Ransomware knowledge

Ransomware Alert ! ระวังถูกเรียกค่าไถ่ ใช้ข้อมูลเป็นตัวประกัน ! + วิธีแก้ไข ป้องกัน

ในยุคที่ข้อมูลเกือบทุกอย่างถูก digitalize (ถูกเก็บในรูปแบบดิจิทัล) ไม่ว่าจะเพื่อความสะดวกในการประมวลผล, การค้นหา และ การเข้าถึง นั้น ส่งผลให้ชีวิตของผู้ใช้งานระบบใด ๆ ก็ตามง่ายขึ้น ไม่ว่าจะเป็นการเก็บรูปภาพ ซึ่งสามารถเก็บไว้ดูได้นานขึ้นพร้อมกับความละเอียดที่ดีขึ้น หรือการทำงานผ่าน spreadsheet ที่สามารถช่วยให้การคำนวณต่างๆ ทำได้เร็วขึ้น และการเก็บข้อมูลอื่น ๆ ที่นอกจากจะง่ายแล้ว ยังสามารถเก็บได้ในปริมาณมาก ๆ ไว้ในอุปกรณ์ที่ขนาดเล็กกว่าฝ่ามือ ที่ส่งผลให้การพกพาสะดวก และกลายเป็นส่วนหนึ่งในชีวิตของผู้คนไป และ จุดนี้เองเป็นจุดที่ทำให้ผู้ไม่ประสงค์ดีสามารถคิดวิธีหาเงินแบบแปลก ๆ ซึ่งก็คือการจับข้อมูลเราเป็นตัวประกันเพื่อเรียกค่าไถ่ ผ่านโปรแกรมประสงค์ร้ายที่เราเรียกกันว่า “MalWare” ที่เป็นประเภท “Ransomware” หรือ “โปรแกรมเรียกค่าไถ่” นั่นเอง

รูปแบบของโปรแกรมเรียกค่าไถ่ Ransomware

การทำงานของ Ransomware จะมีใน 2 รูปแบบหลัก ๆ ด้วยกัน

1. Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ โปรแกรม Ransomware จะทำการใช้งานฟังก์ชัน Lock Screen ของระบบปฏิบัติการของอุปกรณ์ที่ติด Ransomware (ทั้งที่เป็น Computer และ Mobile) ทำให้เราไม่สามารถเข้าสู่ Interface ปกติของอุปกรณ์ เพื่อเรียกใช้ Application หรือเข้าถึงข้อมูลใด ๆ ได้ แต่ข้อมูลและ Application ไม่ได้ถูกแตะต้องแต่อย่างใด
2. Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานอุปกรณ์ได้ และใช้งาน application ได้ตามปกติ แต่ Ramsomware จะใช้วิธีการเข้ารหัสไฟล์ไว้ (ภาษาชาวบ้านคือ ล็อกไฟล์ไว้) ไม่ให้ผู้ใช้งานสามารถเข้าถึงไฟล์ของตัวเองได้

การเรียกค่าไถ่แบบที่ 1. นั้นสามารถถูกแก้ไข เพื่อ bypass การ lock screen ได้โดยผู้เชี่ยวชาญด้านคอมพิวเตอร์ โดยที่ไม่จำเป็นต้องจ่ายค่าไถ่แต่อย่างใด
แต่สำหรับแบบที่ 2. นั้น ใน Ramsomware เวอร์ชั่นใหม่ ๆ (ที่โด่งดังก็มี CryptoWall, CryptoLocker, CryptoDefense และ TeslaCrypt)  ถูกพัฒนาให้ยากแก่การแก้ไข ทางที่ง่ายที่สุดที่จะได้วิธีถอดรหัสไฟล์ของเราคือการจ่ายเงินให้อาชญากร (การเรียกค่าไถ่เป็นอาชญากรรม) ที่ทำการเรียกค่าไถ่เรานั่นเอง
ซึ่งในบทความนี้จะกล่าวถึง Ransomware ในแบบที่ 2 – File Encrypting Ransomware

