Ransomware คืออะไร ? มัลแวร์เรียกค่าไถ่ เกิดจากอะไร ? มีกี่ประเภท ?

Ransomware หรือมัลแวร์เรียกค่าไถ่ คืออะไร ? เกิดจากอะไร ?
และ Ransomware มีกี่ประเภท ?

Ransomware (อ่านว่า แรนซัมแวร์) แปลเป็นภาษาไทยว่า "มัลแวร์เรียกค่าไถ่" จริงๆ แลัวมันคือ Malware (มัลแวร์) ในรูปแบบหนึ่ง ที่อาชญากรไซเบอร์ (Cyber Criminal)  ใช้เพื่อโจมตีข้อมูลส่วนตัวบนคอมพิวเตอร์ของผู้ใช้งาน หรือ องค์กรต่างๆ เพื่อเรียกค่าไถ่ (Ransom) โดยใช้วิธีเข้ารหัสไฟล์ข้อมูล (Encrypts) แบบเฉพาะทำให้ไม่สามารถเข้าถึงข้อมูลหรือใช้งานระบบได้ จนกว่าจะมีการจ่ายเงินค่าไถ่เพื่อกู้ข้อมูลด้วยรหัสจากผู้ที่ทำการโจมตีระบบ จึงจะสามารถกลับมาใช้งานได้ปกติ

การโจมตีของ Ransomware สามารถติดต่อได้ทั้งรูปแบบออฟไลน์และออนไลน์ ในแบบออฟไลน์อาจจะใช้วิธีโจมตีเป้าหมายโดยติดตั้งมัลแวร์ผ่านอุปกรณ์เก็บข้อมูล แต่ส่วนใหญ่ผู้ที่โจมตีจะใช้วิธีการส่งลิงก์ที่แฝงมัลแวร์อยู่ภายใน ไปยังอีเมล และ ข้อความแชท หรือแม้กระทั่งบนเว็บไซต์ต่างๆ เพื่อหลอกล่อให้เป้าหมายติดตั้งลงบนเครื่อง โดยไม่ทันระวังตัว

เมื่อเหยื่อ หรือ ผู้ใช้งานคอมพิวเตอร์ ติดมัลแวร์ประเภทนี้ การเข้าใช้งานระบบหรือเปิดใช้งานไฟล์ จะไม่สามารถใช้งานได้ และจะมีหน้าต่างแจ้งเตือนขึ้นมาเป็นคู่มือบอกวิธีการจ่ายเงินเพื่อรับ Decryption key (รหัสปลดล็อกข้อมูล) โดยจำนวนเงินที่ต้องจ่าย อาจจะเริ่มตั้งแต่หลัก 100 ดอลลาร์ ไปจนถึงหลัก 1,000 ดอลลาร์ หรือ มากกว่านั้นในกรณีที่ บริษัทองค์กรใหญ่ๆ โดน Ransomware ยึดข้อมูลที่มีมูลค่าสูงมากๆ

ช่องทางการรับเงิน ในปัจจุบันส่วนใหญ่ผู้โจมตีมักจะใช้ช่องทางการรับเงินในรูปแบบ Bitcoin เพราะว่าช่องทางนี้ติดตามข้อมูลการจ่ายเงินและหาตัวคนร้ายได้ยาก จึงเป็นที่นิยมของผู้ร้ายที่ไม่ประสงค์ดีต่อการโจมตีข้อมูลส่วนตัวของผู้ใช้งานและองค์กรต่างๆ และรับเงินผ่าน Bitcoin มากกว่าการใช้งาน Credit Card ที่ง่ายต่อการระบุแหล่งที่มา อย่างไรก็ตาม หลังจากจ่ายเงินไปแล้ว ไม่อาจจะการันตีได้ว่าไฟล์ที่เข้ารหัสหรือระบบจะกลับมาใช้งานได้ตามปกติหรือเปล่า

Ransomware มีกี่ประเภท ?

