“Zcrypt” แรมซั่มแวร์ที่แพร่เชื้อตัวเองแบบไวรัสได้

“Zcrypt” แรมซั่มแวร์ที่แพร่เชื้อตัวเองแบบไวรัสได้

“Zcrypt” แรมซั่มแวร์ที่แพร่เชื้อตัวเองแบบไวรัสได้

S! Hitech

สนับสนุนเนื้อหา

มัลแวร์ปกติส่วนใหญ่ที่พบในปัจจุบันมักเป็นกลุ่มที่รู้จักในชื่อ "โทรจัน" หรือโปรแกรม "ม้าโทรจัน" () ที่ดูไร้พิษสงเมื่อมองจากภายนอก แต่มักซ่อนเขี้ยวเล็บที่น่าตกใจ ซึ่งโทรจันไม่สามารถขยายพันธุ์หรือแพร่กระจายได้ด้วยตัวเอง ต้องอาศัยตัวนำพาภายนอก เช่น อีเมล์ หรือเว็บไซต์อันตรายต่างๆ

 

แต่ในช่วงยี่สิบปีที่ผ่านมา มัลแวร์ที่พบส่วนใหญ่กลับมีความสามารถในฐานะ "ไวรัส" นั่นคือ การที่สามารถแพร่กระจายได้ด้วยตนเอง เหมือนการติดเชื้อไวรัสในโลกความเป็นจริง ซึ่งมักเป็นการทำสำเนาตัวเองไปยังไฟล์หรือไดเรกทอรี่อื่นที่พบ โดยเฉพาะที่อยู่บนเครือข่าย และสื่อจัดเก็บข้อมูลที่ถอดออกได้ (เช่น "แผ่นดิสก์" ที่เคยรู้จักกันในช่วงยุค 90)

 

มัลแวร์ที่กระจายตัวเองได้นี้มีคุณสมบัติสำคัญที่เหล่าอาชญากรไซเบอร์ต้องการ คือ การที่ไม่ต้องเหนื่อยกับการส่งสแปมไฟล์แนบหรือลิงค์อันตรายอีก เนื่องจากไวรัสสามารถมีชีวิตอยู่รอดและแพร่พันธุ์ได้เองเมื่อปล่อยสู่โลกภายนอก

 

ดังนั้น ไวรัสจึงเป็นมัลแวร์ที่กระจายตัวได้ไกลกว่า และอยู่ทนทานกว่า อีกทั้งการติดเชื้อภายในองค์กรที่ไม่สามารถถอนรากถอนโคนได้หมดก็สามารถโผล่ขึ้นมาแพร่เชื้อได้อีกครั้ง ในอีกหลายปีถัดมา เป็นต้น แต่ทว่า พฤติกรรมการแพร่กระจายตัวเองนี้ก็เป็นการดึงดูดความสนใจต่อระบบความปลอดภัยเป็นอย่างยิ่ง ทำให้ในโลกปัจจุบันที่มีการเชื่อมต่ออย่างทั่วถึงนี้จึงไม่ค่อยมีคนเลือกใช้ไวรัสในการโจมตีอีก

 

ไวรัสเรียกค่าไถ่

อย่างไรก็ดี ก็มีกลุ่มอาชญากรที่พัฒนาแรนซั่มแวร์ที่สามารถแพร่กระจายตัวเองได้อยู่ ทั้งนี้น่าจะมาจากความคาดหวังให้มีการกระจายตัวเองไปหลายๆ เครื่องภายในบริษัท หรือแม้แต่บนเครือข่ายภายในบ้านมากกว่าเดิม

 

แรนซั่มแวร์ส่วนใหญ่จะสร้างคีย์เข้ารหัสที่แตกต่างกันสำหรับคอมพิวเตอร์แต่ละเครื่องที่เข้าโจมตี ดังนั้น ถ้าเครื่องในบริษัทคุณโดนโจมตีหลายเครื่อง คุณก็ต้องซื้อโค้ดปลดรหัสแยกสำหรับคอมพิวเตอร์ทุกเครื่อง ไม่สามารถซื้อโค้ดครั้งเดียวมาใช้ปลดล็อกทั้งบริษัทได้

 

การแพร่กระจายภายในเครือข่ายของคุณนั้นดูจะเป็นเป้าหมายหลักของแรนซั่มแวร์ตัวใหม่นี้ ซึ่งตัวที่โดนผลิตภัณฑ์ของ Sophos ตรวจจับและปิดกั้นได้นั้น ได้แก่ Troj/Agent-ARXC และ Troj/Mdrop-HGD

 

