ຈະເປັນຢ່າງໃດຖ້າມື້ໜຶ່ງ ທ່ານເປີດເຄື່ອງຄອມພິວເຕີແລ້ວພົບວ່າໄຟລ໌ຂໍ້ມູນທັງຫຼາຍ, ຮູບພາບ, ຄລິບວີດີໂອທີ່ເກັບໄວ້ ຖືກລັອກ (Locked) ໃສ່ລະຫັດເອົາໄວ້ຢ່າງແໜ້ນໜາ ພ້ອມທັງມີຂໍ້ຄວາມສັ້ນໆຖິ້ມໄວ້ວ່າ “ຂໍ້ມູນຂອງທ່ານຖືກເຂົ້າລະຫັດດ້ວຍອັງກໍລິສທຶມ (Algorithm) ແບບ RSA-1024 ຖ້າຢາກປົດລັອກກໍ່ຕ້ອງຊື້ເຄື່ອງມືຖອດລະຫັດຂອງເຮົາ ສົນໃຈຕິດຕໍ່ xxxxxxxxx.com” 0705.
Ransomware ກຳລັງເປັນໄພອອນລາຍຕ້ອງໄດ້ຕິດຕາມ ມາຈາກຄຳວ່າ ransom ບວກກັບຄຳວ່າ ware ຊຶ່ງເປັນຄຳຫຍໍ້ຂອງ software ແປໄດ້ວ່າໂປຣແກຣມເອີ້ນຄ່າໄຖ່, ຊຶ່ງເປັນມັນແວຊະນິດໜຶ່ງນັ້ນເອງ.
Ransomware ເລີ່ມເປັນທີ່ຮູ້ຈັກໃນເດືອນພຶດສະພາ 2005 ຊຶ່ງມີການຄົ້ນພົບ TROJ_PGPCODER.A ໂທຈັນ (Trojan) ໂຕທຳອິດ ທີ່ໃຊ້ປະໂຫຍດການເຂົ້າລະຫັດລັບ ເພື່ອຂູ່ເອົາເງິນຈາກຜູ້ໃຊ້ໂດຍກົງ ມັນແວ (Malware) ຊະນິດນີ້ຈະເຂົ້າລະຫັດລັບໄຟລ໌ບາງໄຟລ໌ໃນຄອມພິວເຕີ ເຮັດໃຫ້ຜູ້ໃຊ້ບໍ່ສາມາດເປີດໄຟລ໌ນັ້ນໄດ້ ຈົນກວ່າຈະໄດ້ຮັບຕົວຖອດລະຫັດຈາກເຈົ້າຂອງມັນແວ ໝາຍຄວາມວ່າເຈົ້າຂອງໄຟລ໌ຈະຕ້ອງຈ່າຍເງິນຄ່າໄຖ່ເພື່ອໃຫ້ໄຟລ໌ ທີ່ຖືກເຂົ້າລະຫັດໄວ້ສາມາດກັບມາໃຊ້ໄດ້ຄືເກົ່າ.
ຂະບວນການ :
ຂະບວນການເອີ້ນຄ່າໄຖ່ໄຟລ໌ນັ້ນຈະເລີ່ມຈາກການ “ລັອກ” ໄຟລ໌ເອກະສານ ເຮັດໃຫ້ເຫຍື່ອບໍ່ສາມາດເຂົ້າໃຊ້ໄຟລ໌ໄດ້ ຈາກນັ້ນຈະຖິ້ມຂໍ້ຄວາມກ່ຽວກັບຈຳນວນເງິນເອີ້ນຄ່າໄຖ່ ພ້ອມກັບທີ່ຢູ່ອີເມວຕິດຕໍ່ກັບ ເມື່ອໄດ້ຮັບເງິນແລ້ວຈຶ່ງຈະສົ່ງໂປຣແກຣມປົດລັອກມາໃຫ້ທາງອີເມວ ຍັງຊັດເຈັນວ່າການແຜ່ກະຈາຍຂອງ ransomware ຈະ ເປັນໄປໃນລັກສະນະໃດ ເນື່ອງຈາກຍັງບໍ່ພົບການແພ່ກະຈາຍໃນວົງກວ້າງຜ່ານການສົ່ງອີ ເມວຄັດຕິດໄວຣັສ ອາດຈະເປັນໄປໄດ້ວ່າ ໂຄດໂປຣແກຣມເອີ້ນຄ່າໄຖ່ອາດຈະຖືກຝັງໄວ້ໃນໜ້າເວັບ ໂປຣແກຣມຈະຕິດຕັ້ງໂຕເອງລົງໃນເຄື່ອງແບບອັດຕະໂນມັດ ໃຊ້ເທັກນິກບໍ່ຕ້ອງລໍຖ້າໃຫ້ຜູ້ໃຊ້ກົດຕອບຮັບການດາວໂຫຼດໄຟລ໌ ຄັດຕິດໃດໆ.