เนื่องจาก Ransomware เป็นมัลแวร์ที่มุ่งเน้นไปยังการเรียกค่าไถ่ด้วยวิธีการขัดขวางการเข้าถึงข้อมูลของผู้ใช้งาน มันจึงถูกแบ่งออกเป็นสองประเภทหลักๆ ได้แก่ Crypto (คริปโต) และ Locker (ล็อกเกอร์)

Crypto (มุ่งเน้นการเข้ารหัสข้อมูล)

ประเภทแรกจะเป็นแรนซัมแวร์ที่มุ่งไปยังการเข้ารหัสไฟล์ข้อมูล เอกสาร หรือ ไฟล์ต่างๆ ที่มีค่าบนเครื่องผู้ใช้งาน ทำให้ผู้ใช้งานไม่สามารถเข้าถึงข้อมูลเหล่านั้นได้ หากจะเปิดใช้ข้อมูลจำเป็นต้องมีรหัสผ่านที่ได้รับจากค่าไถ่จึงจะสามารถใช้งานได้

Locker (มุ่งเน้นการล็อกการเข้าถึงข้อมูล)

ประเภทที่สองจะเป็นแรนซัมแวร์ที่แตกต่างจากแบบแรก เพราะมันไม่ใช้รูปแบบการเข้ารหัสไฟล์ แต่จะใช้วิธีล็อกการใช้งานทั้งระบบ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องและอุปกรณ์ต่างๆ ที่โดนแรนซัมแวร์ประเภทนี้เล่นงานได้ ส่วนที่เหมือนกันคือ การใช้งานจำเป็นต้องใช้ตัวปลดล็อกจากทางผู้ที่โจมตีจึงจะสามารถใช้งานได้

Ransomware เกิดขึ้นได้อย่างไร ?

Ransomware เปรียบเสมือนแนวคิดของการลักพาตัวประกันเพื่อเรียกค่าไถ่ ซึ่งไฟล์ข้อมูลต่างๆ ที่มีค่าสำหรับผู้ใช้งานนั้นก็คือตัวประกันในครั้งนี้ และ แรนซัมแวร์ ก็คือเครื่องมือที่ใช้เรียกค่าไถ่นั่นเอง 

ปี ค.ศ. 1989 (พ.ศ. 2532)

ก่อนจะมาเป็น Ransomware ในปัจจุบัน AIDS Trojan ที่ใช้เรียกค่าไถ่ ถูกพบครั้งแรกในปี ค.ศ. 1989 (พ.ศ. 2532) เมื่อนักชีววิทยาจากมหาวิทยาลัย Harvard ส่งแผ่นข้อมูลฟลอปปีดิสก์ (Floppy Disks) จำนวน 20,000 แผ่น ที่ภายในมีข้อมูลเกี่ยวกับโรค AIDS อยู่ภายในไปยังงานประชุม AIDS ที่จัดขึ้นโดยองค์กรอนามัยโลก ที่รู้จักกันในชื่อ WHO แต่ทว่าแผ่นข้อมูลฟลอปปีดิสก์ เหล่านั้นมีมัลแวร์แฝงอยู่ภายในและมันได้ทำการเข้ารหัสข้อมูลและซ่อนข้อมูลของผู้ใช้งานที่ใส่แผ่นเหล่านั้นลงในเครื่อง ผู้เคราะห์ร้ายที่ได้รับผลกระทบในครั้งนี้ถูกหลอกให้จ่ายเงินเป็นจำนวน $189 (ประมาณ 5,000 - 6,000 บาท) เกี่ยวกับค่าลิขสิทธิ์ซอฟต์แวร์ และส่งทางไปรษณีย์ให้กับบริษัท PC Cyborg Corp ที่ เมือง Panama

ปี ค.ศ. 2006 (พ.ศ. 2549)

ตั้งแต่ปี พ.ศ. 2549 (ค.ศ. 2006) อาชญากรไซเบอร์เริ่มหันมาสนใจการโจมตีในรูปแบบ Ransomware มายิ่งขึ้น พวกเขาปล่อย Archiveus Trojan ที่ใช้การเข้ารหัสรูปแบบ Asymmetric RSA ออกมาโจมตีเหยื่อ การเข้ารหัสรูปแบบนี้มีความซับซ้อนมากยิ่งขึ้นจากในช่วงแรกๆ ผู้ใดที่ติดแรนซัมแวร์ตัวนี้ จะต้องทำการสั่งซื้อรหัสผ่านรูปแบบ 30 ตัวอักษรจากช่องทางออนไลน์เท่านั้น จึงจะสามารถปลดล็อกเพื่อใช้งานข้อมูลได้     

