มีหลายชนิด หากไม่ตรงกันจะไม่สามารถถอดได้)

-

ทางเลือกสุดท้าย หากต้องการกู้ไฟล์ข้อมูลกลับคืน จ่ายเงินค่าไถ่ไฟล์คืนให้แฮกเกอร์ เริ่มต้นที่ 10,000 บาท หากอิดออดจ่ายช้า โปรแกรมจะเรียกเงินสูงขึ้นไปเรื่อยๆ เฉลี่ยอยูที่ประมาณ 20,000 บาท (เนื่องจากเป็นการเก็บสถิติจากลูกค้าและเว็บไซต์บางคนที่ยอมเงินเพื่อแลกตัวถอดรหัสไฟล์ เราไม่รับผิดชอบ หากจ่ายแล้วไม่ได้ไฟล์ ผู้อ่านจะต้องตัดสินใจเสี่ยงเอง)

เครดิตภาพจากคุณ doggone เว็บไซต์ Pantip

จากภาพด้านล่าง เหยื่อไวรัสตัดสินใจจ่ายเงินค่าไถ่ไฟล์ เป็นเงิน Bitcoin ประมาณ 16,000 บาทแลกกับไฟล์สำคัญที่มีคุณค่าทางใจกับคืน หลังจากการจ่าย แฮกเกอร์จะตรวจสอบและส่งไฟล์ถอดรหัส Decrypt.zip มาให้ เมื่อเราทำการแตกไฟล์ จะสามารถเลือกไดรฟ์และถอดรหัสไฟล์กลับคืนได้ การจ่ายเงินเพื่อถอดรหัสไฟล์แต่ละชนิดแตกต่างกันไป ต้องอ่านตามวิธีที่ไวรัสแจ้งไว้เอง แต่ค่นข้างใกล้เคียงกับด้านล่าง

(http://www.atlrecovery.net/wp-content/uploads/2015/04/1423386646-Untitled1-o-510x666.jpg)
(http://www.atlrecovery.net/wp-content/uploads/2015/04/1423386646-Untitled1-o-510x666.jpg)
(http://www.atlrecovery.net/wp-content/uploads/2015/04/1423386762-1JPG-o-510x382.jpg)
(http://www.atlrecovery.net/wp-content/uploads/2015/04/1423386890-2JPG-o-510x382.jpg)
(http://www.atlrecovery.net/wp-content/uploads/2015/04/1423387156-Untitled2-o.jpg)
(http://www.atlrecovery.net/wp-content/uploads/2015/04/1423387293-5JPG-o-510x382.jpg)

แนวทางป้องกันไวรัสเรียกค่าไถ่ Ransomware Crypt0L0cker

- ควรจะหมั่นสำรองข้อมูล ของคุณเก็บไว้ที่อื่นบ้าง เผื่อวันไหน ต่อให้ไม่โดน Ransomware แต่ Hard Disk พัง ก็ข้อมูลหายเหมือนกันอยู่ดี ดังนั้นการ Backup คือการป้องกันที่ดีที่สุด แนะนำให้หา Harkdisk อีก 1 ลูกทำหน้าที่ Backup ไฟล์งาน หรือรูป อยู่เสมอๆ รวมไปถึงการใช้บริการ Cloud Storage อย่าง Dropbox  ในการเก็บไฟล์ด้วย จะทำให้ มีความปลอดภัยมากยิ่งขึ้น

- ให้ดาวน์โหลดเครื่องมือมาติดตั้งที่ Server และ Client ตามนี้ คลิ๊กเพื่อดาวน์โหลด

 - Add blacklist ใน Firewall เพื่อ block URL ดังต่อไปนี้

.....tkj3higtqlvohs7z.oe92jfee23.com
.....tkj3higtqlvohs7z.feoks62f22.com
.....tkj3higtqlvohs7z.s5.tor-gateways.de
.....torproject.org
.....tkj3higtqlvohs7z.onion/
38.229.72.12
86.59.30.40
82.195.75.101
46.4.123.73
173.245.58.245
173.245.59.115
173.245.58.185
173.245.59.205
62.141.32.2
62.241.33.128
62.141.34.2


