มัลแวร์เรียกค่าไถ่คืออะไร (Ransomware)?

มัลแวร์เรียกค่าไถ่ (Ransomware) ได้รับการกำหนดโดยกระทรวงยุติธรรมของสหรัฐอเมริกา ในฐานะรูปแบบใหม่ของอาชญากรรมทางไซเบอร์ที่มีศักยภาพ ที่สามารถก่อให้เกิดผลกระทบในระดับโลก นอกจากนี้ยังสามารถสร้างผลกระทบอย่างมาก สามารถขัดขวางการดำเนินธุรกิจ และนำไปสู่การสูญเสียข้อมูลที่สำคัญได้

มัลแวร์เรียกค่าไถ่ หรือไวรัสเรียกค่าไถ่นั้น ถือเป็นมัลแวร์ประเภทหนึ่ง ทันทีที่หลังจากเครื่องเป้าหมายติดมัลแวร์ดังกล่าว คอมพิวเตอร์จะถูกเข้ารหัส หรือบล็อกการเข้าถึงข้อมูลบนดิสก์ของคุณ แล้วแจ้งหรือยื่นข้อเสนอให้เหยื่อ สำหรับโอกาสความเป็นไปได้ของการกู้คืน แน่นอนว่ามันไม่ได้ถอดรหัสได้ฟรี แต่จะให้เหยื่อทำการโอนเงินไปยังบัญชีที่ระบุของผู้ไม่ประสงค์ดี

กรณีแรกของการโจมตีโดยใช้การเข้ารหัส เกิดขึ้นในช่วงต้นปี 1989 ซึ่งเป็นการแพร่ระบาดของโรค HIV / PC ransomware Cyborg ได้ทำการกำหนดเป้าหมายคอมพิวเตอร์ส่วนใหญ่ ที่มาจากบริษัทในทางการแพทย์ ได้ทำการเลือกเป้าหมายดำเนินการกับดิสก์ขนาด 5.25 นิ้ว ที่ได้ลอกเลียนแบบการทำผลสำรวจเกี่ยวกับความเสี่ยงของการติดเชื้อ HIV ซึ่งลักษณะก็คือ มีข้อความสำหรับการเรียกค่าไถ่ถูกพิมพ์บนเครื่องพิมพ์ ที่เชื่อมต่อกับคอมพิวเตอร์เป้าหมาย

กายวิภาคของมัลแวร์เรียกค่าไถ่

โดยปกติแล้วมัลแวร์เรียกค่าไถ่ มักจะแพร่กระจายผ่านทางสแปม หรือฟิชชิ่งอีเมล แต่ยังมีการค้นพบว่า สามารถแพร่กระจายผ่านทางเว็บไซต์ หรือการดาวน์โหลดโดยไดรฟ์เพื่อติดมัลแวร์ดังกล่าวผ่านอุปกรณ์ปลายทาง และการเจาะเครือข่าย เมื่อมัลแวร์เรียกค่าไถ่ได้เข้ามาแล้ว มันจะทำการล็อคไฟล์ทั้งหมดที่สามารถเข้าถึงได้ โดยใช้การเข้ารหัสที่ค่อนข้างรัดกุม ในที่สุดมัลแวร์ดังกล่าวก็จะทำการเรียกค่าไถ่ (โดยปกติจะให้จ่ายเป็น Bitcoins) เพื่อถอดรหัสไฟล์ที่ถูกเข้ารหัส และกู้คืนการทำงานเต็มรูปแบบไปยังระบบไอทีที่ได้รับผลกระทบ ในบางกรณีซอฟต์แวร์ของมัลแวร์เรียกค่าไถ่จะติดตั้งพร้อมกับโทรจัน เพื่อควบคุมอุปกรณ์ของเหยื่ออีกด้วย

การติดเชื้อ

หลังจากที่ได้ทำการส่งอีเมลฟิชชิงไปยังระบบแล้ว มัลแวร์เรียกค่าไถ่จะทำการติดตั้งตัวเองบนอุปกรณ์ปลายทาง และอุปกรณ์บนเครือข่ายใด ๆ ที่สามารถเข้าถึงได้

การแลกเปลี่ยนคีย์ที่ปลอดภัย

มัลแวร์เรียกค่าไถ่จะติดต่อกับคำสั่ง และเซิร์ฟเวอร์สำหรับควบคุม ซึ่งดำเนินการโดยอาชญากรไซเบอร์ ที่อยู่เบื้องหลังการโจมตีเพื่อสร้างคีย์การเข้ารหัส (Cryptographic) ที่จะใช้ในระบบโลคัลของระบบงานคุณ

ทำการเข้ารหัส

มัลแวร์เรียกค่าไถ่จะเริ่มทำการเข้ารหัสไฟล์ใด ๆ ที่สามารถค้นหาได้ในเครื่อง Local และบน Network ของคุณ

ทำการข่มขู่

เมื่อการเข้ารหัสเสร็จสิ้น มัลแวร์เรียกค่าไถ่จะแสดงคำแนะนำสำหรับการจ่ายเงิน โดยจะมีข้อความออกแนวกรรโชกและข่มขู่คุกคามสำหรับการทำลายข้อมูลที่สำคัญของคุณ หากไม่มีการชำระเงินค่าไถ่ (โดยทั่วไปจะให้เหยื่อชำระเป็น Bitcoins)

ปลดล็อก

หลายองค์กรได้เลือกที่จะทำการจ่ายเงินค่าไถ่ และหวังว่าอาชญากรไซเบอร์นั้น จะทำการถอดรหัสไฟล์ที่ได้รับผลกระทบ (ซึ่งในหลายกรณีนั้นมักไม่เกิดขึ้นจริง) หรือพวกเขาสามารถพยายามกู้คืน โดยการลบไฟล์และระบบที่ติดมัลแวร์เรียกค่าไถ่จากเครือข่าย และกู้คืนข้อมูลจากการสำรองข้อมูลที่คลีนได้

ประเภทของมัลแวร์เรียกค่าไถ่

มัลแวร์เรียกค่าไถ่ หลักๆ แล้วมี 2 ประเภท คือ: มัลแวร์เรียกค่าไถ่แบบ Locker ซึ่งล็อคคอมพิวเตอร์ หรืออุปกรณ์ และมัลแวร์เรียกค่าไถ่แบบ Crypto ซึ่งจะทำการเข้ารหัส เพื่อป้องกันการเข้าถึงไฟล์ หรือข้อมูล โดยมักทำผ่านการเข้ารหัสเป็นหลัก

จากข้อมูลของกราฟทางด้านซ้ายมือ คุณสามารถดูประเภทของมัลแวร์เรียกค่าไถ่ล่าสุด โดยแบ่งตามชื่อและระดับของการโจมตี

RYUK

RYUK เป็นรูปแบบหนึ่งของมัลแวร์เรียกค่าไถ่ชนิดพิเศษ ซึ่งในช่วงเดือนแรกของกิจกรรมดังกล่าว อาชญากรไซเบอร์ได้ทำกำไรไปมากกว่า 705 BTC (ประมาณ 173,506,278.46 บาท) มันมีความแตกต่างจากคู่แข่งอย่างไร RYUK เลือกบริษัทเป้าหมายที่มีขนาดใหญ่เท่านั้น เพื่อเพิ่มโอกาสในการโจมตีที่ประสบความสำเร็จสูงสุด ซอฟต์แวร์ได้รับการเสริมประสิทธิภาพ ด้วยกลไกที่รับผิดชอบในการปิดใช้งานบริการสำรองข้อมูลอัตโนมัติ การป้องกันไวรัส และลบข้อมูลสำรองบนอุปกรณ์ที่มีอยู่ เมื่อข้อมูลถูกเข้ารหัส และข้อความแสดงความต้องการเงินค่าไถ่จะปรากฏขึ้น หลังจากนั้นไม่กี่สัปดาห์ บริษัทก็พบว่ามันสายเกินไปที่จะแก้ไข – บริษัทได้มีการสำรองข้อมูลที่ไม่สมบูรณ์นั่นเอง