      ปี ค.ศ. 2013 (พ.ศ. 2556)

ในปี พ.ศ. 2556 (ค.ศ. 2013) Ransomware ที่มีชื่อว่า CryptoLocker (ประเภท Locker) ถือกำเนิดขึ้น มันใช้การเข้ารหัส RSA รูปแบบ 2048-bit ที่มีความแข็งแรงในชุดรหัสสูงมาก แถมยังบังคับให้เหยื่อจ่ายชำระเงินภายใน 3 วัน ไม่เช่นนั้นไฟล์ที่ถูกเข้ารหัสจะถูกลบออกจากเครื่อง

ปี ค.ศ. 2017 (พ.ศ. 2560)

ในปี พ.ศ. 2560 (ค.ศ. 2017) เป็นเหตุการสำคัญครั้งใหญ่ที่เกิดขึ้นทั่วโลก โดยระบบทั้งโลกแทบจะเป็นอัมพาตเพราะการโจมตีจากแรนซัมแวร์ WannaCry (ประเภท Crypto) แรนซัมแวร์ตัวนี้ใช้ช่องโหว่ EternalBlue บนระบบปฏิบัติการ Windows ที่ทางสำนักงานความมั่นคงแห่งชาติ หรือ NSA เป็นผู้ค้นพบ ด้วยการอาศัยช่องโหว่นี้ WannaCry สามารถเข้าถึงเครื่องคอมพิวเตอร์ที่ใช้ Windows ทั่วโลกกว่า 230,000 เครื่อง ใน 150 ประเทศ โดนเรียกค่าไถ่เป็นวงกว้างอย่างหลีกเลี่ยงไม่ได้ 

ปี ค.ศ. 2020 (พ.ศ. 2563)

ในปัจจุบันการแพร่ระบาดและอันตรายจาก Ransomware ก็ยังไม่หยุด ปี พ.ศ. 2562 - 2563 (ค.ศ. 2019 - 2020) ก็ตรวจพบ Ransomware สายพันธุ์ใหม่ๆ อย่าง SNAKE หรือ EKANS ที่มีคำสั่งมุ่งเน้นการโจมตีไปยังระดับอุตสาหกรรมการ โดยใช้วิธีหยุดระบบวงจรการผลิตของเครื่องจักรทำให้เกิดปัญหา แถมยังเข้ารหัสข้อมูลที่เหลือในระบบและทิ้งท้ายข้อความให้จ่ายเงินค่าไถ่แลกกับรหัสเข้าถึงข้อมูล

บทสรุปเกี่ยวกับ Ransomware

ยิ่งเวลาผ่านไปอาชญากรในโลกไซเบอร์ก็ยิ่งพัฒนาวิธีการและรูปแบบของ Ransomware เวอร์ชันใหม่ๆ ที่สามารถหลอกหรือเข้าถึงไฟล์และตัวเครื่องของผู้ใช้งานได้หลากหลายวิธี ผู้ใดที่ตกเป็นเหยื่อ Ransomware ที่ร้ายแรงอาจจะไม่มีเครื่องมือถอดรหัส หรือ ซอฟต์แวร์ที่ป้องกันได้ ทำให้ต้องเสียค่าไถ่ เพื่อกู้ข้อมูลให้กลับมาเป็นปกติได้

แต่ทางที่ดีเราควรหมั่นอัปเดทระบบปฏิบัติการ ติดตั้ง โปรแกรมแอนตี้ไวรัส (Antivirus Software) เพื่อป้องกันไวรัส มัลแวร์ หรือภัยคุกคามต่างๆ ศึกษา วิธีป้องกันมัลแวร์เรียกค่าไถ่ สำรองข้อมูลส่วนตัว และหลีกเลี่ยงการเปิดลิงก์ อีเมล หรือ ดาวน์โหลดโปรแกรม หรือ ดาวน์โหลดไฟล์ จากแหล่งเว็บไซต์ที่ไม่รู้จัก เพื่อป้องกันอันตรายจากการติดแรนซัมแวร์ประเภทนี้ นั่นเอง