ระบบปฏิบัติการที่เป็นเป้าหมาย

ส่วนใหญ่เป็นระบบปฏิบัติการ Windows เป็นหลัก และ เริ่มพบในระบบปฏิบัติการณ์ Android บ้างแล้ว สำหรับระบบปฏิบัติการ อื่น ๆ ก็ใช่ว่าจะปลอดภัย 100% ในอนาคต

ขั้นตอนการทำงานของ File Encrypting Ransomware

เมื่อ Ransomware เริ่มทำงานบนเครื่องคอมพิวเตอร์ของเครื่องเป้าหมายแล้ว จะมีขั้นตอนดังต่อไปนี้เพื่อเข้ารหัสไฟล์และเรียกค่าไถ่จากเหยื่อ

1. การติดตั้ง (Installation)

• โปรแกรมจะติดตั้งตัวเองลงบนคอมพิวเตอร์รวมถึงการตั้งค่าให้ตัวมันเองทำงานทุกครั้งที่มีการเปิดเครื่องคอมพิวเตอร์

2. เชื่อมต่อไปยัง Command & Control Center (C&C)

• Command & Control Center ถือเป็นศูนย์กลางการควบคุม Ransomware ที่ทำการเก็บข้อมูล และ key สำหรับถอดรหัสของเครื่องคอมพิวเตอร์เหยื่อแต่ละราย ซึ่ง Ransomware จะทำการติดต่อกับ C&C ให้ได้ก่อนที่จะกระทำการใด ๆ ต่อไป

3. ทำการระบุเครื่องเป้าหมาย และ สร้าง key เพื่อเข้ารหัสเครื่องไฟล์บนเป้าหมาย

• Ransomware ที่ติดตั้งบนเครื่องเหยื่อแต่ละราย เมื่อติดต่อกับ C&C ได้แล้ว จะมีขั้นตอนเพื่อระบุให้ได้ว่าใครคือใครผ่านขั้นตอนที่เรียกว่าการทำ handshake จากนั้นจะทำการสร้าง key ที่จะใช้ใน Asymmetric Key Encryption (จะกล่าวถึงในรายละเอียดต่อไป) เพื่อเข้ารหัสไฟล์บนเครื่องของเหยื่อมา 2 key ทั้ง 2 key นี้จะถูกเรียกว่า Public key และ Private key ซึ่ง Public key คือ key ที่จะใช้เข้ารหัสและส่งมามาที่เครื่องของเหยื่อ ส่วน Private Key ที่จะใช้ถอดรหัส จะถูกเก็บไว้ที่เครื่อง C&C โดยใช้ key 1 คู่ ต่อเหยื่อ 1 เครื่อง

4. เข้ารหัสไฟล์บนเครื่องเป้าหมาย

• เมื่อ Ramsomware ได้ทำการเตรียมการกับ C&C แล้ว และ Public Key ถูกส่งมาที่เครื่องของเหยื่อแล้ว Ransomware จะทำการค้นหาไฟล์ที่มันคิดว่ามีความสำคัญกับผู้ใช้งาน เช่น รูปภาพ (เช่น .jpg, .gif, .png), วิดีโอ (เช่น .avi, .mpeg, .mov), เอกสาร office (เช่น .doc, .docx, .xls, .xlsx) โดยดูจาก File extension หรือนามสกุลของไฟล์นั่นเอง จากนั้นจะทำการเข้ารหัสไฟล์ทั้งหมด ผ่าน RSA Algorithm โดยใช้ Public Key เป็นกุญแจในการเข้ารหัส ในทางเทคนิคแล้วไฟล์ที่ถูกเข้ารหัสแล้วจะยังสามารถอ่านได้ แต่จะไม่ใช่ในแบบที่เคยเป็น และดูไม่รู้เรื่อง สำหรับคนทั่วไปคือ ไฟล์ของท่านใช้งานไม่ได้แล้ว

5. แสดงตัวเพื่อขู่กรรโชกทรัพย์ (Extortion)