สำหรับวิธีการโจมตี มีขั้นตอนง่าย ๆ ดังต่อไปนี้:

  • เครื่องเป้าหมายติดมัลแวร์ ซึ่งโดยหนึ่งในคอมพิวเตอร์ที่มีมัลแวร์ “ใด ๆ” ที่จะให้โอกาสในการสำรวจโครงสร้างพื้นฐานขององค์กรของคุณ
  • ทำการประเมินว่าคอมพิวเตอร์ที่ติดมัลแวร์นั้น เป็นขององค์กรที่รู้จักกันในชื่อ HVT (high value target, เป้าหมายที่มีมูลค่าสูง) หรือไม่
  • ในกรณีของการระบุเป้าหมาย ที่มีค่าโครงสร้างพื้นฐานขององค์กร (ตัวควบคุมโดเมน) จะถูกบุกรุก และข้อมูลที่มีค่าจะถูกขโมย
  • ขั้นตอนสุดท้ายคือการแพร่กระจายมัลแวร์ผ่านโครงสร้างพื้นฐาน สำหรับ RYUK ให้มากที่สุดเท่าที่เป็นไปได้ ตามความต้องการเรียกเงินค่าไถ่

เมื่อพิจารณาจากขอบเขตของการโจมตีการขโมยข้อมูลที่มีความละเอียดอ่อน และการกระทำที่มุ่งเป้าไปที่ตัวอย่างเช่น การทำลายการสำรองข้อมูลการโจมตีมัลแวร์ RYUK ซึ่งมักเป็นข้อมูลที่สำคัญ และน่าเสียดายต่อการปล่อยไปได้

Sodinokibi

Sodinokibi, ซึ่งรู้จักกันชื่อว่า REvil, Bluebackground, หรือ Sodin, เป็นมัลแวร์เรียกค่าไถ่ที่ใช้กลยุทธ์ที่หลากหลาย เพื่อแจกจ่าย ตัวมันเองและรับค่าเงินค่าคอมมิชชัน มันมีวัตถุประสงค์เพื่อผู้ใช้ที่ใช้งานภาษาอังกฤษ นอกจากนี้ยังใช้ช่องโหว่ในการให้บริการระยะไกล เช่น Oracle WebLogic (CVE-2019-2725) ยังมีคนเชื่อว่ามันมีความสัมพันธ์กับ GandCrab ตามการวิเคราะห์ของ Intezer โดยการใช้รหัสของ Pony, RedOctober และ Vidar

พฤติกรรม

 Sodinokibi รวบรวมข้อมูลระบบพื้นฐาน และบันทึกลงในรีจิสทรี พร้อมกับพารามิเตอร์การเข้ารหัสที่สร้างขึ้น หากไม่ได้ตั้งค่าตัวเลือก dbg ไว้ในการกำหนดค่าภาษา UI และรูปแบบแป้นพิมพ์ จะถูกตรวจสอบ และมัลแวร์จะออกจากระบบที่ใช้รหัสภาษาใดภาษาหนึ่งต่อไปนี้

เปย์โหลด

การส่งผ่าน
Sodinokibi จะทำการโจมตีบริษัทในเครือใช้การโจมตีเหล่านี้ โดยการเข้าถึงเครือข่ายผ่านทางบริการเดสก์ท็อประยะไกล จากนั้นใช้คอนโซลการจัดการของ MSP เพื่อผลักตัวติดตั้งมัลแวร์เรียกค่าไถ่ไปยังอุปกรณ์ปลายทางทั้งหมดที่จัดการอยู่

Phobos

โฟบอสเป็นโปรแกรมเรียกค่าไถ่ที่เป็นอันตราย ซึ่งจะทำการ (มักเป็นคุณลักษณะสำหรับโปรแกรมส่วนใหญ่ประเภทนี้) เข้ารหัส / บล็อกไฟล์ข้อมูล และเก็บไว้ในสถานะนี้เพื่อรอเหยื่อจ่ายค่าไถ่ โฟบอสเปลี่ยนชื่อไฟล์ที่เข้ารหัสทั้งหมดเพิ่มจากส่วนขยายนามสกุลไฟล์ “.phobos” รหัสประจำตัว และอีเมลแอดเดรสของเหยื่อ ตัวอย่างเช่น “a.jpg” สามารถเปลี่ยนเป็นตัวอย่างเช่นa.jpg.ID-63855656. [job2020@tu234a.com] .phobos” หรือ “1.jpg.ID-63855656. [cadillac.407@aol.com ] .phobos “.
อีเมลที่นำเสนอในส่วนขยายที่เพิ่มนั้น แตกต่างกัน มัลแวร์เข้ารหัสข้อมูลโดยใช้การเข้ารหัส AES และหลังจากการเข้ารหัสดังกล่าว ก็จะสร้างแอปพลิเคชัน HTML (“Phobos.hta”) และเปิดขึ้นมา แอปพลิเคชั่นนี้แสดงหน้าต่างป๊อปอัปพร้อมข้อความเรียกเงินค่าไถ่

Globelmposter

Globelmposter ransomware ปรากฏตัวครั้งแรกในเดือนพฤษภาคม 2017 ส่วนใหญ่ส่งผ่านอีเมลฟิชชิง ในเดือนกุมภาพันธ์ 2018 กลุ่มตัวอย่าง Globelmposter รุ่น 2.0 ได้แพร่กระจายไปในโรงพยาบาลใหญ่ ๆ ในประเทศจีน

มัลแวร์ได้แพร่กระจายผ่านช่องทางวิศวกรรมสังคม (Social Engineering) การโจมตีแบบ Brute-force และรวมเข้ากับโปรแกรมที่เป็นอันตราย เพื่อทำการเข้ารหัสไฟล์ของโฮสต์ที่ติดมัลแวร์ สร้างบันทึกเพื่อเรียกค่าไถ่ ทีมรักษาความปลอดภัย Sangfor ให้ความสำคัญกับการพัฒนาของตระกูลไวรัสดังกล่าว และได้ทำการวิเคราะห์เชิงลึกในตัวอย่างตัวแปรที่ค้นพบ

 

DoppelPaymer

มัลแวร์เรียกค่าไถ่ DoppelPaymer เป็นโทรจันที่ล็อกไฟล์ ซึ่งสามารถบล็อกสื่อของคุณ และยังออกจากบันทึกเรียกค่าไถ่ เพื่อเปลี่ยนเส้นทางคุณไปยังพอร์ทัลการชำระเงินสำหรับตัวปลดล็อค แม้ว่าจะเป็นการอัปเดตของ BitPaymer ที่มีลักษณะที่คล้ายกัน แต่ก็ใช้วิธีการเข้ารหัสแยกต่างหาก และต้องการตัวถอดรหัสที่แตกต่างกัน ในการกู้คืนไฟล์ใด ๆ ควรปล่อยให้ผลิตภัณฑ์ต่อต้านมัลแวร์ของคุณ ทำการลบ DoppelPaymer ทันทีที่ตรวจพบ และจัดเก็บข้อมูลสำรองที่ปลอดภัย เพื่อหลีกเลี่ยงผลข้างเคียงของการโจมตี

DoppelPaymer Ransomware เป็นมากกว่าโครงการที่ยิงแล้วลืม (fire and forget) และมีการออกมาซ้ำกันอย่างน้อยแปดครั้ง โดยแต่ละครั้งมีการปรับปรุงคุณสมบัติของมันมากกว่าหนึ่ง ก่อนหน้านี้โทรจันใช้การเข้ารหัส AES – พร้อมการขยายขอบเขต – มาพร้อมกับ RSA-2048 เพื่อเข้ารหัส และบล็อกสื่อดิจิทัลไม่ให้เปิด ผู้เชี่ยวชาญด้านมัลแวร์ของเรายังเตือนว่า DoppelPaymer นั้น สามารถล็อคไฟล์ได้เร็วกว่ารุ่นก่อนด้วยการเข้ารหัสแบบมัลติเธรด

