ไวรัสตัวแสบ ransomeware หรือ CryptoLocker นี้แพร่หลายตั้งแต่ปี 56 หรือกว่า 2 ปีที่แล้ว แต่ผู้อ่านเราก็ยังโดนกันอีก ก็เลยเอามาแฉกันจะๆ ว่าวิธีการทำงานของมันคืออะไร?
ไวรัส…ล็อคไฟล์ไถเงินนี้ รวมทั้งยี่ห้ออื่นๆ จะมุ่งล็อคไฟล์ภาพ ไฟล์เอกสารที่เรารักต่างๆ ได้แก่ .pdf, .xls, .ppt, .txt, . py, .wb2, .jpg, .odb, .dbf, .md, .js, .pl, .doc และอื่นๆ เป็นต้น
หลังจากล็อกไฟล์ต่างๆ ภายในเครื่องแล้ว มันจะเปิดหน้าจอบังคับให้เราจ่ายเงิน 300 เหรียญสหรัฐ/ยูโร หรือ 2 เหรียญ Bitcoins ซึ่งตอนนี้ประมาณ $280 เหรียญสหรัฐ
กลไกการทำงานของมันเป็นแบบนี้ฮับ…
1. เราเผลอเปิดไฟล์แนบไวรัส (มักจะมากับอีเมล์ หรือมากับทัมพ์ไดวร์เพื่อนๆ)
2. ไวรัสสุ่มตั้งชื่อใหม่เอง แล้วฝังตัวเองที่โฟลเดอร์ Documents and Settings
3. สร้างรายชื่อ เซิร์ฟเวอร์เข้ารหัส (random-looking server names) ที่มีนามสกุลต่างๆ มากมาย .biz, .co.uk, .com, .info, .net, .org and .ru.
4. เชื่อมต่ออินเทอร์เน็ตเอง พยายามสุ่มติดต่อเซิร์ฟเวอร์ต่างๆ ตามรายชื่อข้อ 2 ถ้าติดต่อได้แล้ว…
5. เซิร์ฟเวอร์วายร้ายนั้น ก็จะผลิตรหัสลับเฉพาะเครื่อง ( public-private key) มีแค่รหัสเดียว คนอื่นแก้ไม่ได้ โดยสมรู้ร่วมคิดกับเครื่องพีซีหรือโน้ตบุ๊คของเรา (อ้อ..ไวรัสนี้ เล่นงานเฉพาะ Windows ฮับ)
6. จากนั้นก็เริ่มมหกรรม ค้นหาไฟล์..ใส่รหัส ล็อคไฟล์ต่างๆ ดังนี้
7. จากนั้น ก็ออกฤทธิ์ออกเดช เปิดหน้าต่างทวงเงิน ภายใน 72 ชั่วโมงไม่จ่ายเงิน รหัสบนเซิร์ฟเวอร์วายร้ายก็จะหายไป ..จากนั้นไม่มีใครเปิดไฟล์นั้นได้
คำถามก็คือ ถ้าไฟล์ถูกล็อคแล้ว เปิดไฟล์นั้นๆ ได้อีกหรือเปล่า?
ตามทฤษฎีของการเข้ารหัส ต้องตอบว่า…ไม่มีคร๊าบ
ตอนหน้า มาดูวิธีการแก้ไข และป้องกัน…..