• หลังจากที่ Ransomware เข้า รหัสไฟล์เรียบร้อย จะแสดงหน้าจอเตือนผู้ใช้งานว่าไฟล์ทั้งหมดถูกเข้ารหัสแล้วและไม่สามารถใช้ งานได้ และต้องยอมจ่ายเงินเป็นจำนวนตามที่ Ransomware เรียกร้อง แล้วจะส่ง Private key ที่ใช้ในการเข้ารหัสมาให้ ไม่เช่นนั้นจะทำการลบ Private Key ทิ้งและจะไม่สามารถเข้าถึงไฟล์ได้อีกต่อไป

รูปที่ 1 : ภาพหน้าจอคอมพิวเตอร์เมื่อโดน Ransomware เข้ารหัสไฟล์เรียบร้อย

รูปที่ 2 : Ransomware จะบอกด้วยว่าไฟล์ใดถูกเข้ารหัสบ้าง

Asymmetric Key Encryption (การเข้ารหัสแบบที่การเข้ากับถอดรหัสจะใช้ key คนละ key หรือ Public key Encryption)
โดยทั่วไป หากเราเปรียบเทียบการเข้ารหัสกับการล็อกแม่กุญแจแล้ว คงจะไม่แปลกที่จะเห็นภาพการล็อกและปลดแม่กุญแจด้วยลูกกุญแจเพียงดอกเดียว ซึ่งการเข้ารหัสตามหลักการนี้เรียกว่า Symmetric Key Encryption ตามรูปที่ 3

Symmetric Key Encryption (ภาพจาก access.redhat.com)

Original Data คือข้อมูลปกติก่อนเข้ารหัส, Scrambled Data คือข้อมูลที่ถูกเข้ารหัสแล้วไม่สามารถอ่านเข้าใจหรือใช้งานได้
โดยที่จุดอ่อนของ Symmetric Key Encryption คือการแจกจ่ายคีย์ให้กับผู้เกี่ยวข้อง เนื่องจาก key ที่ถูกใช้เข้ารหัสและถอดรหัสคือ key เดียวกัน ฉะนั้นหากรั่วไหลไประหว่างการส่งหรือที่ใด ๆ ก็ตามจะส่งผลต่อความลับของข้อมูลได้
ด้วยเหตุนี้เอง Asymmetric Key Encryption จึงถูกคิดค้นมาเพื่อแก้จุดอ่อนของ Symmetric Key Encryption โดยอาศัยฟังก์ชั่นทางคณิตศาสตร์ ทำให้การเข้ารหัสและถอดรหัสต้องกระทำผ่านกุญแจ (Key) คนละตัว โดยทั้งสอง Key นี้ หากใช้อันใดอันหนึ่งเข้ารหัสแล้ว ต้องใช้อีกอันที่ถูกสร้างขึ้นมาคู่กันเท่านั้นในการถอดรหัส ซึ่งตัวใดตัวหนึ่งจะถูกเก็บเป็นความลับ เรียกว่า Private Key และอีกตัวจะเป็น Public Key ทีนี้หาก Key ที่เป็น Public ถูกเปิดเผย ไม่ว่าจะด้วยเหตุใดก็ตาม ก็จะไม่ส่งผลต่อข้อมูลที่ถูกเข้ารหัสแล้ว การทำงานของ Asymmetric Key Encryption จะเป็นดังรูปที่ 4

รูปที่ 4 : Asymmetric Key Encryption (ภาพจาก packetlife.net)

การเข้ารหัสทั้งสองวิธีนั้น จะมีเพียง key อย่างเดียวก็ไม่ได้ ต้องประกอบด้วย Algorithm (วิธีการในการเข้ารหัสด้วย) ซึ่งหากทั้ง 2 องค์ประกอบที่ว่านี้ มีความแข็งแกร่งแล้ว การถอดรหัสก็จะทำได้ยากมาก ๆ
Ransomware จะใช้ Asymmetric Key Encryption ในการเข้ารหัสไฟล์ของเหยื่อ โดยความยาวของ key จะมีขนาด 2048 bits ขึ้นไป (คิดง่าย ๆ 2048 bits ก็ 256 ตัวอักษร เดายากแค่ไหนคงไม่ต้องบอก) ประกอบกับ Algorithm (วิธีการในการเข้ารหัส) ที่แข็งแรงอย่างเช่น RSA

