ไวรัสตัวแสบ ransomeware หรือ CryptoLocker นี้แพร่หลายตั้งแต่ปี 56 หรือกว่า 2 ปีที่แล้ว แต่ผู้อ่านเราก็ยังโดนกันอีก ก็เลยเอามาแฉกันจะๆ ว่าวิธีการทำงานของมันคืออะไร?

ไวรัส…ล็อคไฟล์ไถเงินนี้ รวมทั้งยี่ห้ออื่นๆ จะมุ่งล็อคไฟล์ภาพ ไฟล์เอกสารที่เรารักต่างๆ ได้แก่ .pdf, .xls, .ppt, .txt, . py, .wb2, .jpg, .odb, .dbf, .md, .js, .pl, .doc และอื่นๆ เป็นต้น

หลังจากล็อกไฟล์ต่างๆ ภายในเครื่องแล้ว มันจะเปิดหน้าจอบังคับให้เราจ่ายเงิน 300 เหรียญสหรัฐ/ยูโร หรือ 2 เหรียญ Bitcoins ซึ่งตอนนี้ประมาณ $280 เหรียญสหรัฐ

กลไกการทำงานของมันเป็นแบบนี้ฮับ…

Ransomware

1. เราเผลอเปิดไฟล์แนบไวรัส (มักจะมากับอีเมล์ หรือมากับทัมพ์ไดวร์เพื่อนๆ)

2. ไวรัสสุ่มตั้งชื่อใหม่เอง แล้วฝังตัวเองที่โฟลเดอร์ Documents and Settings

ransome-regedit

3. สร้างรายชื่อ เซิร์ฟเวอร์เข้ารหัส (random-looking server names) ที่มีนามสกุลต่างๆ มากมาย  .biz, .co.uk, .com, .info, .net, .org and .ru.

4. เชื่อมต่ออินเทอร์เน็ตเอง พยายามสุ่มติดต่อเซิร์ฟเวอร์ต่างๆ ตามรายชื่อข้อ 2 ถ้าติดต่อได้แล้ว…

5. เซิร์ฟเวอร์วายร้ายนั้น ก็จะผลิตรหัสลับเฉพาะเครื่อง ( public-private key) มีแค่รหัสเดียว คนอื่นแก้ไม่ได้ โดยสมรู้ร่วมคิดกับเครื่องพีซีหรือโน้ตบุ๊คของเรา (อ้อ..ไวรัสนี้ เล่นงานเฉพาะ Windows ฮับ)

6. จากนั้นก็เริ่มมหกรรม ค้นหาไฟล์..ใส่รหัส ล็อคไฟล์ต่างๆ ดังนี้

ransome-exts

7. จากนั้น ก็ออกฤทธิ์ออกเดช เปิดหน้าต่างทวงเงิน ภายใน 72 ชั่วโมงไม่จ่ายเงิน รหัสบนเซิร์ฟเวอร์วายร้ายก็จะหายไป ..จากนั้นไม่มีใครเปิดไฟล์นั้นได้

คำถามก็คือ ถ้าไฟล์ถูกล็อคแล้ว เปิดไฟล์นั้นๆ ได้อีกหรือเปล่า?

ตามทฤษฎีของการเข้ารหัส ต้องตอบว่า…ไม่มีคร๊าบ

ตอนหน้า มาดูวิธีการแก้ไข และป้องกัน…..

LEAVE A REPLY

Please enter your comment!
Please enter your name here