เมื่อสัปดาห์ก่อน มีเพื่อนที่รู้จักกันหิ้วคอมพิวเตอร์โน้ตบุ๊คมาหาที่บ้าน พร้อมความวิตกกังวลมากมาย เพราะไฟล์งานสำคัญในเครื่องเปิดใช้งานไม่ได้ ไม่เฉพาะไฟล์งานเอกสารเท่านั้น แต่รวมไปถึงไฟล์ภาพมากมาย วีดิโอคลิป เพลง MP3 ในเครื่องทั้งหมด และจะมีหน้าต่างป๊อบอัพมาเตือนว่า "ไฟล์ในเครื่องของคุณทั้งหมดถูกเข้ารหัสไว้แล้ว หากต้องการใช้งานไฟล์ที่ถูกเข้ารหัสนี้ โปรดจ่ายค่าไถ่เป็น Bitcoin จำนวน 100$ ไปตามที่อยู่ข้างล่างนี้" กำไม่แบสิครับ "โอกาสจะได้ไฟล์คืนมามีไหม?" เพื่อนถามด้วยความกังวลใจ

คำตอบเบาๆ จากผมคือ "50:50" คือ ถ้าเจอโจรคุณธรรมจ่ายตังค์แล้วได้ตัวถอดรหัสมาก็มีโอกาสได้ไฟล์คืน แต่... ผมไม่เชื่อว่า "โจร จะมีคุณธรรม" ดังนั้น นอกจากจะสูญเสียเงิน 100$ ไปแล้วยังจะสูญเสียไฟล์ไปตลอดกาลอีกด้วย

Ransomware คืออะไร?

Ransomware เป็น มัลแวร์ (Malware) ประเภทหนึ่งที่มีลักษณะการทำงานที่แตกต่างกับมัลแวร์ประเภทอื่นๆ คือไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูลของผู้ใช้งานแต่อย่างใด แต่จะทำการเข้ารหัสหรือล็อกไฟล์ ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ผู้ใช้งานจะไม่สามารถเปิดไฟล์ใดๆ ได้เลยหากไฟล์เหล่านั้นถูกเข้ารหัส ซึ่งการถูกเข้ารหัสก็หมายความว่า จะต้องใช้คีย์ในการปลดล็อคเพื่อกู้ข้อมูลคืนมา ผู้ใช้งานจะต้องทำการจ่ายเงินตามข้อความ "เรียกค่าไถ่" ที่ปรากฏ

โดยข้อมูลหรือข้อความ “เรียกค่าไถ่” จะแสดงขึ้นหลังไฟล์ถูกเข้ารหัสเรียบร้อยแล้ว จำนวนเงินค่าไถ่ก็จะแตกต่างกันไป โดยเบื้องต้นก็จะมีราคาอยู่ที่ $100 – $500 โดยประมาณ และการชำระเงินจะต้องชำระผ่านระบบที่มีความยากต่อการตรวจสอบ หรือติดตามได้ อย่างเช่น การโอนเงินผ่านทางอิเล็กทรอนิกส์, Paysafecard หรือ Bitcoin เป็นต้น แต่อย่างไรก็ตามการชำระเงินไป ก็ไม่ได้หมายความว่า ผู้ไม่หวังดี (คุณโจร) จะส่งคีย์ที่ใช้ในการปลดล็อคไฟล์ให้กับผู้ใช้งานตามที่อ้าง

ในช่วงหลายปีที่ผ่านมานี้ เราพบว่า Ransomware มีอัตราการเติบโตอย่างมีนัยสำคัญ ควบคู่ไปกับการเพิ่มขึ้นของ "ระบบแลกเปลี่ยนเงินอิเล็กทรอนิกส์ (cryptocurrencies)" ซึ่งนับว่าเป็นวิธีการโอนเงินสดผ่านทางอินเทอร์เน็ตที่รวดเร็วและสะดวกสบาย โดยไม่ต้องมีการระบุชื่อ เนื่องจากผู้โจมตีส่วนใหญ่เรียกร้องให้เหยื่อชำระเงินค่าไถ่ด้วย Bitcoin หรือ Monero และนั่นอาจจะทำให้เกิดปัญหากับผู้ที่ตกเป็นเหยื่อบางส่วน ที่ไม่คุ้นเคยกับการซื้อขายแลกเปลี่ยนด้วย crypto