ช่องทางการส่ง Ransomware ไปยังเหยื่อ

ช่องทางหลักก็จะเป็นทาง Email โดยจะเป็นข้อความในเชิงบอกว่าผู้ใช้งานกำลังประสบปัญหาบางอย่าง หากอยากแก้ไขให้โหลดโปรแกรมไปใช้, ข้อความผ่านโปรแกรม chat เนื้อหาคลายคลึงกับ Email และตามเว็บไซต์ต่าง ๆ เช่น หลอกผู้ใช้งานว่าเป็นโปรแกรม Antivirus ให้โหลดไปใช้งานได้ฟรี รวมถึงการแอบฝังมาพร้อมกับซอฟท์แวร์อื่น ๆ เช่น เกมส์ที่ผิดลิขสิทธิ์และให้ดาวน์โหลดฟรี
และเมื่อโปรแกรมที่ว่า (ซึ่งก็คือ Ransomware) ถูกสั่งให้ทำงานโดยผู้ใช้งานแล้วก็จะดำเนินการตามที่ได้กล่าวมาในข้างต้น
ในการส่งไฟล์ Ransomware ให้เหยื่อโดยตรงนั้น โจรมักจะใช้เทคนิค Double Extension ในการแปลงกายไฟล์ให้ดูน่าเชื่อถือ ผ่านการทำงานของ Windows ที่เรียกว่า “Hide extensions for known file types” ดังรูปที่ 5

รูปที่ 5 : เปรียบเทียบก่อนและหลังการปิด “Hide extension for known file types”

นอกจากกลยุทธ์ข้างต้นที่เป็นการหลอกให้ผู้ใช้งานเปิดไฟล์ Ransomware ด้วยตัวเองแล้ว ยังมีแบบที่ผู้โจมตีใช้ Backdoor ที่เกิดจาก Malware ตัวอื่น ๆ หรือเข้าสู่ระบบ ด้วย Username/Password ที่คาดเดาได้ง่าย เพื่อมาทำการติดตั้งและสั่งให้ Ransomware ทำงานด้วยตัวเองอีกด้วย

ความเสียหายเกิดกับเฉพาะเครื่องคอมพิวเตอร์ที่ติด Ransomware หรือไม่?

ทั้งใช่ และ ไม่ใช่ เนื่องจาก Ransomware (ในปัจจุบัน) ไม่ได้ถูกออกแบบมาให้ทำงานเหมือน Virus หรือ Worm ที่สามารถแพร่กระจายไปตามที่ต่าง ๆ ได้ แต่หากเครื่องคอมพิวเตอร์ที่ติด Ransomware มี การเชื่อมต่อ Mapped Network Drive, USB Storage และมีสิทธิ์ในการเขียนไฟล์ลงในพื้นที่ดังกล่าวด้วยแล้ว ก็จะทำให้ไฟล์ในพื้นที่เหล่านั้นถูกจับเป็นตัวประกันได้ด้วย เพราะ Ransomware จะควานหาทุกไฟล์ที่เครื่องที่ติด Ransomware สามารถเข้าถึงได้
แต่ก็เป็นไปได้ที่จะเกิด Ransomware ที่มีความสามารถของ Virus และ Worm ซึ่งไม่จำเป็นต้องมีคนไปสั่งการ สามารถที่จะทำงานได้เอง

ช่องทางการจ่ายเงินให้อาชญากร

โดยมากแล้วอาชญากรมักจะให้จ่ายเงินในตระกูล Bitcoin (ค่าเงินในโลกไซเบอร์ซึ่งมีอัตราแลกเปลี่ยนเหมือนเงินปกติทุกประการ) เพราะไม่สามารตามร่องรอยได้แม้จะรู้เลขบัญชีของอาชญากร (หากอาชญากรไม่เคยเผลอเปิดเผยซะเองไว้ที่ไหนสักแห่ง) และช่องทางอื่น ๆ ที่คล้ายกับ Bitcoin ซึ่งไม่สามารถตามรอยได้

จ่ายแล้วจะได้ข้อมูลคืนจริงหรือ

เท่าที่ผู้เขียนได้ข้อมูลมานั้น ผู้ที่ยอมจ่ายค่าไถ่มักจะได้ข้อมูลคืนจริง เพื่อที่ว่าโจรนั้นจะได้หากินได้เรื่อย ๆแต่ก็มีบ้างที่ไม่ได้คืน