Mamba

หากกล่าวถึงไวรัส Mamba (หรือที่เรียกว่า HDD Cryptor ransomware) มันมีความเป็นอันตรายอย่างแน่นอน เหมือนกับงูสายพันธุ์นี้ วรัสที่น่าอับอายนี้ ทำให้ชาวซานฟรานซิสโกเดินทางฟรีบนเครือข่ายเมืองใหญ่ เนื่องจากการครอบครองคอมพิวเตอร์ของบริษัท และเรียกร้องค่าไถ่ มูลค่ากว่า 73,000 เหรียญสหรัฐ

ไม่เหมือนกับ Petya มัลแวร์เรียกค่าไถ่นี้ ได้เลือกที่จะโจมตีไฟล์บนดิสก์แทนที่จะเป็นรายการ Start มันใช้ซอฟต์แวร์ DiskCryptor เพื่อจุดประสงค์นี้ ไวรัสจะทิ้งไฟล์ 152.exe หรือ 141.exe ไว้ในคอมพิวเตอร์ที่รับผิดชอบการดำเนินการเข้ารหัส หลังจากเข้ารหัสไฟล์ของเหยื่อไวรัสจะรีสตาร์ทคอมพิวเตอร์ จากนั้นก็จะแสดงข้อความต่อไปนี้บนหน้าจอ:

เหยื่ออาจป้อนรหัสผ่าน เพื่อกู้คืนข้อมูลที่นั่น อย่างไรก็ตามเขาจะต้องได้รับรหัสผ่านนี้ก่อน น่าเสียดายที่มัลแวร์นี้ไม่สามารถเอาชนะได้อย่างง่าย ๆ ที่อยู่อีเมลที่ให้ไว้ใช้ในการติดต่อผู้สร้างรหัสที่เป็นอันตราย และรับคำแนะนำจากพวกมัน เพื่อถอดรหัสข้อมูล และเข้าถึงอุปกรณ์ได้อีกครั้ง

ไวรัสนี้ต้องการค่าไถ่ 1 bitcoin ต่อเครื่องคอมพิวเตอร์ ควรส่งเงินไปยังกระเป๋าเงิน Bitcoin ที่ระบุ อย่างไรก็ตาม เราแนะนำเสมอว่าผู้ใช้จะไม่ต้องจ่ายเงินค่าไถ่ เพราะว่ามันไม่มีการรับประกันการถอดรหัสไฟล์ให้กับคุณ

Snatch

Snatch เป็นมัลแวร์เรียกค่าไถ่ชนิดใหม่ ซึ่งบังคับให้อุปกรณ์ Windows ทำการรีบูตไปที่ Safe Mode ก่อนที่กระบวนการเข้ารหัสจะเริ่มขึ้น ในการเสนอราคา เพื่อหลีกเลี่ยงการป้องกันอุปกรณ์ปลายทาง ที่มักจะไม่ทำงานในโหมดนี้

สายพันธุ์ใหม่ของมัลแวร์เรียกค่าไถ่ ใช้วิธีการติดมัลแวร์ที่ไม่ซ้ำกัน ซึ่งใช้การเข้ารหัสแบบ AES ที่ซับซ้อนขึ้น เพื่อให้ผู้ใช้ที่เครื่องที่ติดเชื้อไม่สามารถเข้าถึงไฟล์ได้

รูปแบบของ crypto-virus มักโจมตีเป้าหมายที่มีรายละเอียดสูง แต่สายพันธุ์ใหม่นี้ ได้ถูกสร้างขึ้นโดยใช้โปรแกรม Google Go ซึ่งประกอบด้วยชุดของเครื่องมือ รวมไปถึงตัวขโมยข้อมูล และคุณลักษณะของมัลแวร์เรียกค่าไถ่ นอกจากนี้ยังมี Cobalt Strike reverse-shell และเครื่องมืออื่น ๆ ที่ใช้เป็นเครื่องมือทดสอบการเจาะสำหรับผู้ดูแลระบบ

Dharma

Dharma เป็นรูปแบบใหม่ของ Crysis ซึ่งเป็นไวรัสประเภทเรียกค่าไถ่ที่มีความเสี่ยงสูง หลังจากการแทรกซึมสำเร็จ Dharma จะเข้ารหัสไฟล์ที่เก็บไว้ในคอมพิวเตอร์ของคุณ โดยใช้การเข้ารหัสแบบ Asymmetric นอกจากนี้ยังผนวกส่วนขยาย “[Bitcoin143@india.com] .dharma” ต่อท้ายชื่อไฟล์ที่เข้ารหัสในแต่ละชื่อ ตัวอย่างเช่น “sample.jpg” ถูกเปลี่ยนเป็น “sample.jpg [Bitcoin143@india.com] .dharma”) ตัวแปรอื่น ๆ จะใช้ส่วนขยาย “.[Worm01@india.com] .dharma” อย่างไรก็ตามไม่เหมือนกับรุ่นก่อนหน้านี้ Dharma ไม่ได้เปลี่ยนพื้นหลังของเดสก์ท็อป แต่สร้างไฟล์ข้อความ (“README.txt”) และวางไว้ในทุกโฟลเดอร์ที่มีไฟล์ที่ติดไวรัส

 

HiddenTear

HiddenTear เป็นโครงการมัลแวร์เรียกค่าไถ่แบบโอเพนซอร์ซ ที่ถูกพัฒนาขึ้นครั้งแรกเพื่อการศึกษาในปี 2015 โดยนักวิจัยชาวตุรกี Utku Sen อย่างไรก็ตามอาชญากรไซเบอร์ เช่น แก๊ง ransomware Magic ไม่รอนานเกินกว่าจะปรับใช้รหัส และใช้เพื่อการรีดไถเงิน โดยการเข้ารหัสไฟล์ด้วยรูปแบบ AES-256

การติดมัลแวร์

มันได้ถูกแทรกซึมเข้าไปในระบบ ซึ่งปลอมตัวเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย ในเวอร์ชันดั้งเดิม มันถูกปลอมแปลงเป็นไฟล์ Adobe PDF และบล็อกการเข้าถึงไฟล์ของผู้ใช้งานโดยการเข้ารหัส เมื่อเรียกใช้แล้ว Hidden Tear จะสร้างลำดับของอักขระ 15 ตัว โดยใช้เป็นคีย์โดยใช้คลาสสุ่มที่ไม่มีการเข้ารหัสที่ปลอดภัย ลำดับอักขระจะถูกส่งไปยัง C&C พร้อมชื่อคอมพิวเตอร์ Hidden Tear ต้นฉบับจะค้นหาโฟลเดอร์ทดสอบในเดสก์ท็อปโดยจะเข้ารหัสทุกไฟล์ที่อยู่ในนั้น

Estemani

Estemani เป็นโปรแกรมที่เป็นอันตราย ที่ถูกออกแบบมาเพื่อป้องกันผู้ที่ตกเป็นเหยื่อจากการเข้าถึงไฟล์ของพวกเขา โดยการเข้ารหัสด้วยอัลกอริทึมการเข้ารหัสลับ ผู้ที่ตกเป็นเหยื่อจะได้รับการสนับสนุนให้ซื้อเครื่องมือถอดรหัส เนื่องจากไม่มีซอฟต์แวร์อื่นใดที่สามารถถอดรหัสไฟล์ที่เข้ารหัสโดยมัลแวร์เรียกค่าไถ่ตัวนี้ นอกจากนี้ Estemani ยังสร้างข้อความเรียกค่าไถ่ภายในไฟล์ “@_READ_TO_RECOVER_FILES _ @. txt”

ในการปลดล็อค (ถอดรหัส) ไฟล์ผู้ที่ตกเป็นเหยื่อจะถูกขอให้จ่ายค่าไถ่ 1.5 Bitcoins ควรให้คำแนะนำเพิ่มเติมทั้งหมดหลังจากติดต่อนักพัฒนา Estemani ผ่านที่อยู่อีเมล x280@protonmail.com ข้อความจะต้องมี HOST และ LOCK ID ซึ่งมีอยู่ในข้อความเรียกค่าไถ่