ตัวอย่างแรกของ Ransomware ที่ค่อนข้างประสบความสำเร็จ นั่นก็คือ "AIDS Trojan" ซึ่งเกิดขึ้นในปี ค.ศ.1989 มันเป็นการโจมตีด้วยการเข้ารหัสชื่อไฟล์แทนที่จะเป็นการเข้ารหัสเนื้อหาของไฟล์ ในขณะที่กุญแจสำหรับเข้ารหัส (Decryption Key) จะถูกซ่อนอยู่ภายในรหัสของมัลแวร์ แม้จะมีข้อผิดพลาดในการปรับใช้ แต่นี่ก็จัดว่าเป็นกรณีแรกของแฮกเกอร์ที่ต้องการเงิน เพื่อแลกกับการส่งคืนที่ปลอดภัยของข้อมูลที่ถูกขโมยไป

ผู้โจมตียังคงดำเนินการภายใต้หลักการเดียวกันนี้ แต่มักจะมีประสิทธิภาพที่มากยิ่งขึ้น และโดยส่วนใหญ่ต้องการที่จะให้เหยื่อชำระด้วยเงินที่ไม่ใช่ Physical Currency ซึ่งเป็นเหรียญหรือธนบัตรโดยทั่วไป แต่จะต้องการเป็นเงินในรูปแบบดิจิทัล (Digital Coins) เท่านั้น

ช่องทางการกระจายของ Ransomware สู่เหยื่อ

 1. เอกสารแนบมาในอีเมล จากผู้ที่เราไม่เคยติดต่อด้วย "มีด้วยเหรอ? เขารู้อีเมลเราได้อย่างไร?" ง่ายมากครับ ผู้คนสมัยนี้นิยมการใช้งานออนไลน์กัน สมัครใช้บริการต่างๆ ผ่านทางหน้าเว็บไซต์ มีการให้กรอกชื่อ อีเมล เพื่อรับข่าวสารและบริการ ซึ่งอาจมีการนำข้อมูลของเราเหล่านี้ไปขายในราคาถูกๆ (ลองค้นดูใน Google ได้จะมีการโฆษณาขายรายชื่ออีเมล 500 ชื่อ 1000 ชื่อในราคาไม่กี่บาท) ซึ่งคุณโจรก็จะใช้ช่องทางนี้ให้ได้รายชื่ออีเมลมา แล้วส่งจดหมายมาหาคุณด้วยชื่อหน่วยงานที่น่าสนใจ บวกกับหัวข้อที่คิดว่าคุณพร้อมจะคลิกเปิดอ่านรายละเอียด พร้อมแนบไฟล์มาด้วย

ไฟล์ที่แนบมาอาจเป็นไฟล์ ".doc" หรือ ".xls" ผู้รับอาจจะคิดว่าเป็นไฟล์เอกสาร Word หรือ Excel ธรรมดาแต่เมื่อตรวจสอบชื่อไฟล์เต็มๆ ก็จะเห็นนามสกุล .exe ซ่อนอยู่ อย่างเช่น "Paper.doc.exe" แต่ผู้ใช้จะเห็นเฉพาะ "Paper.doc" และทำให้เข้าใจผิดว่าเป็นไฟล์ที่ไม่เป็นอันตราย หรือมาในรูปไฟล์บีบอัด ".zip" หรือ ".rar" ซึ่งเมื่อเราเปิดไฟล์พวกนี้ก็จะเป็นการติดตั้งไฟล์อันตรายนี้ลงในเครื่อง และเริ่มทำการยึดไฟล์เราภายในเวลาไม่นานนัก

ทางแก้ในกรณีนี้คือ อย่าคลิกเปิดไฟล์ที่ส่งมาจากผู้อื่นที่ไม่รู้จัก หรือไม่ได้ร้องขอมาก่อน ที่สำคัญตั้งค่าให้ File Explorer ให้แสดงนามสกุลไฟล์อย่างละเอียด (ค่าปกติที่มาพร้อมระบบปฏิบัติการ Windows คือซ่อนนามสกุลไฟล์นะครับ) เราต้องเปิดคุณสมบัตินี้ไว้เสมอ ตามวิธีการข้างล่างนี้

