บทความพิเศษ : ทางเลือกเมื่อโดน ไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker

เนื่องจากมีลูกค้าโทรสอบถามเข้ามาเป็นจำนวนมาก เกี่ยวกับไวรัสเรียกค่าไถ่ Crypt0L0cker หรือ CryptoWall 3 หรือไวรัสที่ทำงานในลักษณะเดียวกันประเภทอื่นๆ เราเคยมีบทความแจ้งเตือนไปแล้วครั้งนึง แต่เหมือนการกลับมาระบาดใหม่ครั้งนี้มากกว่าเดิม ไวรัสมีการพัฒนาไปสู่การเข้ารหัสแบบ RSA 2048 bit เราจึงขอรวบรวมรายละเอียดทั้งหมด เพื่อเสนอทางออก วิธีแก้ไข วิธีป้องกัน เพื่อมาแจ้งเตือนกันอีกครั้งครับ

อัพเดทล่าสุด 2/11/2558 หน่วยอาชญากรรมเทคโนโลยีระดับสูงแห่งเนเธอร์แลนด์ (National High Tech Crime Unit – NHTCU) บุกยึดเซิร์ฟเวอร์ควบคุมมัลแวร์ CoinVault และ BitCryptor ซึ่งทาง Kaspersky ได้อัพเดทฐานข้อมูลตัวถอดรหัสไฟล์แล้ว ลองลุ้นกันดูครับ ถ้าใครเป็นเหยื่อโดนล็อคไฟล์เข้าไปอ่านคู่มือที่นี่ ดาวน์โหลดตัวถอดรหัสที่นี่ https://noransom.kaspersky.com/ สำหรับคนที่ตกเป็นเหยื่อคงมีทางเลือกไม่มากคือ ทำใจลบล้างเครื่องทิ้ง / ยอมจ่าย / หรือเก็บไฟล์ไว้รอตัวปลดรหัส 

ติดตามข่าวสารอัพเดทเกี่ยวกับไวรัส Ransomware และข่าวไอทีอื่นๆ

facebook fanpage

อัพเดทล่าสุด 21/10/2558 FBI ออกแถลงว่าใครที่ติดไวรัสให้ทำใจ หากไฟล์นั้นสำคัญ ต้องยอมจ่ายเงิน เพราะไม่มีโอกาสแก้ไข หรือ กู้ไฟล์ใดๆได้ 

อัพเดทล่าสุด 1/10/2558 แล็บกู้ข้อมูลทั้งไทยและต่างประเทศ ยังไม่สามารถทำกาแก้ไขไฟล์ที่โดนไวรัสดังกล่าวได้ ทำได้เพียงต้องยอมจ่ายเงิน หรือ ทำใจลบไฟล์ทิ้งไปเท่านั้น 

– สำหรับคำถามที่ถามมาว่า จ่ายเงินโจรแล้ว จะได้ไฟล์คืนหรือไม่ คำตอบคือ ลูกค้าต้องลองศึกษาข้อมูล การจ่ายเงิน ที่ถูกต้องเอง เพราะมีคนจ่ายแล้วได้ก็มี ไม่ได้ก็มีครับ ซึ่งผมเองไม่กล้ายืนยันอะไร ว่าจ่ายแล้วจะได้ทุกราย เพราะหากจ่ายแล้วไม่ได้ ผมคงรับผิดชอบให้ทุกคนไม่ไหว (รายละเป็นหมื่น >.<)

การติดไวรัส Crypt0L0cker สามารถติดได้ทั้งทาง Website Email (เจอบ่อยที่สุด) จะได้รับอีเมลใบสั่งซื้อสินค้า หรืออีเมลแจ้งการติดตามพัสดุของบริษัทขนส่งสินค้าชื่อดัง โดยที่จะมีข้อความหลอกลวงคล้ายคลึงกับอีเมลสั่งซื้อสินค้าจริงๆ โดยในอีเมลจะมีการแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF และการลามผ่านทาง Network หรือ USB เรียกได้ว่าสามารถติดได้ทุกช่องทาง (ภาพตัวอย่างอีเมล์) ลักษณะจะมาเป็นไฟล์ zip เมื่อกดเปิดจะโดนล็อคทันที