วิธีการแพร่กระจายทั่วไป: ไฟล์แนบอีเมลที่ติดเชื้อ (มาโคร), เว็บไซต์ที่โหลด torrent , โฆษณาที่เป็นอันตราย

Rapid

Rapid ransomware เป็น crypto-virus ที่เป็นอันตราย ซึ่งสามารถแพร่กระจายบนอินเทอร์เน็ต ตั้งแต่เดือนมกราคม ปี 2018 ในช่วงเจ็ดเดือนที่มีการแพร่กระจาย มัลแวร์ก็เปลี่ยนไปสี่เท่า ไวรัสเข้ารหัสไฟล์โดยใช้อัลกอริธึมการเข้ารหัสแบบ AES และผนวกนามสกุลไฟล์ .RPD และลดวิธีการกู้คืนไฟล์ หมายเหตุของ r.tom.tom สั่งให้เหยื่อรู้วิธีการติดต่ออาชญากร และส่งเงินไปให้ตามจำนวนที่ร้องขอ

 

 

มัลแวร์เรียกค่าไถ่รุ่นเก่า ที่เป็นกรณีศึกษา

CryptoLocker 2013

การปรากฏตัวของ Cryptolocker ในปี 2013 เป็นการเปลี่ยนแปลงกลยุทธ์โดยอาชญากร มันเป็นตัวอย่างแรกของมัลแวร์เรียกค่าไถ่ ที่มีรูปแบบตามเส้นทางที่คุ้นเคย ในขณะนี้ในการเข้ารหัสข้อมูลของผู้ใช้ด้วยคีย์แบบสมมาตร (Symmetric) ที่สร้างขึ้นแบบสุ่มสำหรับแต่ละไฟล์  คีย์สมมาตรจะถูกเข้ารหัสด้วยคีย์สาธารณะแบบอสมมาตร (Asymmetric) และเพิ่มลงในไฟล์ เมื่อไฟล์ทั้งหมดที่มีชนิดทั่วไป ประมาณ 70 ชนิดได้รับการเข้ารหัสแล้ว มัลแวร์เรียกค่าไถ่นี้จะแสดงข้อความเรียกค่าไถ่เพื่อเป็นการตอบแทนกุญแจส่วนตัวแบบอสมมาตรซึ่งจำเป็นต้องใช้ในการถอดรหัสคีย์ symmetric สำหรับไฟล์ที่เข้ารหัสแต่ละไฟล์ มันเตือนว่าหากการชำระเงินไม่ตรงตามกำหนดเวลาคีย์สมมาตรจะถูกลบทำให้การกู้คืนข้อมูลเป็นไปไม่ได้ 

CryptoWall 2014

CryptoWall ปรากฏตัวครั้งแรกในปี 2014 และตั้งแต่นั้นมาก็ปรากฏในรุ่นที่แตกต่างกันเล็กน้อย ด้วยชื่อที่แตกต่างกัน เช่น CryptoDefense, CryptorBit, CryptoWall 2.0, CryptoWall 3.0 และ CryptoWall 4.0 คุณลักษณะที่โดดเด่นอย่างหนึ่งของมัลแวร์เรียกค่าไถ่นี้ คือผู้เขียนมัลแวร์ได้เสนอบริการถอดรหัสฟรี แบบใช้ครั้งเดียว สำหรับไฟล์เดียวเท่านั้น ดูเหมือนจะพิสูจน์ให้เหยื่อเห็นว่าพวกเขาถือคีย์ถอดรหัสอยู่นั่นเอง

CTB-Locker 2014

CTB-Locker มีอายุประมาณกลางปี 2014 และผู้เขียนมัลแวร์ได้ใช้โปรแกรมพันธมิตร เพื่อให้แน่ใจว่า มัลแวร์เรียกค่าไถ่มีการเผยแพร่อย่างเป็นวงกว้าง ผู้เขียนเรียกใช้และจัดการมัลแวร์เรียกค่าไถ่ ระบบคำสั่ง และการควบคุม ในขณะที่บริษัทในเครือจ่ายค่าธรรมเนียมรายเดือนในการเข้าถึงมัลแวร์เรียกค่าไถ่ ได้รับผิดชอบในการหาเหยื่อผ่านแคมเปญอีเมลขยะของตัวเอง หรือโดยการเรียกใช้เว็บไซต์อันตรายที่เชื่อมโยงกับชุดเครื่องมือ ชื่อ CTB-Locker มาจาก Curve-Tor-Bitcoin-Locker ซึ่งเป็นการเข้ารหัสแบบ Elliptic Curve ที่มัลแวร์เรียกค่าไถ่ได้มีการใช้งานเครือข่าย Tor แบบไม่ระบุชื่อ เพื่อการสื่อสารและการชำระเงินที่ต้องการใน Bitcoins การบันทึกค่าไถ่ CTB-Locker มักแสดงไอคอนรูปธงหลายอันที่มุมบนขวา เพื่อให้เหยื่อสามารถอ่านบันทึกในภาษายุโรปที่แตกต่างกัน

TorrentLocker 2014

TorrentLocker เริ่มปรากฏในปี 2014 และแพร่กระจายผ่านอีเมลขยะเป็นหลัก นอกเหนือจากขั้นตอนมาตรฐานของการเข้ารหัสไฟล์หลายประเภท และเรียกร้องค่าไถ่ใน Bitcoin แล้วค่าไถ่นี้ยังรวบรวมที่อยู่อีเมลที่พบในเครื่อง และใช้สิ่งเหล่านี้เพื่อส่งอีเมลขยะเพิ่มเติม ไปยังผู้ติดต่อของเหยื่อเพื่อพยายามเผยแพร่ต่อไป

TorrentLocker พยายามลบ Shadow Volume ของ Windows (ซึ่งสามารถใช้เพื่อกู้คืนไฟล์รุ่นเก่าที่มีการเข้ารหัสล่วงหน้า) เพื่อให้ผู้ใช้สามารถกู้คืนไฟล์ได้โดยไม่ต้องเสียค่าไถ่

Bitcryptor and CoinVault 2015

มัลแวร์เรียกค่าไถ่ทั้งสองนี้ได้มีการติด และแพร่ไปยังหลายพันเครื่อง ก่อนที่ผู้เขียนสองคนที่ถูกกล่าวหาจะถูกจับกุมที่ประเทศเนเธอร์แลนด์ในปี 2015 ในระหว่างการสืบสวน บริษัทแอนตี้มัลแวร์ของรัสเซีย Kaspersky สามารถจับคีย์ถอดรหัสทั้งหมด 14,000 คีย์ ที่ซึ่งจำเป็นในการถอดรหัสไฟล์ของเหยื่อ ภายหลัง Kaspersky ได้สร้างเครื่องมือที่สามารถดาวน์โหลดได้ฟรี เพื่อยกเลิกความเสียหายที่เกิดขึ้นจากทั้ง Bitcryptor และ CoinVault

TeslaCrypt 2015

TeslaCrypt ปรากฏตัวในปี 2015 และเริ่มต้นด้วยการกำหนดเป้าหมาย ทำการเข้ารหัสข้อมูลที่บันทึกไว้ และไฟล์อื่น ๆ ที่สร้างโดยเกมคอมพิวเตอร์เช่น Call of Duty และ World of Warcraft โดยถือเป็นค่าไถ่มูลค่ากว่า 500 เหรียญสหรัฐ ใน Bitcoins รุ่นแรก ใช้การเข้ารหัสคีย์แบบสมมาตร และเครื่องมือถอดรหัสนั้นจัดทำโดยนักวิจัยด้านความปลอดภัย รุ่นต่อมาใช้การเข้ารหัสที่ซับซ้อนมากขึ้นซึ่งไม่สามารถถอดรหัสได้โดยเครื่องมือนี้