โดยไปที่เมนู Settings พิมพ์คำว่า Explorer ลงไปในช่องค้นหา จะพบ File Explorer Options ให้คลิกเลือกเพื่อเปิดหน้าต่างด้านขวามือ ดูที่กรอบสีเขียวต้องเลือกหัวข้อ Show hidden files, folders and drives และในกรอบสีแดงให้คลิกยกเลิกเครื่องหมายถูกในช่องสี่เหลี่ยมหน้าข้อความ Hide extensions for known file types คลิกปุ่ม Apply และ OK เป็นอันใช้ได้ครับ ดูเปรียบเทียบตามภาพล่าง

 2. แฝงตัวมาในรูปแบบของ Malvertising (โฆษณา) Ransomware นี้อาจจะมาในรูปแบบของโฆษณา ไม่ว่าจะเป็นโฆษณาที่ฝังมากับซอฟต์แวร์ (ที่เราดาวน์โหลดมาติดตั้งในเครื่องแล้วมักง่าย ไม่อ่านก่อนให้ดี เอาแต่คลิก Next หรือ OK ไปจนติดตั้งเสร็จเลย) หรือตามหน้าเว็บไซต์ต่างๆ ที่ชอบเปิดป๊อบอัพหรือหน้าต่างใหม่ไปเรื่อย โดยมีปุ่มให้เลือกกด OK หรือ Cancel ก็ไม่ต้องไปกดนะ ให้กดปิดที่ปุ่มกากบาทมุมขวาบน หรือกดปุ่ม Alt+F4 ไปเลย เพราะไม่ว่าคุณจะ OK กับมันหรือ Cancel ไม่เอา มันก็มีความหมายเดียวคือ ติดตั้งลงในเครื่องทันที (อันตรายที่สุด)

3. จากการเยี่ยมชมเว็บไซต์อันตรายหรือช่องโหว่ในบราวเซอร์ เรากลายเป็นเหยื่อได้โดยไม่ได้ตั้งใจ เพียงเข้าเยี่ยมชมหน้าเว็บที่ถูกผู้ไม่หวังดีเข้ามาควบคุม โดยเฉพาะเว็บอโคจรทั้งหลาย ตัวอย่างเช่น ถูกดาวน์โหลดโค้ด (Code) ที่เป็นอันตรายผ่านทางโฆษณาแบนเนอร์ที่เป็นไฟล์ Flash โดย Ransomware มักจะใช้ประโยชน์จากข้อบกพร่อง หรือช่องโหว่ด้านความปลอดภัยอื่นๆ ในเบราว์เซอร์ แอพลิเคชั่น หรือ ระบบปฏิบัติการ บ่อยครั้งก็มักจะเกิดจากช่องโหว่ในเว็บเบราว์เซอร์ Java และ PDF แต่ช่องโหว่ที่พบมากที่สุดก็คือในไฟล์ Flash ซึ่งเป็นเหตุผลหนึ่งที่บราวเซอร์เกือบทุกค่ายในเวอร์ชั่นใหม่ๆ ที่จะไม่แสดงผลไฟล์ Flash อีกต่อไป และเราควรอัพเดทบราวเซอร์ที่ใช้งานให้เป็นเวอร์ชั่นใหม่ล่าสุดเสมอ เพื่อความปลอดภัย

