CryptoLocker เป็น Ransomware บนระบบปฏิบัติการ Windows โดยถูกเผยแพร่ผ่านทางไฟล์แนบในอีเมลหลอกลวง พร้อมกับแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF หรือผ่านทางมัลแวร์ประเภทบอตเน็ตที่เคยถูกติดตั้งลงบนเครื่องของผู้ใช้มาก่อน หลักการทำงานโดยทั่วไปของ CryptoLocker นั้นคือทำการเข้ารหัสลับข้อมูลไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่น ๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป
ทั้งนี้ตัว CrytoLocker ยังสามารถแพร่ผ่านเครือข่ายที่ถูกแชร์ได้ด้วย (Map Drive)
CryptoLocker หลังจากที่ติดตั้งตัวเองลงในคอมพิวเตอร์แล้ว จะทำการดาวน์โหลด Public key ที่ใช้สำหรับเข้ารหัสลับ โดย Public key ที่ถูกดาวน์โหลดมานั้นใช้อัลกอริทึม RSA ที่มีความยาวถึง 2048 bits ซึ่งคอมพิวเตอร์ธรรมดาไม่มีทางที่จะถอดรหัสสุ่มหา Private key ได้เลย ทั้งนี้ RAS publickey นี้เพื่อเอามาครอบรหัสลับ Secret key ที่ใช้ในการเข้ารหัสลับข้อมูลในคอมพิวเตอร์ของเหยื่อจริง ๆ อีกทอดหนึ่ง โดย Secret key ดังกล่าวใช้อัลกอริทึม AES ความยาว 256 bits
สิ่งที่เราต้องการที่จะต้องจ่ายให้กับแฮกเกอร์คือตัว Private key นี่ล่ะ
ช่องทางการชำระเงินจะต้องจ่ายทาง Bitcoin (ตัวย่อ: BTC) ซึ่งเป็นสกุลเงินดิจิทัล
วิธีการชำระเงินนั้นจะเริ่มจากการให้ผู้ใช้อัพโหลดไฟล์ที่ถูกเข้ารหัสลับผ่านหน้าเว็บไซต์เพื่อทำการตรวจสอบหา Private key ที่ใช้ในการถอดรหัสลับ
หน้าต่างชำระเงินหลังจากเสร็จสิ้นการค้นหา Private key
- Backup ข้อมูลอย่างสม่ำเสมอ
- ติดตั้ง/อัปเดตโปรแกรมป้องกันไวรัส/มัลแวร์
- อัปเดตโปรแกรมอื่นๆ สม่ำเสมอ เช่น Java และ Adobe Reader
- อัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
- ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย
- หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ์เหล่านั้น
- ตั้งค่า Policy ของระบบปฏิบัติการ เพื่อป้องกันไม่ให้มัลแวร์สามารถทำงานตาม Directory หรือ Path ที่ระบุได้
สามารถอ่านแบบละเอียดได้ที่
https://www.thaicert.or.th/papers/technical/2013/pa2013te011.html
ไม่มีความคิดเห็น:
แสดงความคิดเห็น