ควรจ่ายค่าไถ่หรือไม่

ท้ายที่สุดแล้วการตัดสินใจก็ต้องเป็นไปตามที่ผู้ถูกโจมตีเห็นสมควรว่าจะจ่ายหรือไม่ แต่ผู้เขียนอยากให้ข้อคิดไว้นิดหนึ่งว่า

1. ในทุก ๆ วัน เราเสี่ยงกับการเสียหายของข้อมูลอยู่แล้วไม่ทางใดก็ทางหนึ่ง และหลาย ๆ แบบก็ทำให้เราไม่สามารถกู้ข้อมูลกลับมาได้ก็มี เช่น ความเสียหายทางกายภาพของอุปกรณ์ที่เก็บข้อมูล, ภัยจากการขโมยและจารกรรม และอื่น ๆ ซึ่งโอกาสในการจะได้ข้อมูลคืนแทบไม่ต่างจากการโดน Ransomware เล่นงาน
2. การขู่กรรโชกทรัพย์ด้วย Ransomware ถือเป็นอาชญากรรม ซึ่งหมายความว่าเรากำลังเผชิญกับอาชญากรซึ่งหากินอยู่บนความเดือดร้อนของคน อื่น และเป็นสิ่งที่เราสามารถเลือกได้ว่าจะให้อาชญากรเห็นว่าการกระทำนี้สามารถ ที่จะสร้างรายได้ให้กับเขาจริง ๆ หรือ

การแก้ไขและป้องกัน

ในกรณีที่ถูก Ransomware โจมตีได้สำเร็จแล้ว (Reactive Action) การแก้ไขสามารถทำได้ดังนี้

1. Restore File จาก Backup ที่เก็บไว้ หรือใช้งานฟังก์ชัน Restore ของระบบปฏิบัติการ หรือ ฟังก์ชัน Shadow Copy แต่ทั้งหมดนี้นี้จำเป็นที่จะต้องอาศัยการ Backup ข้อมูลมา สร้าง Restore Point ไว้ และ/หรือ เปิดการทำงานของ Shadow Copy ล่วงหน้า แต่ Ransomware ตัวใหม่ ๆ สามารถที่จะลบ Shadow Copy และ Restore Point ทิ้งได้เหมือนกัน
2. Ransomware บางตัวสามารถถูกถอดรหัสได้โดยใช้เครื่องมือที่ผู้ผลิต Antivirus หรือผู้เชี่ยวชาญจากที่อื่น ๆ ได้ทำไว้ ซึ่งมักจะมีเฉพาะ Ransomware รุ่นเก่า ๆ และผู้ใช้ต้องระมัดระวัง ดาวน์โหลดโปรแกรมแก้ไขนี้จากแหล่งที่น่าเชื่อถือเท่านั้น
3. โดยปกติแล้วตัว Ransomware จะบอก Algorithm ที่มันใช้เข้ารหัสไฟล์ต่าง ๆ ไว้ เราสามารถใช้ข้อมูลนี้ในการที่จะทำการเดา key (Bruteforce Attack หรือ Dictionary attack) แต่อย่างที่กล่าวไว้ในข้างต้น ว่า key ที่ใช้นั้นจะมีความยาวมาก ๆ ประกอบกับ Algorithm ที่แข็งแกร่ง ทำให้ระยะเวลาที่จะทำสำเร็จนั้นไม่ได้เป็นช่วงระยะเวลาที่ยอมรับได้ คืออาจจะเป็นเดือน หรือเป็นปี และยังมีปัจจัยทางเทคนิคอีกหลายอย่างที่ทำให้วิธีนี้ไม่ถูกมองว่าเป็นการ แก้ไขปัญหาที่มีประสิทธิผลพอ และต่อให้ถอดรหัสได้ที่เครื่องเหยื่อเครื่องใดเครื่องหนึ่งแล้ว ก็ไม่สามารถนำไปช่วยเครื่อง อื่น ๆ ได้อีก อยู่ดี
4. ใช้โปรแกรม Ransomware Removal ที่จะช่วยลบ Ransomware ออกจากเครื่องให้สิ้นซาก แต่โปรแกรมประเภทนี้ไม่สามารถถอดรหัสไฟล์ที่ถูกเข้ารหัสแล้วได้ ทำได้เพียงเอา Ransomware ออกไปเท่านั้น และต้องทราบไว้ด้วยว่าการล้าง Ransomware ออกจากเครื่องโดยที่ไฟล์ยังเข้ารหัสอยู่ อาจทำให้ไม่สามารถถอดรหัสไฟล์ได้อีกต่อไป