4. ผ่านโปรแกรม Crack หรือ Key Generate เมื่อก่อนหลายๆ คนไม่รู้สึกว่ามันมีอันตรายเพราะชอบใช้โปรแกรมฟรีๆ แต่ตอนหลังพออินเทอร์เน็ตมีความเร็วสูงขึ้นทุกอย่างก็เปลี่ยนไปโดยสิ้นเชิง บริษัทผู้สร้างซอฟท์แวร์ก็หาทางป้องกันการลักลอบใช้ ด้วยการให้โปรแกรมเหล่านั้นทำการติดต่อกลับไปยังบริษัทผู้ผลิต เพื่อตรวจสอบรหัส (Keys) ว่าได้มาโดยถูกต้องหรือไม่ ถ้าเปิดเครื่องต่อเชื่อมกับเครือข่ายเมื่อไหร่ โปรแกรมนั้นอาจถูกบล็อกใช้งานไม่ได้ทันที แต่ผู้ใช้งานก็ยังแสวงหาตัวแก้ไขโปรแกรมเหล่านั้นให้ใช้ได้ตลอด ด้วยการติดตั้ง Software Key Generate เพื่อหลอกให้ผู้ผลิตเข้าใจว่า ซอฟท์แวร์ถูกลิขสิทธิ์ ยกตัวอย่างเช่น KMS ที่ใช้กับ MS Windows & Office เมื่อก่อน (คนสร้างคนแรก) อาจจะทำมาดีไม่หวังผลอะไร แต่ก็มีคุณโจรหัวใสเอาโค๊ดนั้นมาสร้างใหม่เพิ่มเติมให้สามารถติดต่อสื่อสารระหว่างเครื่องผู้ใช้กับโจรได้ เมื่อเวลาเหมาะเจาะก็จะเปิดทางให้ Ransomware เข้ามาจัดการเข้ารหัสไฟล์มาเรียกค่าไถ่ได้ทันที ปัจจุบันมีคนโดนเข้ารหัสไฟล์ผ่านช่องทางนี้มากที่สุดเป็นอันดับต้นๆ เลย คำแนะนำคือ จงใช้ซอฟท์แวร์ที่ไม่ละเมิดลิขสิทธิ์เถิดครับจะสบายใจ

เราควรจะจ่ายเงินค่าไถ่ไหม?

คำตอบสั้นๆ ก็คือ "ไม่" ทั้งนี้ ผู้เชี่ยวชาญแนะนำว่า ให้ต่อต้านการให้ในสิ่งที่แฮกเกอร์เรียกร้อง แม้แต่ในกรณีที่ข้อมูลนั้นมีความสำคัญมากๆ หรืออาจจะก่อให้เกิดการสูญเสียทางการเงินจากการหยุดทำงานของระบบ เพราะนั่นคือ "ความเสี่ยง" หนึ่งในเหตุผลที่ทำให้เหยื่อต้องรีบตัดสินใจปฏิเสธการทำตามคำเรียกร้องของผู้โจมตี นั่นเป็นเพราะ ทั้งความถี่ของการโจมตีจาก Ransomware และจำนวนเงินที่เรียกร้องที่สูงขึ้นเรื่อยๆ เป็นสิ่งที่ทำให้ผู้โจมตีเชื่อว่า กลยุทธ์เช่นนี้จะทำให้เกิดผลกำไรแก่พวกเขา ซึ่งการจ่ายเงินไม่เพียงแต่จะช่วยส่งเสริมให้การโจมตีเกิดมากขึ้น แต่พวกมันอาจจะเพียงแค่รอเวลา ก่อนที่จะย้อนกลับมาโจมตีคุณอีกครั้งหนึ่งในเร็วๆ นี้

เหตุผลข้อที่สอง หากผู้ใช้งานชำระเงินตามคำขู่ ก็ไม่มีการรับประกันแต่อย่างใดว่า ไฟล์หรือฮาร์ดไดร์ฟที่เข้ารหัสจะได้รับรหัสในการปลดล็อคจริงๆ หลังจากที่แฮ็คเกอร์ได้รับการชำระเงินแล้ว โดยมีความเป็นไปได้สูงที่พวกเขาจะเอาเงิน และจากไปอย่างรีบร้อนพร้อมด้วยรอยยิ้มที่มุมปาก

มีวิธีที่มีประสิทธิภาพมากยิ่งขึ้นในการแก้ไขปัญหา รวมถึงการรายงานอาชญากรรมไซเบอร์ และอาชญากรรมประเภทอื่นๆ โดยการรายงานไปยัง Action Fraud ซึ่งเป็นศูนย์รายงานการฉ้อโกงระดับชาติของสหราชอาณาจักร ถ้าในไทยก็ที่ ThaiCERT ต้องทำให้แน่ใจว่าซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ของคุณได้รับการอัพเดตอยู่เสมอ และมันก็ยังคงสามารถทำงานได้ดี รวมทั้งตรวจสอบให้แน่ใจว่าคุณได้ทำการอัพเดตแพทช์ (Patch) ระบบปฏิบัติการและซอฟต์แวร์ให้อยู่ในเวอร์ชั่นล่าสุดแล้ว