ยังเป็นข่าวดีที่เรายังไม่พบร่องรอยว่าไวรัสกลุ่มนี้ได้แพร่กระจายไปในวงกว้าง ดังนั้นยังถือว่าความสามารถการแพร่กระจายไม่สูงเท่าที่ควร ทั้งๆ ที่ตัวเองเป็นไวรัสอีกทั้งยังคงพฤติกรรมการใช้ตัวนำพากระจายตัวเองแบบแรนซั่มแวร์ปกติอยู่ โดยกรณีนี้มีการใช้อีเมล์ที่อ้างว่ามาจากหน่วยงานด้านบริการสาธารณะจากแคลิฟอร์เนีย:

 

ถ้าคุณยอมให้ตัวเองตกเป็นเหยื่อด้วยการดาวน์โหลดอินวอยซ์ที่ผิดปกตินี้ คุณจะได้รับไฟล์ชื่อ invoice-order.zip ที่พอเปิดออกมาแล้วจะพบมัลแวร์ที่อยู่ในรูปไฟล์ที่ชื่อ invoice-order.exe

 

ซึ่งเมื่อคุณเปิดไฟล์ invoice-order.exe แล้ว แรนซั่มแวร์จะทำการรันโปรแกรมตัวเอง พร้อมจู่โจมไฟล์ใดๆ ก็ตามที่พบ ที่มีสกุลไฟล์อยู่ในลิสต์เป้าหมาย ตั้งแต่ไฟล์ที่บีบอัดไว้, รูปภาพ, วิดีโอ, เอกสาร, สเปรดชีท, หรือแม้แต่ไฟล์เกี่ยวกับงานโปรแกรมมิ่ง

 

จากนั้นแรนซั่มแวร์จะแสดงหน้า "วิธีการชำระเงิน" เพื่อให้แน่ใจว่าคุณจะเข้าใจวิธีการซื้อคีย์ปลดรหัสสำหรับกู้ข้อมูลของคุณ และเนื่องจากระบบ Bitcoins มีค่าเงินสูงขึ้นพอสมควรในช่วงไม่กี่วันหลังพบมัลแวร์ตัวนี้ ดังนั้นคุณอาจจะพบบิทคอยน์ (BTC1.2) ที่ราคาอาจสูงได้ถึง 640 ดอลลาร์สหรัฐฯ ก็เป็นได้นอกจากเข้ารหัสไฟล์ที่มีค่าของคุณแล้ว แรนซั่มแวร์ตัวนี้ยังทำสำเนาตัวเองผ่านเครือข่ายไปยังเครื่องที่แชร์ไฟล์ หรือไดรฟ์ที่ถอดออกได้ที่พบ เพื่อหวังว่าจะมีคนอื่นหลงเปิดไฟล์ที่ติดเชื้อด้วย

 

โดยมีการปล่อยไฟล์ที่ชื่อ zcrypt.lnk ที่ทำงานพร้อมกับไฟล์ autorun.inf เพื่อพยายามโหลดตัวเองอัตโนมัติเมื่อผู้ใช้เชื่อมต่ออุปกรณ์ที่ติดเชื้อ ที่แชร์ไปยังเครือข่ายที่ติดเชื้อ แต่ถือว่าผลกระทบแตกต่างจากการระบาดในอดีตตรงที่ คุณสมบัติการ "Autorun" ของอุปกรณ์ที่ถอดออกได้นี้ถูกปิดโดยดีฟอลต์บนคอมพิวเตอร์ที่ใช้วินโดวส์มานานหลายปีแล้ว จึงนับได้ว่าความเสี่ยงที่จะเกิดการติดเชื้อจากวิธีนี้เหลือต่ำมาก

 

อย่างไรก็ดี ถ้าคุณเป็นผู้ดูแลระบบ ก็ควรที่จะตรวจสอบให้แน่ใจว่าคุณสมบัติ Autorun ถูกปิดบนคอมพิวเตอร์ทุกเครื่องด้วย (เช่น การตั้งค่าผ่าน Group Policy) มัลแวร์ตัวนี้ยังเพิ่มตัวเองเข้าไปยังไดเรกทอรี AppdataRoaming เพื่อทำสำเนาตัวเองไปยังคอมพิวเตอร์ที่ใช้บนเครือข่ายเดียวกันโดยอัตโนมัติ นั่นคือ ไวรัสตัวนี้จะยังตามหลอกหลอนคุณทั่วทุกหนแห่งอยูดี

 

วิธีจัดการกับไวรัส

เราไม่คิดว่าคุณจะโดนไวรัสตัวนี้เล่นงานได้ เนื่องจากพฤติกรรมของมันค่อนข้างน่าสงสัยอย่างเด่นชัดอยู่แล้ว

 

แต่อย่างไรก็ตาม การทำตามคำแนะนำมาตรฐานของเราก็ยังช่วยป้องกันคุณจากมัลแวร์ทั้งตัวนี้และตัวอื่นๆ ได้ ซึ่งได้แก่:

  • ใช้ตัวคัดกรองเว็บ เพื่อปิดกั้นลิงค์ไม่น่าเชื่อถือ
  • ใช้ตัวคัดกรองอีเมล์ เพื่อปิดกั้นเมล์ที่ไม่น่าเชื่อถือ
  • มีสติอยู่ตลอด เวลาเจอกับเมล์เรียกเก็บเงิน หรือข้อความอื่นๆ ที่ไม่ควรส่งมาถึงคุณ
  • อย่าเปิดไฟล์ .ZIP หรือ .EXE จากแหล่งที่ไม่ทราบที่มา
  • ใช้ Group Policy เพื่อบังคับให้ฟังก์ชั่น Autorun ถูกปิดบนคอมพิวเตอร์ทุกเครื่อง
  • สำรองข้อมูลอยู่เป็นประจำ โดยเฉพาะการสำรองเก็บไว้นอกองค์กร

 

ที่สำคัญ จำไว้ว่าแรนซั่มแวร์ทุกตัวไม่ได้มีลักษณะเหมือนกันหมดอย่างเช่นแรนซั่มแวร์ที่เป็นไวรัสแบบ Zcrypt ตัวนี้ ก็ไม่ได้ใช้หลักการแพร่กระจายแบบ หนึ่งอีเมล์-หนึ่งมัลแวร์-เหยื่อหนึ่งราย แบบปกติ

อีกนัยหนึ่งคือ หลังจากที่คุณติดเชื้อแล้ว อาจมีเหยื่อรายอื่นจำนวนมากติดเชื้อตามไปด้วย แม้พวกเขาจะไม่เคยได้รับเมล์อันตราย, คลิกลิงค์อันตราย, หรือดาวน์โหลดไฟล์อันตรายใดๆ เลย

หลังจากอ่านรายงานมัลแวร์ฉบับนี้แล้ว แม้จะเป็นการพบครั้งแรกครั้งเดียวก็ตาม ก็ควรที่จะสั่งสแกนไวรัสข้ามคืนแบบละเอียดบนไฟล์เซิร์ฟเวอร์สักครั้ง เพื่อให้แน่ใจว่าไม่มีไวรัสที่ทำสำเนาตัวเองซ่อนอยู่ตำแหน่งใดตำแหน่งหนึ่ง ที่พร้อมจะกำเริบขึ้นมาจู่โจมเหยื่อรายอื่นๆ ในอนาคต

 

บทความโดย : พอล ดักลิน เป็นผู้เชี่ยวชาญด้านความปลอดภัย

Android O Developer Preview 4 เวอร์ชั่นสุดท้าย ก่อนเป็นตัวจริง ออกมาให้ได้ลองใช้แล้ว

Android O Developer Preview 4 เวอร์ชั่นสุดท้าย ก่อนเป็นตัวจริง ออกมาให้ได้ลองใช้แล้ว

5 โปรแกรมฟรี แทน Paint หลัง Microsoft จะเลิกใช้แล้ว

5 โปรแกรมฟรี แทน Paint หลัง Microsoft จะเลิกใช้แล้ว

พบ iOS 11 Beta 4 มีฟีเจอร์เชื่อมต่อ WiFi เองเมื่อพบว่าสัญญาณมือถืออ่อน

พบ iOS 11 Beta 4 มีฟีเจอร์เชื่อมต่อ WiFi เองเมื่อพบว่าสัญญาณมือถืออ่อน

รวม 6 กล้องติดรถยนต์ที่น่าสนใจที่สุดในขณะนี้ ในงบเบาๆ ราคาไม่เกิน 2,000 บาท มีรุ่นไหนให้เลือกบ้าง

รวม 6 กล้องติดรถยนต์ที่น่าสนใจที่สุดในขณะนี้ ในงบเบาๆ ราคาไม่เกิน 2,000 บาท มีรุ่นไหนให้เลือกบ้าง

ยืนยันแล้ว! Samsung Galaxy Note 8 เปิดตัว 23 ส.ค. นี้ คาดจัดเต็มด้วยจอไร้กรอบไซส์ใหญ่ 6.3 นิ้ว

ยืนยันแล้ว! Samsung Galaxy Note 8 เปิดตัว 23 ส.ค. นี้ คาดจัดเต็มด้วยจอไร้กรอบไซส์ใหญ่ 6.3 นิ้ว

ชมภาพ iPhone 8 Final Design ชูจุดเด่นของหน้าจอบางสุดเหลือ 4 มิลลิเมตร เท่านั้น

ชมภาพ iPhone 8 Final Design ชูจุดเด่นของหน้าจอบางสุดเหลือ 4 มิลลิเมตร เท่านั้น

ภาพหลุด iPhone 8 “ดีไซน์สุดท้าย” ก่อนเปิดตัว : ขอบจอบาง 4 มม., ราคา 36,800 บาท

ภาพหลุด iPhone 8 “ดีไซน์สุดท้าย” ก่อนเปิดตัว : ขอบจอบาง 4 มม., ราคา 36,800 บาท

แนะนำ 9 สมาร์ทโฟน RAM 4GB ในราคาไม่เกิน 10,000 บาท ที่มาแรงที่สุด ณ ชั่วโมงนี้!