ในปี 2016 อาชญากรที่อยู่เบื้องหลัง TeslaCrypt ได้ทำการปล่อยคีย์ถอดรหัสสำหรับ มัลแวร์เรียกค่าไถ่นี้ด้วยความน่าแปลกใจ และหยุดแพร่กระจายในที่สุด

Locky 2017

Locky ปรากฏตัวครั้งแรกในปี 2017 และเป็นกรณีศึกษาที่ค่อนข้างซับซ้อนของมัลแวร์เรียกค่าไถ่ โดยทั่วไปแล้วจะทำให้ผู้ใช้งานติดมัลแวร์ผ่านทางไฟล์แนบของ Microsoft Office ที่เป็นอันตรายต่ออีเมล เมื่อมีการคลิกไฟล์ Office ไฟล์อาจแจ้งให้ผู้ใช้เปิดใช้งานแมโคร Office อย่างเห็นได้ชัด เพื่อให้แน่ใจว่าเอกสารได้ถูกแสดงอย่างถูกต้อง แต่ที่จริงแล้วมันกลายเป็นว่าทำการอนุญาตให้มัลแวร์ทำงานได้ หลังจากเข้ารหัสไฟล์ของผู้ใช้ Locky จะแสดงโน๊ตเรียกค่าไถ่ที่กำหนดเป็นวอลล์เปเปอร์เดสก์ท็อปของผู้ใช้งาน สิ่งนี้จะพยายามแนะนำให้ผู้ใช้ดาวน์โหลดเบราว์เซอร์ของ Tor และไปที่ลิงก์ที่ระบุในหมายเหตุเพื่อชำระค่าไถ่

WannaCry 2017

WannaCry ได้แพร่กระจายไปยังคอมพิวเตอร์มากกว่า 100,000 เครื่อง ในเดือนพฤษภาคม 2017 ด้วยการใช้ประโยชน์จากช่องโหว่ของ Microsoft Windows ที่ออกมา (MS17-010)

WannaCry (หรือ WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) จะทำการเข้ารหัสไฟล์ของคุณ และเก็บไว้เพื่อเรียกค่าไถ่ เป็นเวลาหลายวัน โดยเงินค่าไถ่จะอยู่ที่ประมาณ 0.17 BTC (ประมาณ 300 เหรียญสหรัฐ) ซึ่งเงินค่าไถ่จะเพิ่มขึ้นตามระยะเวลาที่ปล่อยเอาไว้ หลังจากนั้นหนึ่งสัปดาห์ไฟล์ที่ถูกเข้ารหัสจะถูกลบ ไฟล์ที่เข้ารหัสจะมีนามสกุล WCRY พบว่ามัลแวร์ได้อธิบาย “kill switch functionality” นอกจากนี้ยังมี Wannacry รุ่นใหม่กว่า ที่สามารถเห็นได้ทั่วไปในวันอาทิตย์ พร้อมโดเมน kill switch แบบใหม่

GandCrab 2018

มัลแวร์เรียกค่าไถ่ GandCrab เป็นตระกูลหนึ่งที่น่ากังวลของ crypto-viruses ซึ่งเปิดตัวครั้งแรกในต้นปี 2018 โดยระยะเวลาภายในหนึ่งปี มันได้รับขนานนามว่า เป็นหนึ่งในการแพร่กระจายทางไซเบอร์ที่อันตรายที่สุดในโลก

โดยในซีรี่ยส์ของมัน ประกอบด้วยตัวแปรมากมายเช่น GDCB, KRAB, CRAB virus, GandCrab 2, GandCrab 3, GandCrab 4 และ GandCrab 5 ทุกรุ่นเหล่านี้ใช้อัลกอริธึม RSA 2048 และ AES 256 เพื่อเข้ารหัสข้อมูล ทำการต่อท้ายไฟล์แบบสุ่ม และไม่ซ้ำกันกับนามสกุลไฟล์ เพื่อทำเครื่องหมายข้อมูลเหยื่ออีกต่อไป ในขณะที่เขียนเวอร์ชั่นที่รุนแรงที่สุดคือ Gandcrab 5.0.4 และ GandCrab 5.1 มัลแวร์เรียกค่าไถ่ได้ใช้อาร์เรย์ของวิธีการแจกจ่ายต่าง ๆ มากมายรวมถึงชุด RIG, GradSoft, Magnitude และ Fallout exploit, cracks, keygens และการอัพเดทปลอม ในขณะที่มัลแวร์เป็นหนึ่งในภัยคุกคามที่ร้ายแรงที่สุด ในขณะนี้ทีมวิจัย Bitdefender ในขณะที่ทำงานร่วมกับตำรวจสากล และตำรวจโรมาเนีย สามารถสร้างตัวถอดรหัส GandCrab ที่ 3 ที่ใช้งานได้กับเวอร์ชัน 1, 4, 5.0.1 ถึง 5.1

ในกรณีที่คุณต้องการถอดรหัสโปรดค้นหาได้ที่นี่

มัลแวร์เรียกค่าไถ่ที่ส่งผลกระทบมากที่สุด

วิธีป้องกันการติดมัลแวร์เรียกค่าไถ่

มัลแวร์เรียกค่าไถ่นั้นมีความร้ายกาจเป็นอย่างยิ่ง แม้ว่ามันแพร่กระจายผ่านทางผ่านอีเมล แต่ก็เป็นที่ทราบกันดี ตัวของมันเอง ยังใช้ประโยชน์จากแบ็คดอร์หรือช่องโหว่ของระบบ นอกจากนี้เรายังได้เผยแพร่บทความเกี่ยวกับวิธีการใช้การรักษาความปลอดภัยไซเบอร์ สำหรับบริษัทที่มีขนาดเล็กไปจนถึงขนาดกลาง

มัลแวร์เรียกค่าไถ่ลักลอบเข้าไปยังองค์กรของคุณได้อย่างไร?

สถิติข้างต้นแสดงให้เห็นถึงวิธีที่เป็นที่นิยมที่สุดในการแพร่กระจายเข้าไปยังระบบขององค์กรของคุณ
อ่านต่อเพื่อเรียนรู้วิธีที่คุณสามารถหลีกเลี่ยงการโจมตีสำหรับมัลแวร์เรียกค่าไถ่

1. ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์และตรวจสอบให้แน่ใจว่าซอฟต์แวร์ของคุณเป็นรุ่นล่าสุด

Bitdefender ปกป้องคุณจากมัลแวร์เรียกค่าไถ่ได้อย่างไร

ฐานะที่เป็นโซลูชั่นรักษาความปลอดภัยแบบปรุงอยู่อย่างสม่ำเสมอ, Bitdefender มอบความสามารถในการต่อต้าน มัลแวร์เรียกค่าไถ่ที่หลากหลาย โดยมีเลเยอร์ทั้งหมดที่ทำงานร่วมกัน เพื่อการป้องกันการตรวจจับและทำการรักษาไฟล์ การปกป้องผู้ใช้กว่า 500 ล้านคนทั่วโลก Bitdefender ได้พัฒนาระบบการป้องกันที่เป็นเอกลักษณ์ ซึ่งมอบความปลอดภัยขั้นสูง:

 

  • ระบบ Machine learning ในการต่อต้านมัลแวร์
  • การเฝ้าระวังแบบเรียลไทม์
  • การควบคุมภัยคุกคามขั้นสูง
  • ต่อต้านการเจาะเข้าระบบขั้นสูง
  • การรักษาไฟล์ / การทำความสะอาดไฟล์

