เตือนภัยแรนซัมแวร์ แปลงตัวเองเป็นไวรัส
วิธีจัดการกับไวรัส "Zcrypt" คือ การใช้ตัวคัดกรองเว็บและใช้ระบบคัดกรองอีเมล เพื่อปิดกั้นลิงค์-อีเมลที่ไม่น่าเชื่อถือ
โดย...ณัฏฐ์ธยาน์ สุทธิเจริญ
บทความพิเศษจากผู้เชี่ยวชาญด้านความปลอดภัยเกี่ยวกับแรนซัมแวร์ที่ชื่อว่า Zcrypt สามารถเปลี่ยนตัวเองเป็นไวรัสได้แล้ว โดยมัลแวร์ส่วนใหญ่จะพบในรูปโทรจันหรือม้าโทรจันแต่ก็ยังไม่สามารถขยายพันธุ์หรือแพร่กระจายด้วยตัวเองได้เท่ากับไวรัสครั้งใหม่นี้
พอล ดักลิน ผู้เชี่ยวชาญด้านความปลอดภัยจาก SophosLabs กล่าวว่า มัลแวร์ที่พบส่วนใหญ่มีความสามารถในฐานะเป็นไวรัสที่สามารถแพร่กระจายได้เองเหมือนการติดเชื้อไวรัสในชีวิตจริงซึ่งทำการคัดสำเนาตัวเองไปยังไฟล์หรือหมวดหมู่อื่น โดยเฉพาะบนเครือข่ายและสื่อจัดเก็บที่ถอดออกได้
มัลแวร์ที่กระจายตัวเองได้นี้มีคุณสมบัติสำคัญที่เหล่าอาชญากรไซเบอร์ต้องการ คือ ไม่ต้องเหนื่อยกับการส่งสแปมไฟล์แนบหรือลิงค์อันตรายอีก เนื่องจากไวรัสสามารถมีชีวิตอยู่รอดและแพร่พันธุ์ได้เองเมื่อปล่อยสู่โลกภายนอก ดังนั้น ไวรัสจึงเป็นมัลแวร์ที่กระจายตัวได้ไกลกว่าและอยู่ทนทานกว่า อีกทั้งการติดเชื้อภายในองค์กรที่ไม่สามารถถอนรากถอนโคนได้หมดก็สามารถโผล่ขึ้นมาแพร่เชื้อได้อีกครั้ง ในอีกหลายปีถัดมา เป็นต้น
แรนซัมแวร์ส่วนใหญ่จะสร้างการเข้ารหัสที่แตกต่างกันสำหรับคอมพิวเตอร์แต่ละเครื่องที่เข้าโจมตี ดังนั้น ถ้าเครื่องในบริษัทโดนโจมตีหลายเครื่อง ก็ต้องซื้อโค้ดปลดรหัสแยกสำหรับคอมพิวเตอร์ทุกเครื่อง ไม่สามารถซื้อโค้ดครั้งเดียวมาใช้ปลดล็อกทั้งบริษัทได้
ทั้งนี้ แรนซัมแวร์จะทำการรันโปรแกรมตัวเอง พร้อมจู่โจมไฟล์ใดๆ ก็ตามที่พบและมีสกุลไฟล์อยู่ในลิสต์เป้าหมาย ตั้งแต่ไฟล์ที่บีบอัดไว้ รูปภาพ วิดีโอ เอกสาร สเปรดชีต หรือแม้แต่ไฟล์เกี่ยวกับงานโปรแกรมมิ่ง จากนั้นจะแสดงหน้า “วิธีการชำระเงิน” เพื่อให้แน่ใจว่าเหยื่อเข้าใจวิธีการซื้อคีย์ปลดรหัสสำหรับกู้ข้อมูล นอกจากนี้ แรนซัมแวร์เดียวกันนี้ยังทำสำเนาตัวเองผ่านเครือข่ายไปยังเครื่องที่แชร์ไฟล์ หรือไดรฟ์ที่ถอดออกได้ เพื่อหวังว่าจะมีคนอื่นหลงเปิดไฟล์ที่ติดเชื้อด้วย
การปล่อยไฟล์ที่ชื่อ zcrypt.lnk ที่ทำงานพร้อมกับไฟล์ autorun.inf เพื่อพยายามโหลดตัวเองอัตโนมัติเมื่อผู้ใช้เชื่อมต่ออุปกรณ์ที่ติดเชื้อ ที่แชร์ไปยังเครือข่ายที่ติดเชื้อ แต่ถือว่าผลกระทบแตกต่างจากการระบาดในอดีตตรงที่ คุณสมบัติการ “Autorun” ของอุปกรณ์ที่ถอดออกได้นี้ถูกปิด โดยดีฟอลต์บนคอมพิวเตอร์ที่ใช้วินโดวส์มานานหลายปีแล้ว จึงนับได้ว่าความเสี่ยงที่จะเกิดการติดเชื้อจากวิธีนี้เหลือต่ำมาก
อย่างไรก็ดี ผู้ดูแลระบบควรตรวจสอบให้แน่ใจว่าคุณสมบัติ Autorun ถูกปิดบนคอมพิวเตอร์ทุกเครื่องด้วย เพราะมัลแวร์ตัวนี้ยังเพิ่มตัวเองเข้าไปยังไดเรกทอรี Appdata\Roaming เพื่อทำสำเนาตัวเองไปยังคอมพิวเตอร์ที่ใช้บนเครือข่ายเดียวกันโดยอัตโนมัติ
วิธีจัดการกับไวรัสตัวนี้ คือ การใช้ตัวคัดกรองเว็บ เพื่อปิดกั้นลิงค์ไม่น่าเชื่อถือ ควรใช้ระบบคัดกรองอีเมล เพื่อปิดกั้นอีเมลที่ไม่น่าเชื่อถือ ต้องมีสติอยู่ตลอด เวลาเจอกับเมลเรียกเก็บเงิน หรือข้อความอื่นๆ ที่ไม่ควรส่งมาถึง
ขณะเดียวกัน อย่าเปิดไฟล์.ZIP หรือ.EXE จากแหล่งที่ไม่ทราบที่มา ใช้ Group Policy เพื่อบังคับให้ฟังก์ชั่น Autorun ถูกปิดบนคอมพิวเตอร์ทุกเครื่องและควรสำรองข้อมูลอยู่เป็นประจำ โดยเฉพาะการสำรองเก็บไว้นอกองค์กร
อย่างไรก็ตาม ให้ผู้ดูแลหรือผู้ที่เจอไวรัสจำไว้ว่าแรนซัมแวร์ไม่ได้มีลักษณะเหมือนกันหมด จึงควรหาวิธีป้องกันที่เหมาะสมและระวังการเปิดไฟล์แปลกปลอมในแต่ละครั้งอย่างรอบคอบ