นอกจากนี้ การใช้กลยุทธ์การสำรองข้อมูลไว้ในหลายๆ ที่ และกู้คืนข้อมูลก็เป็นสิ่งจำเป็นเช่นกัน ในกรณีที่ทุกอย่างกลับสู่สภาพปกติ หลังจากการถูกโจมตีดังกล่าวแล้วเราก็ควรจะป้องกันให้รัดกุมมากยิ่งขึ้น

การป้องกัน Ransomware

• Back up ข้อมูลที่สำคัญไว้บน external device อาทิ Hard Drive, Flash Drive เป็นต้น และบน Cloud ถอดอุปกรณ์จัดเก็บข้อมูลทุกครั้งหลังจากที่ใช้งานเรียบร้อย
• การติดตั้งโปรแกรมป้องกันมัลแวร์ และการอับเดทโปรแกรมและระบบปฏิบัติการเป็นประจำให้เป็นเวอร์ชั่นใหม่เสมอ
• ไม่เปิดเอกสารแนบที่มาพร้อมอีเมล ที่น่าสงสัยและไม่เข้าเว็ปไซต์ที่มีความเสี่ยงในการติดมัลแวร์
• หากโดน ransomware ให้ออกจากระบบเครือข่าย และสัญญาณอินเตอร์เน็ตรวมถึงถอดอุปกรณ์ต่างๆ ที่ต่อกับคอมพิวเตอร์ออกทันที ปิดเครื่องให้เร็วที่สุดเพื่อหยุดการเข้ารหัสข้อมูลของผู้ใช้ ทำให้มัลแวร์ยังไม่สามารถเข้ารหัสได้ทั้งหมด

แม้จะมีการถอดรหัสของ Ransomware บางตัวได้ แต่มันก็มีตัวใหม่ๆ ออกมาล่าเหยื่่ออยู่เสมอ การป้องกันก็ทำตามหัวข้อข้างบน ระมัดระวังให้มาก อย่าสุ่มเสี่ยงกับการใช้ซอฟท์แวร์ละเมิดลิขสิทธิ์ การซื้อเครื่องคอมพิวเตอร์ใหม่มาใช้งานควรเลือกเครื่องที่ติดตั้งระบบปฏิบัติการวินโดว์มาพร้อมเครื่องแล้ว (ในปัจจุบันก็เป็นแบบนี้) อย่าเห็นแก่ราคาถูกๆ บางยี่ห้อติดตั้งชุด Office แท้ๆ มาให้ใช้ด้วย (ค้นหาจาก Google เองนะไม่ได้ค่าโฆษณา) โปรแกรมอื่นๆ ก็เช่นกันซื้อเถอะถ้าเราจะใช้เพื่อทำมาหากิน แล้วใครที่ชอบเล่นเกมก็ซื้อเขาเถอะไม่ได้แพงอะไร เพราะช่องทางนี้แหละที่พวกโจรชอบใช้งานผ่านทาง Patch เกมให้เล่นฟรีๆ มีของแถมด้วย ลองอ่านเพิ่มเติมจากตรงนี้ จะเห็นว่ามันน่ากลัวจริงๆ

ส่วนเครื่องของเพื่อนผมที่เอ่ยถึงในย่อหน้าแรกนั้น ก็แก้ไม่ได้ครับ ต้องฟอร์แมตเครื่องทิ้งไปทั้งหมดเลย ดีที่ข้อมูลบางส่วนเพื่อนได้ Copy ใส่ External HDD ไว้ จึงยังพอมีเหลืออยู่พอสมควร แต่ที่แก้ไขล่าสุดก็ต้องมานั่งทำใหม่เหนื่อยอีกรอบ สาเหตุที่โดนเพราะลูกชายไป Copy Games มาจากเพื่อนมาลงที่เครื่องพ่อ พอต่อเน็ตแค่ข้ามวันกับข้ามคืนเท่านั้น รุ่งเช้ามาบูตเครื่องขึ้นมาได้ แต่คลิกเปิดไฟล์อะไร โปรแกรมอะไรไม่ได้เลย ซวยกันไป... เอวัง.