2. ใช้การปรับปรุงซอฟต์แวร์แพตช์ เพื่อปรับปรุงระบบให้ทันสมัยตลอดเวลา

การแก้ไขข้อบกพร่องของซอฟต์แวร์นั้น ในบางทีก็เป็นงานที่เจ็บปวด ใช้เวลานาน และค่อนข้างน่าเบื่อ นอกจากนี้ยังมีความสำคัญต่อความปลอดภัยของคุณ
เหล่ามัลแวร์จะยึดช่องโหว่ของซอฟต์แวร์ และพยายามใช้พวกเขาเป็นวิธีในเครือข่าย ก่อนที่ธุรกิจจะมีเวลาในการทดสอบ และปรับใช้โปรแกรมแก้ไข ตัวอย่างคลาสสิกของสิ่งที่เกิดขึ้นหากคุณไม่ได้แก้ไขเร็วพอคือมัลแวร์เรียกค่าไถ่ WannaCry นี้ก่อให้เกิดความโกลาหลในช่วงฤดูร้อนปี 2017 รวมถึงแพร่กระจายแบบพลุกพล่านในสหราชอาณาจักร แพตช์สำหรับการใช้ประโยชน์จากโปรโตคอล Windows Server Message Block ที่ทำให้ WannaCry สามารถแพร่กระจายได้ ในขณะนี้ได้ถูกเผยแพร่เป็นเวลาหลายเดือน ก่อนที่มัลแวร์เรียกค่าไถ่จะทำการโจมตี แต่องค์กรไม่เพียงพอที่ใช้การแก้ไขกับโครงสร้างพื้นฐานของพวกเขา และพีซีกว่า 300,000 เครื่องนั้น ล้วนติดมัลแวร์ดังกล่าว

3. เปลี่ยนรหัสผ่านเริ่มต้นในอุปกรณ์สำหรับเชื่อมต่อทั้งหมด

การคลิกลิงก์ที่ไม่ถูกต้องในอีเมล อาจเป็นวิธีที่ทราบกันดีที่สุดในการติดมัลแวร์ แต่ก็ยังห่างไกลจากวิธีการเดียว เกือบหนึ่งในสามของมัลแวร์เรียกค่าไถ่ ซึ่งได้ทำการกระจายผ่านการโจมตีแบบ brute force และ remote desktop protocol (RDP)

การโจมตีแบบ Brute Force เป็นการพยายามของแฮ็กเกอร์ ในการเข้าถึงเซิร์ฟเวอร์ และอุปกรณ์อื่น ๆ โดยพยายามใช้รหัสผ่านให้ได้มากที่สุด โดยปกติจะใช้บอทด้วยความหวังว่าจะได้รหัสผ่านดังกล่าวเหมือนได้แจ็คพอตนั่นเอง

เนื่องจากหลาย ๆ บริษัท ไม่สามารถเปลี่ยนรหัสผ่านเริ่มต้น หรือใช้ชุดคำผสมที่เดาได้ง่าย การโจมตีด้วยวิธีการแบบ Brute-Force จึงมีประสิทธิภาพอย่างสม่ำเสมอ RDP อนุญาตการควบคุมระยะไกลของพีซี และเป็นอีกช่องทางหนึ่งในการโจมตี มัลแวร์เรียกค่าไถ่นั้น มีขั้นตอนที่คุณต้องทำเพื่อลดความเสี่ยงของการถูกโจมตีผ่าน RDP ตั้งแต่การใช้รหัสผ่านที่คาดเดาได้ยาก การเปลี่ยนพอร์ต RDP ไปจนถึงการจำกัดความพร้อมใช้งานของอุปกรณ์ที่จำเป็นเท่านั้น

4. ฝึกอบรมพนักงานให้รู้จักรับมือกับอีเมลที่น่าสงสัย

หนึ่งในการแพร่กระจายมัลแวร์แบบคลาสสิกสำหรับมัลแวร์เรียกค่าไถ่ เพื่อเข้าสู่องค์กรของคุณคือทางอีเมล นั่นเป็นเพราะการส่งสแปมมัลแวร์ไปยังที่อยู่อีเมลนับพัน เป็นวิธีที่ถูกและง่ายสำหรับกลุ่มผู้ที่ไหม่หวังดี ที่จะทดลองและแพร่กระจายมัลแวร์ แม้จะมีลักษณะพื้นฐานของกลยุทธ์เหล่านี้ แต่ก็ยังคงมีประสิทธิภาพ

เจ้าหน้าที่ทุกคนควรได้รับการฝึกอบรม เพื่อรับรู้ถึงอีเมลที่น่าสงสัย สามารถช่วยป้องกันมัลแวร์เรียกค่าไถ่ และความเสี่ยงที่เกิดจากอีเมลอื่น ๆ เช่นฟิชชิ่ง กฎพื้นฐาน: อย่าเปิดอีเมลจากผู้ส่งที่คุณไม่รู้จัก และอย่าคลิกลิงก์ในอีเมล หากคุณไม่แน่ใจว่าถูกต้องหรือไม่ หลีกเลี่ยงสิ่งที่แนบมาเมื่อใดก็ตามที่เป็นไปได้ และระวังสิ่งที่แนบมา ซึ่งขอให้คุณเปิดใช้งานมาโคร เนื่องจากนี่เป็นเส้นทางการแพร่กระจายแบบคลาสสิก ในการติดมัลแวร์ ให้พิจารณาใช้การรับรองความถูกต้องแบบสองปัจจัยเป็นเลเยอร์ความปลอดภัยเพิ่มเติม

5. ทำให้การใช้งานข้ามเครือข่ายของคุณทำได้ยากยิ่งขึ้น

เหล่ามัลแวร์เรียกค่าไถ่กำลังมองหาวันจ่ายเงินเดือนที่ใหญ่ที่สุด การเข้ารหัสข้อมูลในพีซีหนึ่งเครื่อง จะไม่ทำให้พวกเขารวยได้ ดังนั้นพวกเขาจึงมีแนวโน้มที่จะเข้าถึงเครือข่าย แล้วสำรวจอย่างกว้าง เพื่อแพร่กระจายมัลแวร์ของพวกเขาให้ไกลที่สุดเท่าที่จะทำได้ ก่อนที่จะดึงทริกเกอร์ และเข้ารหัสทุกอย่างของคุณ

ทำให้การเข้าถึงเครือข่ายภายในของคุณยากขึ้น ด้วยการแบ่งกลุ่มเครือข่าย จำกัดจำนวน และรักษาความปลอดภัยจำนวนบัญชีผู้ดูแลระบบ ที่มีการเข้าถึงที่หลากหลาย การโจมตีแบบฟิชชิงเป็นที่ทราบกันดีว่า มีเป้าหมายในการพัฒนาเพียงเพราะพวกเขามีการเข้าถึงที่หลากหลายในหลายระบบ
คุณสามารถใช้ซอฟต์แวร์ Bitdefender ที่ให้บริการการป้องกันเครือข่ายอย่างแข็งแกร่ง

6. ทำความเข้าใจกับสิ่งที่เชื่อมต่อร่วมกับเครือข่ายของคุณ

พีซีและเซิร์ฟเวอร์ อาจเป็นที่ที่ข้อมูลของคุณคงอยู่ แต่ไม่ใช่อุปกรณ์เดียวที่คุณต้องกังวล ขอบคุณ office wi-fi, Internet of Things และทำงานจากที่บ้าน ที่ตอนนี้มีอุปกรณ์หลากหลายชนิด ที่สามารถเชื่อมต่อกับเครือข่ายของ บริษัท ซึ่งส่วนใหญ่ขาดความปลอดภัยในตัว โดยที่คุณคาดหวังจากอุปกรณ์องค์กรของคุณเอง

อุปกรณ์ยิ่งมีความเสี่ยงที่จะให้แฮกเกอร์เข้ามาในเครือข่ายของคุณมากขึ้น และใช้การเข้าถึงนั้น เพื่อเคลื่อนที่ผ่านระบบของคุณไปยังเป้าหมายที่มีกำไรมากกว่า เครื่องพิมพ์ที่มีความปลอดภัยต่ำ หรือตู้จำหน่ายอัตโนมัติ ลองคิดดูว่าใครบ้างที่สามารถเข้าถึงระบบของคุณ: ซัพพลายเออร์ของคุณทราบถึงความเสี่ยงที่อาจเกิดขึ้นจากมัลแวร์เรียกค่าไถ่ และมัลแวร์อื่น ๆ หรือไม่?