แนะนำ 9 สมาร์ทโฟน RAM 4GB ในราคาไม่เกิน 10,000 บาท ที่มาแรงที่สุด ณ ชั่วโมงนี้!

หลุดภาพ Samsung Galaxy J7 (2017) เวอร์ชันใหม่สำหรับขายในจีน พร้อมกล้องคู่ (Dual-Camera) ชัดเจน

หลุดภาพ Samsung Galaxy J7 (2017) เวอร์ชันใหม่สำหรับขายในจีน พร้อมกล้องคู่ (Dual-Camera) ชัดเจน

หนุ่ยสัมภาษณ์ผู้สร้าง WMApp แอปพยากรณ์อากาศที่เคลมว่าแม่นที่สุดในอาเซียน รู้ 28 ชมล่วงหน้าดั่งตาเห็น

หนุ่ยสัมภาษณ์ผู้สร้าง WMApp แอปพยากรณ์อากาศที่เคลมว่าแม่นที่สุดในอาเซียน รู้ 28 ชมล่วงหน้าดั่งตาเห็น

หลุดภาพจริงของ Samsung Galaxy S8 Active มือถือรุ่นถึกของตระกูล S8

หลุดภาพจริงของ Samsung Galaxy S8 Active มือถือรุ่นถึกของตระกูล S8

สื่อนอกเผยแบรนด์มือถือเริ่มชะลอสั่งผลิตชิปฯ หวังดูเชิง iPhone 8 เปิดตัวก่อน

สื่อนอกเผยแบรนด์มือถือเริ่มชะลอสั่งผลิตชิปฯ หวังดูเชิง iPhone 8 เปิดตัวก่อน

ชมคลิปหนังสั้น The Rock X Siri ที่แสดงโดยนักแสดงตัวจริง และ Siri

ชมคลิปหนังสั้น The Rock X Siri ที่แสดงโดยนักแสดงตัวจริง และ Siri

Surface Pro รุ่นใหม่ รุ่นที่ 5 เตรียมวางขายในไทย ราคาเริ่มต้น 30900 บาท

Surface Pro รุ่นใหม่ รุ่นที่ 5 เตรียมวางขายในไทย ราคาเริ่มต้น 30900 บาท

ปิดตำนาน 32 ปี Paint หนึ่งในโปรแกรมวาดรูปรุ่นเดอะที่เราคุ้นเคยมากที่สุด

ปิดตำนาน 32 ปี Paint หนึ่งในโปรแกรมวาดรูปรุ่นเดอะที่เราคุ้นเคยมากที่สุด

[Startup] VC หน้าใหม่ ใจปลาซิว

[Startup] VC หน้าใหม่ ใจปลาซิว

ผลวิจัยล่าสุดชี้ Instagram คือโซเชียลฯ ที่มีสถิติ Cyberbullying มากที่สุด

ผลวิจัยล่าสุดชี้ Instagram คือโซเชียลฯ ที่มีสถิติ Cyberbullying มากที่สุด

สำรวจราคา iPhone 6 ขนาด 32GB ใหม่ล่าสุดที่มีราคาเริ่มต้น 4,500 บาท

สำรวจราคา iPhone 6 ขนาด 32GB ใหม่ล่าสุดที่มีราคาเริ่มต้น 4,500 บาท

Nokia 3310 (2017) ทายาทมือถือในตำนานถูกจับทดสอบความแกร่งสุดโหดด้วยการโยนจากตึก 4 ชั้น

Nokia 3310 (2017) ทายาทมือถือในตำนานถูกจับทดสอบความแกร่งสุดโหดด้วยการโยนจากตึก 4 ชั้น

ตามรอยพี่จีน รัสเซียเดินหน้าเตรียมแบนใช้ Proxy และ VPN เร็วๆ นี้

ตามรอยพี่จีน รัสเซียเดินหน้าเตรียมแบนใช้ Proxy และ VPN เร็วๆ นี้

ส่งอีเมล์ให้เพื่อน

ส่งให้เพื่อนหลายคนใส่ “,” (ส่งพร้อมกันมากสุด 50 อีเมล์)

ส่งอีเมล์