รวมถึงการตั้งค่า Block ไฟล์ zip หรือไฟล์นามสกุลแปลกๆไปเลย หากองค์กรไม่มีความจำเป็นต้องใช้ไฟล์เหล่านั้น

อย่างไรก็ดี การแก้ไขปัญหาดังกล่าวเป็นเพียงจุดเล็กๆอย่างหนึ่งที่เราสามารถทำได้เท่านั้น เพราะในภายหน้าก็ต้องมีไวรัสใหม่ๆ พัฒนาเปลี่ยนรูปแบบออกมาอยู่ดี ซึ่งเราไม่สามารถใช้เทคนิคนี้ป้องกันได้ตลอด สำหรับองค์กร การจัดเทรนนิ่งให้ความรู้ภายในองค์กร และการส่งจดหมายข่าวแจ้งเตือน เพื่อให้ความรู้กับ user เกี่ยวกับไวรัสใหม่ๆ เป็นเรื่องที่สำคัญที่สุด แถมยังช่วยให้ฝ่ายไอทีมีความสัมพันธ์อันดีกับพนักงานอีกด้วย

คำถามที่พบบ่อย

แก้ไวรัส โดยไม่จ่ายเงินให้โจรได้หรือไม่?

- แก้ได้ โดยใช้โปรแกรม Antivirus ทั่วไป แต่ไฟล์ยังคงโดยล็อคไว้เหมือนเดิม

แล้วถ้าต้องการกู้ไฟล์ ทำได้หรือไม่?

- แล็บกู้ข้อมูลไม่สามารถกู้ได้ครับ เพราะไม่มีคีย์สำหรับถอดรหัสไฟล์ ต้องจ่ายเงินค่าไถ่ให้โจร เคสนี้ใครเจอกับตัวเจ็บใจมาก

แล็บกู้ข้อมูลต่างประเทศกู้ได้หรือไม่?

- ไม่ได้เช่นกันครับ

ตำรวจจับไม่ได้เหรอ?

- แฮกเกอร์พวกนี้อยู่ที่ไหนไม่รู้เหมือนกัน แต่หวังพึ่งตำรวจคงยาก เพราะเมื่อช่วงสงกรานต์ที่ผ่านมามีข่าวว่า เซิร์ฟเวอร์ตำรวจสหรัฐฯ ก็ถูกเข้ารหัสข้อมูล ต้องยอมจ่ายเงินค่าถอดรหัส

รู้ได้ไงว่าจ่ายเงินให้โจรแล้ว จะได้ข้อมูลคืน?

- ต้องเสี่ยงเอาครับ

จะป้องกันไม่ให้โดนอีกได้ยังไง?

- เครื่องมือและโปรแกรม AntiVirus ที่อัพเดทอยู่สม่ำเสมอ สามารถช่วยได้บ้าง สิ่งสำคัญคือผู้ใช้ต้องไม่เปิดไฟล์แปลกๆจากคนที่รู้จักครับ โดยเฉพาะไฟล์ zip หรือไฟล์แปลกๆต่างๆที่ส่งมาทางเมล์

บริการที่แนะนำสำหรับป้องกันไฟล์สำคัญหาย

- พื้นที่เก็บข้อมูลออนไลน์

..

บทความโดยศูนย์กู้ข้อมูล ATL Recovery / ภาพประกอบจาก thaiadmin , pantip  (http://www.ict.in.th/news/?t=%E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B8%A3%E0%B8%B1%E0%B8%9A%E0%B8%A1%E0%B8%B7%E0%B8%AD%E0%B9%84%E0%B8%A7%E0%B8%A3%E0%B8%B1%E0%B8%AA%E0%B9%80%E0%B8%A3%E0%B8%B5%E0%B8%A2%E0%B8%81%E0%B8%84%E0%B9%88%E0%B8%B2%E0%B9%84%E0%B8%96%E0%B9%88-RansomWare-%3A-Crypt0L0cker-%E0%B9%83%E0%B8%AB%E0%B9%89%E0%B8%AD%E0%B8%A2%E0%B8%B9%E0%B9%88%E0%B8%AB%E0%B8%A1%E0%B8%B1%E0%B8%94!&nid=108)