ควรจำไว้ว่าควรอยู่ห่างจากเครือข่าย Wi-Fi สาธารณะ ในขณะที่ทำงานนอกสำนักงานหรืออย่างน้อยก็ต้องทราบว่าควรทำอย่างไรถึงจะปลอดภัยบนเครือข่ายสาธารณะ

 

7. มีการสำรองข้อมูลสม่ำเสมอ (Backup)

ทำความเข้าใจว่าข้อมูลที่สำคัญที่สุดของคุณคืออะไร และสร้างกลยุทธ์สำหรับการสำรองข้อมูลที่มีประสิทธิภาพ

การสำรองข้อมูลที่สำคัญทางธุรกิจอย่างปลอดภัยและเป็นปัจจุบันนั้นเป็นการป้องกันที่สำคัญโดยเฉพาะกับมัลแวร์เรียกค่าไถ่ ในกรณีที่มัลแวร์เรียกค่าไถ่เข้ายึดครองอุปกรณ์บางอย่าง ถ้ามีการสำรองข้อมูลล่าสุด นั่นก็หมายความว่าคุณสามารถกู้คืนข้อมูลเหล่านั้น และกลับมาทำงานได้อย่างรวดเร็วอีกครั้ง แต่สิ่งสำคัญก็คือต้องเข้าใจว่า ข้อมูลทางธุรกิจที่สำคัญนั้นถูกเก็บไว้ที่ใด ข้อมูลสำคัญของ CFO อยู่ในสเปรดชีตบนเดสก์ท็อปหรือไม่ และไม่ได้สำรองข้อมูลในระบบคลาวด์อย่างที่คุณคิด การสำรองข้อมูลไม่ดีหากคุณสำรองข้อมูลผิด หรือสำรองข้อมูลบ่อยครั้งจนไม่มีประโยชน์

8. คิดให้ไกลและคิดให้ดีก่อนจ่ายเงินเรียกค่าไถ่

สำหรับมัลแวร์เรียกค่าไถ่นั้น เหล่าผู้ไม่ประสงค์ดี ได้ค้นพบวิธีการของพวกเขา ผ่านการป้องกันของคุณ และตอนนี้พีซีทุกเครื่องในธุรกิจถูกเข้ารหัส คุณสามารถกู้คืนจากการสำรองข้อมูลได้ แต่ต้องใช้เวลาหลายวัน และอาชญากรไซเบอร์ต้องการเพียงไม่กี่พันดอลลาร์ เมื่อถึงเวลาชำระเงินแล้ว

สำหรับบางคนนั่นอาจเป็นข้อสรุปที่ชัดเจน หากผู้โจมตีต้องการเพียงจำนวนเล็กน้อยเท่านั้น สำหรับในระยะสั้น ก็อาจทำให้เกิดความรู้สึกทางธุรกิจที่จะต้องจ่าย เพราะมันหมายถึงธุรกิจสามารถกลับมาทำงานได้อย่างรวดเร็วอีกครั้ง อย่างไรก็ตามมันก็ยังคงมีสาเหตุที่ทำให้คุณไม่ต้องการจ่ายเงิน

ก่อนอื่นไม่มีการรับประกันว่าอาชญากรไซเบอร์จะมอบคีย์การเข้ารหัส เมื่อคุณได้ทำการชำระเงิน – พวกเขาอาจจะเป็นคนโกงหลังจากที่คุณได้ทำการจ่ายค่าไถ่ทั้งหมด หากองค์กรของคุณเห็นว่าเต็มใจที่จะจ่ายเงิน นั่นอาจกระตุ้นให้เกิดการโจมตีมากขึ้น ไม่ว่าจะโดยกลุ่มเดียวกันหรืออื่น ๆ นอกจากนี้ยังมีผลกระทบที่กว้างขึ้นในการพิจารณา การจ่ายเงินค่าไถ่ไม่ว่าจะมาจากเงินของคุณเอง หรือผ่านการทำประกันภัยทางไซเบอร์ คือการให้รางวัลแก่แก๊งเหล่านี้ สำหรับพฤติกรรมของพวกเขา หมายความว่าพวกเขาได้รับเงินทุนที่ดีกว่า และสามารถใช้งานแคมเปญที่ซับซ้อนยิ่งขึ้นกับคุณ หรือองค์กรอื่น ๆ มันอาจช่วยให้คุณเจ็บปวดในระยะสั้น ๆ แต่การจ่ายค่าไถ่นั้น เป็นเพียงเชื้อเพลิงในการแพร่ระบาดของมัลแวร์เรียกค่าไถ่นั่นเอง

9. มีแผนการกู้คืน

แผนการกู้คืนที่ครอบคลุมภัยพิบัติทางเทคโนโลยีทุกประเภท ควรเป็นส่วนหนึ่งของการวางแผนทางธุรกิจ และควรรวมการตอบสนองของมัลแวร์เรียกค่าไถ่ ซึ่งไม่เพียงแต่เป็นการตอบสนองทางเทคนิคเท่านั้น การทำความสะอาดพีซี และการติดตั้งข้อมูลใหม่จากการสำรองข้อมูล แต่ยังรวมถึงการตอบสนองทางธุรกิจที่กว้างขึ้น ซึ่งอาจจำเป็น
สิ่งที่ต้องพิจารณา รวมถึงวิธีการอธิบายสถานการณ์ให้กับลูกค้า ซัปพลายเออร์ และสื่อมวลชน พิจารณาว่าหน่วยงานกำกับดูแลจำเป็นต้องได้รับแจ้งหรือไม่ หรือคุณควรโทรศัพท์แจ้งตำรวจ หรือบริษัทประกัน การมีเอกสารนั้นอาจไม่เพียงพอ: คุณต้องทดสอบสมมติฐานที่คุณทำด้วย เพราะบางส่วนจะผิดพลาดได้

10. สแกนและคัดกรองอีเมลก่อนถึงผู้ใช้งานในองค์กรของคุณ

วิธีที่ง่ายที่สุดในการหยุดพนักงานคลิกที่ลิงค์มัลแวร์ในอีเมล ซึ่งก็คืออีเมลจะไม่เข้ามาในกล่องจดหมาย ซึ่งหมายถึงการใช้การสแกนเนื้อหาและการคัดกรองอีเมล ซึ่งควรดูแลเรื่องของการหลอกลวงฟิชชิ่ง และมัลแวร์เรียกค่าไถ่จำนวนมากก่อนที่จะเข้าถึงเจ้าหน้าที่ผู้ปฏืบัติงาน

คุณอาจพิจารณาใช้โซลูชัน proffessional เพื่อปกป้องอีเมลของคุณเช่น Bitdefender GravityZone for Exchange. โปรดดูคุณสมบัติที่เหมาะสมและสำคัญที่สุด

เกิดอะไรขึ้นถ้าหากคุณติดมัลแวร์เรียกค่าไถ่

1. ทำการแยก/ปิดเครือข่าย และระบบต่าง ๆ

ขั้นตอนแรกในการจัดการการระบาดของมัลแวร์เรียกค่าไถ่ คือการแยกระบบที่ติดมัลแวร์ออกจากส่วนที่เหลือของเครือข่าย
ปิดระบบเหล่านั้น และดึงสายเคเบิลเครือข่ายออก ปิด WiFi ของระบบที่ติดมัลแวร์ โดยระบบดังกล่าวจะต้องถูกแยกออกจากคอมพิวเตอร์เครื่องอื่น และอุปกรณ์เก็บข้อมูลบนเครือข่ายอย่างสมบูรณ์