ทราบได้อย่างไรว่าเครื่องเราโดนไวรัสเรียกค่าไถ่ RansomWare : Crypt0L0cker 

เมื่อเครื่องเราติดไวรัส สามารถสังเกตได้โดยชื่อไฟล์ เอกสาร.xls กลายเป็น เอกสาร.XLS.dsdaojg หรือ Kitty หรือชื่ออื่นๆ เมื่อเราลอง Rename นามสกุลไฟล์ .dsdaojg กลับมาเป็น xls เหมือนเดิม ก็ไม่สามารถเปิดไฟล์เอกสารได้ (หรือเปิดแล้วเป็นตัวอักษรต่างดาว) อีกอาการคือ จะมีไฟล์ชื่อ HELP_DECRYPT ขึ้นมาในทุกๆโฟลเดอร์ที่ไฟล์โดนเข้ารหัส (ดังตัวอย่างในภาพ) จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป ทั้งนี้ไม่ใช่เฉพาะข้อมูลในคอมพิวเตอร์ของเหยื่อเท่านั้นที่ถูกเข้ารหัสลับ แต่ข้อมูลที่แชร์ร่วมกันในระบบเครือข่าย รวมถึงข้อมูลใน Dropbox / Google Drive ก็ถูกเข้ารหัสลับด้วยเช่นกัน

สิ่งที่ต้องทำเมื่อโดนไวรัส Crypt0L0cker ให้แยกเครื่องดังกล่าวออกจาก network ทันที เพื่อป้องกันการแพร่ระบาดสู่เครื่องอื่นในวงแลน รวมทั้งไม่ควรนำ External HDD หรือ Flash Drive ที่มีข้อมูล มาทดลองต่อ เพราะอาจติดไปด้วย รีบ Copy เอาไฟล์ข้อมูลที่ยังไม่โดนล็อคออกมาก่อน

วิธีการกู้ไฟล์ที่โดนเข้ารหัสกลับคืน สิ่งที่เราแนะนำเป็นอย่างแรกเลยคือ การทำใจเพราะโอกาสได้คืนน้อยมาก ไวรัสเข้ารหัสทำการเข้ารหัสไฟล์ด้วย RSA 2048 bit จึงไม่มีทางกู้คืนไฟล์ข้อมูลได้เลย ยอมเสียไฟล์และ Format ทิ้งไป เราแนะนำทางออกดังนี้

– ห้ามทำการสแกนไวรัสด้วยโปรแกรม Anti Virus ใดๆทุกชนิด เพราะโปรแกรมจะไปลบตัวไวรัส และคีย์ Private Key ของเครื่องนั้นๆทิ้ง ไฟล์จะโดนล็อคถาวร ให้นำเครื่องส่งศูนย์กู้ข้อมูล ATL Recovery ทันที

– สำหรับ Window Server ตรวจสอบว่าได้มีการเปิด Feature Shadow Copy ไว้หรือไม่ หากเปิดไว้ สามารถ Restore ไฟล์กลับคืนได้

– ลองดาวน์โหลดเครื่องมือถอดรหัสดังต่อไปนี้ Kaspersky / Fisheye / Cisco (เนื่องจากไวรัสเรียกค่าไถ่มีหลายชนิด หากไม่ตรงกันจะไม่สามารถถอดได้)

เครดิตภาพจากคุณ doggone เว็บไซต์ Pantip

จากภาพด้านล่าง เหยื่อไวรัสตัดสินใจจ่ายเงินค่าไถ่ไฟล์ เป็นเงิน Bitcoin ประมาณ 16,000 บาทแลกกับไฟล์สำคัญที่มีคุณค่าทางใจกับคืน หลังจากการจ่าย แฮกเกอร์จะตรวจสอบและส่งไฟล์ถอดรหัส Decrypt.zip มาให้ เมื่อเราทำการแตกไฟล์ จะสามารถเลือกไดรฟ์และถอดรหัสไฟล์กลับคืนได้ การจ่ายเงินเพื่อถอดรหัสไฟล์แต่ละชนิดแตกต่างกันไป ต้องอ่านตามวิธีที่ไวรัสแจ้งไว้เอง แต่ค่นข้างใกล้เคียงกับด้านล่าง

แนวทางป้องกันไวรัสเรียกค่าไถ่ Ransomware Crypt0L0cker

– ควรจะหมั่นสำรองข้อมูล ของคุณเก็บไว้ที่อื่นบ้าง เผื่อวันไหน ต่อให้ไม่โดน Ransomware แต่ Hard Disk พัง ก็ข้อมูลหายเหมือนกันอยู่ดี ดังนั้นการ Backup คือการป้องกันที่ดีที่สุด แนะนำให้หา Harkdisk อีก 1 ลูกทำหน้าที่ Backup ไฟล์งาน หรือรูป อยู่เสมอๆ รวมไปถึงการใช้บริการ Cloud Storage อย่าง Dropbox  ในการเก็บไฟล์ด้วย จะทำให้ มีความปลอดภัยมากยิ่งขึ้น

– ให้ดาวน์โหลดเครื่องมือมาติดตั้งที่ Server และ Client ตามนี้ คลิ๊กเพื่อดาวน์โหลด