ในกรณีที่จะป้องกันตัวเองจาก Ransomware และ Malware อื่น ๆ (Proactive Action)

1. แน่นอนว่าต้องมีการทำการ Backup ไฟล์ที่สำคัญอย่างสม่ำเสมอ และแยกที่เก็บข้อมูลในการ Backup กับข้อมูลที่ใช้งาน เพื่อป้องกัน Single Point Of Failure
2. ระแวดระวังในการเปิดไฟล์ที่ไม่ทราบแหล่งที่มา
3. ติดตั้ง Antivirus และต้องอัพเดทอยู่เสมอ
4. ปิดฟังก์ชัน “Hide extensions for known file types” ใน Folder Options เพื่อป้องกันในกรณีที่ผู้ส่ง Ransomware ใช้ เทคนิค Double Extension ในการซ่อนประเภทที่แท้จริงของไฟล์
5. อัพเดทระบบปฏิบัติการอยู่เสมอ
6. ไม่ให้สิทธิ์ระดับ Administrator/root กับ user account ที่เราใช้งานปกติบนเครื่องคอมพิวเตอร์ของเรา
7. กำหนดรหัสผ่านของทุก User account ให้ยากต่อการคาดเดา
8. ทำการ Scan เครื่องคอมพิวเตอร์ที่ใช้งานอยู่ ด้วย Antivirus เป็นประจำเพื่อค้นหาและกำจัด Malware ที่อาจจะเป็น Backdoor ได้

สรุป

Ransomware ก็เหมือนกับ Software และ Malware อื่น ๆ ที่มีการถูกพัฒนาและเปลี่ยนแปลงการทำงานไปได้เรื่อย ๆ ซึ่งบางตัวก็มีความแตกต่างจากในบทความนี้ไม่มากก็น้อย การป้องกันที่เป็น แบบ Reactive Action (เกิดเหตุก่อนแล้วจึงแก้ไขทีหลัง) นั้นก็จะไม่ได้ประสิทธิภาพ ทั้งยังเสียเวลาโดยที่อาจจะไม่ได้อะไรคืนมาเลย (เพราะบางทีจ่ายเงินแล้วถอดรหัสไม่ได้ก็มี) ดังนั้นการป้องกันแบบ Proactive Action (ดำเนินการป้องกันก่อนเหตุจะเกิด) นั้นย่อมให้ผลที่ดีกว่า ตัวอย่างง่าย ๆ เกี่ยวกับ Concept การ Backup ข้อมูลที่สำคัญอย่างสม่ำเสมอ ที่ไม่ใช่เรื่องใหม่ แต่ก็เป็นการป้องกันที่ให้ผลดีที่สุด ประกอบกับวิธีอื่น ๆ ที่กล่าวมาในเนื้อหาของบทความ ก็จะทำให้เราปลอดภัยในโลกไซเบอร์ได้

References

1. https://nakedsecurity.sophos.com/2013/10/18/cryptolocker-ransomware-see-how-it-works-learn-about-prevention-cleanup-and-recovery/
2. http://www.pcworld.com/article/2084002/how-to-rescue-your-pc-from-ransomware.html
3. https://www.virustotal.com
4. ACIS Cyber Lab
ขอบคุณบทความจาก  อ. สันต์ธนฤทธิ์ ประภัสสราภรณ์ ตรวจทานโดย อ. นิพนธ์ นาชิน , อ. ปริญญา หอมเอนก  ACIS Cyber LAB, ACIS Professional Center,it24Hr