ກ່ຽວກັບເລື່ອງນີ້ ບໍລິສັດ ເທັນໄມໂຄຣ (Trend Micro) ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂອງຂໍ້ມູນທາງອິນເຕີເນັດ ອະທິບາຍວ່າ ransomware ມັນ ແວເອີ້ນຄ່າໄຖ່ ໃຊ້ວິທີການບໍ່ຕ່າງຈາກເປົ້າໝາຍເດີມທີ່ເປັນອົງກອນຂະໜາດໃຫຍ່ ປ່ຽນເປົ້າໝາຍຈາກ “ປາໃຫຍ່” ມາຫາ “ປານ້ອຍ” ທີ່ເປັນຜູ້ໃຊ້ຕາມບ້ານ ຫຼື ອົງກອນທຸລະກິດຂະໜາດນ້ອຍ ຄວາມສ່ຽງທີ່ຈະຖືກຈັບກຸມໜ້ອຍກວ່າຫລາຍ.
ຄວາມເປັນມາ :
PGPCODER ເປັນມັນແວເອີ້ນຄ່າໄຖ່ລຸ້ນທຳອິດທີ່ກວດພົບໃນເດືອນ ພຶດສະພາ ປີ 2005 ແລະ ຄ່ອຍໆອອກມາອີກ 3 ໂຕ ໃນເດືອນ ຕຸລາ TROJ_CRYZIP.A ປະກົດໃຫ້ເຫັນ ແລະ ໃນເດືອນມີນາຂອງປີນີ້ ສະມາຊິກອີກສອງໂຕ ໄດ້ແກ່ TROJ_RANSOM.A ຊຶ່ງ ຈະເຂົ້າໄປຄວບຄຸມໄຟລ໌ບໍ່ໃຫ້ສາມາດໃຊ້ງານໄດ້ ໂດຍມີຂໍ້ຄວາມປະກົດຂຶ້ນແຈ້ງຄອມພິວເຕີທີ່ຕິດໄວຣັສວ່າ ຄອມພິວເຕີເຄື່ອງນີ້ ຖືກລັອກ ຫາກຕ້ອງການປົດລັອກ ເຈົ້າຂອງເຄື່ອງຕ້ອງຍອມຈ່າຍເງິນໃຫ້ກັບຜູ້ຂຽນໂທຈັນໂຕນີ້ ສ່ວນ TROJ_ARHIVEUS.A ຂູ່ໃຫ້ຜູ້ໃຊ້ເຂົ້າໄປຊື້ຜະລິດຕະພັນຈາກເວັບໄຊຢາຕ່າງໆ ເພື່ອແລກປ່ຽນກັບລະຫັດຜ່ານສຳລັບປົດລັອກໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດ ລັບໄວ້.