2. ระบุประเภทและกำจัดมัลแวร์เรียกค่าไถ่

จากนั้นให้ตรวจสอบว่ามัลแวร์ประเภทใดที่ติดเครื่องคอมพิวเตอร์ของคุณ ทีมรับมือเหตุการณ์องค์กรด้านไอที หรือที่ปรึกษาภายนอกนั้น จะสามารถกำหนดค่าของมัลแวร์เรียกค่าไถ่ และเริ่มวางแผนสำหรับวิธีที่ดีที่สุดในการจัดการกับการติดมัลแวร์ดังกล่าว

3. ล้างเครื่องที่ติดมัลแวร์ และกู้คืนจากข้อมูลสำรอง

เพื่อให้แน่ใจว่าไม่มีเศษซากของมัลแวร์เหลืออยู่ในระบบของคุณ เราขอแนะนำให้ทำการลบข้อมูลทั้งหมด แล้วเรียกคืนข้อมูลทุกอย่างจากการสำรองข้อมูลที่ปลอดภัย โดยสมมติว่ามีการสำรองข้อมูลที่ดี

4. การวิเคราะห์และติดตามการตรวจสอบภายหลัง

การเรียนรู้จากความผิดพลาด เป็นหนึ่งในวิธีที่ดีในการทำความเข้าใจกายวิภาคของการโจมตี และป้องกันการโจมตีที่คล้ายกันไม่ให้เกิดขึ้นอีกครั้ง

คุณควรจ่ายเงินค่าไถ่หรือไม่ ?

ไม่ควรทำการจ่าย ในกรณีส่วนใหญ่ที่เกิดขึ้น นั้นคุณไม่ควรจ่ายค่าไถ่ การป้องกันตัวเลือกมัลแวร์เรียกค่าไถ่ การสำรองข้อมูล และการกู้คืนที่มีอยู่ในปัจจุบันเป็นสิ่งสำคัญอย่างยิ่ง

หากคุณมีการทำงานทันทีเพื่อป้องกัน และมีการปกป้องข้อมูลจากมัลแวร์เรียกค่าไถ่ ดังนั้นการจ่ายเงินค่าไถ่จึงไม่เป็นตัวเลือกที่เราแนะนำนัก

อย่างไรก็ตามมันเป็นปัญหาที่ซับซ้อนกว่านั้น โดยเฉพาะถ้าคุณอ่านบทความนี้หลังจากข้อเท็จจริงที่ได้รับฟัง

มีประกันภัยไซเบอร์สำหรับสถานที่สำหรับการโจมตีโดยมัลแวร์เรียกค่าไถ่หรือไม่ สามารถซื้อ bitcoins เพื่อชำระค่าไถ่ได้ทันเวลาหรือไม่? มีการสำรองข้อมูลสำหรับระบบที่ถูกโจมตีหรือไม่? ข้อมูลมีความสำคัญต่อภารกิจหรือไม่? นี่เป็นคำถามสองสามข้อ ที่องค์กรอาจต้องถาม และตอบเมื่อพวกเขาพิจารณาว่าเหมาะสมสำหรับจ่ายค่าไถ่หรือไม่

ก่อนการพิจารณาการจ่ายค่าเงินเรียกไถ่

ต่อไปนี้เป็นรายการที่ต้องคิดให้ดีก่อนตัดสินใจจ่าย / ไม่จ่ายเงินค่าไถ่

1. ตรวจสอบนโยบายการประกันภัยไซเบอร์ของคุณ

การทำประกันภัยไซเบอร์ เป็นเรื่องใหม่ ที่สามารถช่วยชดใช้ค่าใช้จ่ายในการจัดการการรั่วไหลของข้อมูล หรือเหตุการณ์ความปลอดภัยทางไซเบอร์ที่คล้ายคลึงกัน ประกันสำหรับภัยไซเบอร์นั้น สามารถช่วยจัดการและครอบคลุมค่าใช้จ่ายเช่น:

 

  • แจ้งเตือนลูกค้า และผู้ที่ได้รับผลกระทบจากการละเมิดข้อมูล
  • กู้คืนข้อมูลเฉพาะตัวและชดเชยบุคคลที่ได้รับผลกระทบ
  • การกู้คืนข้อมูลที่ถูกบุกรุก
  • การสร้างระบบคอมพิวเตอร์ขึ้นใหม่

2.ร่วมมือกับการบังคับใช้กฎหมาย

หากการบังคับใช้กฎหมายนั้นมีความจำเป็น พวกเขา (เจ้าหน้าที่ที่บังคับใช้กฎหมาย) จะมีความเชี่ยวชาญ และข้อมูลเชิงลึกที่จะช่วยในการตัดสินใจเหล่านี้ ดังนั้นถ้าเหมาะสม ก็ควรที่จะนำพวกเขาเข้ามา

ตัวอย่างเช่น พวกเขาสามารถบอกได้ว่าการโจมตีนั้นมาจากกลุ่มที่พวกเขารู้แล้ว ซึ่งจะนำความรู้และประสบการณ์ก่อนหน้านี้มาสู่เหตุการณ์นี้

การจ่ายเงินให้กับองค์กรก่อการร้ายที่รู้จักกันนั้น อาจผิดกฎหมาย และไม่มีใครต้องการความรู้สึกสำหรับการคิดรับผิดชอบชั่วดี

3.มองหาอุปกรณ์สำหรับถอดรหัสดังกล่าว

ทำการออนไลน์ไปยังอินเตอร์เน็ต เพื่อค้นหาดูว่ามีเครื่องมือสำหรับถอดรหัสหรือไม่ หากกุญแจสำหรับการโจมตีนี้มีอยู่แล้ว ไม่จำเป็นต้องจ่ายเงินค่าไถ่ บางครั้งเมื่อตำรวจ และผู้เชี่ยวชาญด้านความปลอดภัยตรวจสอบกิจกรรมทางอาชญากรรมทางไซเบอร์ พวกเขาอาจได้รับคีย์ถอดรหัสจากเซิร์ฟเวอร์ที่เป็นอันตราย และแบ่งปันกันบนโลกออนไลน์

ข้อสรุป

มัลแวร์เรียกค่าไถ่นั้น มีความหมายเหมือนกันกับการละเมิดข้อมูล ซึ่งจะมีผลกระทบที่ร้ายแรง: ชื่อเสียงของเหยื่อ สามารถกลายเป็นเรื่องหมองมัวได้ ในขณะที่ผลกระทบทางกฎหมาย (GDPR / PDPA, CCPA, HIPPA ฯลฯ ) สามารถสร้างความเสียหายซึ่งมีมูลค่าหลายล้าน และอาจไปจนถึงหลักพันล้านในการสูญเสียดังกล่าว สำหรับบางคนเหตุการณ์ในโลกไซเบอร์ที่ร้ายแรง อาจทำให้องค์กรนั้นล้มละลายได้

สิ่งหนึ่งที่ผู้ให้บริการมัลแวร์เรียกค่าไถ่นั้นไม่เคยทำ ก็คือการทำซ้ำสำหรับทุกวิธีที่เคยทำในอดีตที่ผ่านมา เพื่อบีบบังคับให้ผู้ที่ตกเป็นเหยื่อให้ความร่วมมือ หากสิ้นปี 2019 เป็นสิ่งบ่งชี้ใด ๆ มัลแวร์เรียกค่าไถ่ในปี 2020 นั้น จะกลายเป็นอันตรายมากกว่าที่เคย – โดยเฉพาะอย่างยิ่งสำหรับธุรกิจขนาดใหญ่

ในกรณีนี้วิธีที่ดีที่สุดคือการป้องกัน และการใช้สามัญสำนึกในการรักษาความปลอดภัยไซเบอร์ในองค์กรของคุณ

หากคุณมีคำถาม หรือต้องการความช่วยเหลือเกี่ยวกับมัลแวร์เรียกค่าไถ่ โปรดอย่าลังเลที่จะติดต่อทีมงานของเรา เพื่อรับคำปรึกษาฟรี เรายินดีเป็นอย่างยิ่งที่จะให้ความช่วยเหลือแก่คุณ

close

BitdefenderTotal Security 2020

Regular Price: ฿999.00

ประหยัด:฿349.65

Special Price: ฿649.35