 – Add blacklist ใน Firewall เพื่อ block URL ดังต่อไปนี้

http://tkj3higtqlvohs7z.oe92jfee23.com
http://tkj3higtqlvohs7z.feoks62f22.com
https://tkj3higtqlvohs7z.s5.tor-gateways.de
http://torproject.org
http://tkj3higtqlvohs7z.onion/
38.229.72.12
86.59.30.40
82.195.75.101
46.4.123.73
173.245.58.245
173.245.59.115
173.245.58.185
173.245.59.205
62.141.32.2
62.241.33.128
62.141.34.2

…
รวมถึงการตั้งค่า Block ไฟล์ zip หรือไฟล์นามสกุลแปลกๆไปเลย หากองค์กรไม่มีความจำเป็นต้องใช้ไฟล์เหล่านั้น

อย่างไรก็ดี การแก้ไขปัญหาดังกล่าวเป็นเพียงจุดเล็กๆอย่างหนึ่งที่เราสามารถทำได้เท่านั้น เพราะในภายหน้าก็ต้องมีไวรัสใหม่ๆ พัฒนาเปลี่ยนรูปแบบออกมาอยู่ดี ซึ่งเราไม่สามารถใช้เทคนิคนี้ป้องกันได้ตลอด สำหรับองค์กร การจัดเทรนนิ่งให้ความรู้ภายในองค์กร และการส่งจดหมายข่าวแจ้งเตือน เพื่อให้ความรู้กับ user เกี่ยวกับไวรัสใหม่ๆ เป็นเรื่องที่สำคัญที่สุด แถมยังช่วยให้ฝ่ายไอทีมีความสัมพันธ์อันดีกับพนักงานอีกด้วย 

คำถามที่พบบ่อย

แก้ไวรัส โดยไม่จ่ายเงินให้โจรได้หรือไม่?

– แก้ได้ โดยใช้โปรแกรม Antivirus ทั่วไป แต่ไฟล์ยังคงโดยล็อคไว้เหมือนเดิม

แล้วถ้าต้องการกู้ไฟล์ ทำได้หรือไม่?

– แล็บกู้ข้อมูลไม่สามารถกู้ได้ครับ เพราะไม่มีคีย์สำหรับถอดรหัสไฟล์ ต้องจ่ายเงินค่าไถ่ให้โจร เคสนี้ใครเจอกับตัวเจ็บใจมาก

แล็บกู้ข้อมูลต่างประเทศกู้ได้หรือไม่?

– ไม่ได้เช่นกันครับ

ตำรวจจับไม่ได้เหรอ?

– แฮกเกอร์พวกนี้อยู่ที่ไหนไม่รู้เหมือนกัน แต่หวังพึ่งตำรวจคงยาก เพราะเมื่อช่วงสงกรานต์ที่ผ่านมามีข่าวว่า เซิร์ฟเวอร์ตำรวจสหรัฐฯ ก็ถูกเข้ารหัสข้อมูล ต้องยอมจ่ายเงินค่าถอดรหัส

รู้ได้ไงว่าจ่ายเงินให้โจรแล้ว จะได้ข้อมูลคืน?

– ต้องเสี่ยงเอาครับ

จะป้องกันไม่ให้โดนอีกได้ยังไง?

– เครื่องมือและโปรแกรม AntiVirus ที่อัพเดทอยู่สม่ำเสมอ สามารถช่วยได้บ้าง สิ่งสำคัญคือผู้ใช้ต้องไม่เปิดไฟล์แปลกๆจากคนที่รู้จักครับ โดยเฉพาะไฟล์ zip หรือไฟล์แปลกๆต่างๆที่ส่งมาทางเมล์

บริการที่แนะนำสำหรับป้องกันไฟล์สำคัญหาย

– พื้นที่เก็บข้อมูลออนไลน์

..

บทความโดยศูนย์กู้ข้อมูล ATL Recovery / ภาพประกอบจาก thaiadmin , pantip 

About the author

ศูนย์กู้ข้อมูล ATL Recovery รับกู้ข้อมูล กู้ไฟล์ จากหน่วยความจำทุกชนิด "กู้ไม่ได้ไม่คิดเงิน" โทร 081 318 4466 วันนี้เรากู้ข้อมูลคืนให้ลูกค้าแล้วกว่า 2,500 ราย

Related posts

ส่งกู้ข้อมูลกับ ATL Recovery ได้แล้วที่สิงคโปร์
08/05/2019

วิธีกู้ข้อมูล SSD และอายุการใช้งาน 2021
27/03/2019

กู้ข้อมูล bitcoin และกระเป๋า crypto currency
20/08/2018

6 เคล็ดลับในการป้องกันข้อมูลสูญหาย สำหรับ RAID Storage
09/08/2017

จะทำอย่างไรเมื่อข้อมูลหาย
18/07/2017

6 สาเหตุที่หลักที่ทำให้กู้ข้อมูลไม่ได้ ร้องไห้แป๊ป
30/04/2017