ການແກ້ໄຂ :
ເທັນໄມໂຄຣ ອະທິບາຍວ່າ ກ່ອນການປະກົດຕົວຂອງມັນແວເອີ້ນຄ່າໄຖ່ຊະນິດນີ້ ການແບັກເມວ (Blackmail) ອອນລາຍມີເປົ້າໝາຍໄປທີ່ບໍລິສັດຂະໜາດໃຫຍ່ ເປັນການໂຈມຕີໃນຮູບແບບຂອງບັອດເນັດ (Botnet) ແລະ ໃຊ້ຄອມພິວເຕີທີ່ຕິດຈຳນວນຫຼາຍສ້າງເປັນເຄືອຂ່າຍຊອມບີ້ (zombie network) ສຳລັບ ເປັນຖານປະຕິບັດການໃນການໂຈມຕີເວັບໄຊ ຫຼື ເຄືອຂ່າຍຂອງເຫຍື່ອເພື່ອໃຫ້ ຢຸດການໃຫ້ບໍລິການໂດຍໃຊ້ການໂຈມຕີແບບກະຈາຍຈາກຄອມພິວເຕີທີ່ຕິດ ເຊື້ອທັງຫຼາຍ (Distributed Denial of Service attack (DDoS) ຈາກ ນັ້ນຜູ້ຂຽນມັນແວຈະແບັກເມວ ໂດຍຂູ່ວ່າຈະໂຈມຕີເວັບໄຊຂອງເຫຍື່ອໃຫ້ໃຊ້ການບໍ່ໄດ້ຈົນກວ່າ ຈະຍອມຈ່າຍເງິນຈຳນວນໜຶ່ງໃຫ້.
ຫຼາຍປີທີ່ຜ່ານມາ ມີຫຼາຍບໍລິສັດຖືກແບັກເມວທາງອິນເຕີເນັດ ບາງເທື່ອບໍລິສັດເຫຼົ່ານີ້ກໍ່ໃຫ້ຄວາມຮ່ວມມືກັບເຈົ້າຫນ້າທີ່ໃນ ການຕິດຕາມຜູ້ກໍ່ອາຊະຍາກຳນີ້ ຈົນນຳໄປສູ່ການຈັບກຸມໄດ້ສຳເລັດ ເຊັ່ນ ກຸ່ມອາຊະຍາກອນທີ່ຖືກຈັບກຸມໄດ້ໃນລັດເຊຍ ປີ 2004 ກຸ່ມນີ້ໄດ້ແບັກເມວບໍລິສັດຮັບພະນັນກິລາຫຼາຍແຫ່ງເປັນເງິນຫຼາຍ ແສນດອນລາ ແຕ່ທັງ 4 ຄົນທີ່ເປັນຄົນແບັກເມວກໍ່ຖືກຈັບ ຫຼັງຈາກພະຍາຍາມແບັກເມວບໍລິສັດຜູ້ໃຫ້ບໍລິການອິນເຕີເນັດບອດແບນ (Internet broadband) ໃນຍີ່ປຸ່ນ.
ມີບາງບໍລິສັດທີ່ບໍ່ສົນໃຈຕໍ່ຄຳຂູ່ຂອງອາຊະຍາກອນ ກໍ່ຈະນຳໄປສູ່ການໂຈມຕີແບບ DdoS ເຮັດໃຫ້ເວັບໄຊຂອງພວກເຂົາບໍ່ສາມາດໃຊ້ການໄດ້ກໍ່ມີ ຂະນະທີ່ບໍລິສັດທີ່ຕົກລົງຍອມຈ່າຍໃຫ້ ກໍ່ບໍ່ເຕັມໃຈທີ່ຈະປະກາດໃຫ້ສາທາລະນະຊົນຮັບຮູ້ໃນເລື່ອງນີ້ ເພາະອາດຈະເຮັດໃຫ້ເສຍຊື່ສຽງຂອງບໍລິສັດ.
ຢ່າງໃດກໍ່ຕາມ ມັນແວເອີ້ນຄ່າໄຖ່ກຳລັງປ່ຽນວິຖີຂອງການແບັກເມວ ໂດຍມີກຸ່ມເປົ້າໝາຍເປັນຜູ້ໃຊ້ສ່ວນບຸກຄົນແທນ ແລະ ຜູ້ໃຊ້ສ່ວນບຸກຄົນເຫຼົ່ານີ້ ອາດເປັນຜູ້ບໍລິຫານໃນບໍລິສັດໃຫຍ່ ຫຼື ພະນັກງານທົ່ວໄປ.
ທີ່ສຳຄັນເຫຍື່ອເຫຼົ່ານີ້ອາດຈະບໍ່ຮ້ອງຂໍຄວາມຊ່ວຍເຫຼືອຈາກຜູ້ ເບິ່ງແຍງເຄືອຂ່າຍ ຫຼື ເຈົ້າໜ້າທີ່ຕຳຫຼວດ ແຕ່ໃຫ້ຈື່ໄວ້ວ່າການທີ່ມີເຈົ້າຫນ້າທີ່ເຂົ້າມາກ່ຽວຂ້ອງດ້ວຍ ຜູ້ກໍ່ອາຊະຍາກຳເຫຼົ່ານີ້ສາມາດຖືກຈັບກຸມໄດ້ ບໍ່ຕ່າງຈາກຜູ້ທີ່ແບັກເມວອົງກອນຂະໜາດໃຫຍ່. ດັ່ງນັ້ນ, ຖ້າຫາກຕົກຢູ່ໃນລັກສະນະນີ້ ຄວນຈະໄປແຈ້ງຕຳຫຼວດ ຫຼື ໄປຫາຜູ້ຊ່ຽວຊານດ້ານປ້ອງກັນໄວຣັສຈະດີທີ່ສຸດ.
ການປ້ອງກັນ :
Sophos ບໍລິສັດຜູ້ຊ່ຽວຊານລະບົບຮັກສາຄວາມປອດໄພແນະນຳວ່າ ຜູ້ໃຊ້ຄວນຈະຮູ້ຈັກການສຳຮອງຂໍ້ມູນໄວ້ ແລະ ຄວນຈະອັບເດດຊ໋ອບແວ ລະບົບຮັກສາຄວາມປອດໄພຢ່າງສະໝ່ຳສະເໝີ ເພື່ອປ້ອງກັນໄພຄຸກຄາມທີ່ເກີດຈາກ ransomware ຫຼື ມັນແວເອີ້ນຄ່າໄຖ່ທີ່ນັບມື້ຈະມີແນວໂນ້ມຂອງການເຮັດເຊັ່ນນີ້ ຫຼາຍຂຶ້ນ. ນອກຈາກນີ້, ຜູ້ໃຊ້ອິນເຕີເນັດຄວນລະວັງການເປີດໄຟລ໌ຄັດຕິດມາ ທີ່ມາກັບອີເມວ ແລະ ການເຂົ້າໄປຢ້ຽມຊົມເວັບທີ່ບໍ່ໄດ້ຮັບການຮັບຮອງ.
ທາງດ້ານ ເທັນໄມໂຄຣ ໄດ້ແນະນຳໃຫ້ຂໍຄວາມຊ່ວຍເຫຼືອຈາກຜູ້ຄ້າຊ໋ອບແວປ້ອງກັນໄວຣັສ ຖ້າພົບມັນແວແບັກເມວ ເພາະຢ່າງໜ້ອຍໄຟລ໌ທີ່ຖືກເອີ້ນຄ່າໄຖ່ຈະມີໂອກາດປອດໄພສູງ ອີກທັງ ຜູ້ຂຽນມັນແວກຳລັງສ້າງນະວັດຕະກຳອອກມາຢ່າງຕໍ່ເນື່ອງ ຈາກເທັກໂນໂລຢີໃໝ່ ເຮັດໃຫ້ເກີດຮູບແບບຂອງການໂຈມຕີໃໝ່ໆ ແລະ ຊ່ອງໂຫວ່ໃໝ່ເລີ່ມຖືກຄົ້ນພົບສຳລັບໃຊ້ປະໂຫຍດໃນອະນາຄົດຫຼາຍຂຶ້ນ ເລື້ອຍໆ ສະແດງໃຫ້ເຫັນວ່າຜູ້ຂຽນມັນແວເຫຼົ່ານີ້ພົວພັນກັບອາຊະຍາກຳ.
Source : https://www.laocert.gov.la/Article-48-Ransomware-
