Locky ransomware เป็นโปรแกรมซอฟต์แวร์ที่เป็นอันตรายซึ่งได้รับความอื้อฉาวจากผลกระทบร้ายแรงต่อระบบคอมพิวเตอร์และเครือข่ายทั่วโลก แรนซัมแวร์ประเภทนี้ได้รับการออกแบบมาเพื่อเข้ารหัสไฟล์ของเหยื่อและเรียกร้องค่าไถ่ ซึ่งโดยทั่วไปจะเป็นสกุลเงินดิจิทัล เช่น Bitcoin เพื่อแลกกับคีย์ถอดรหัสเพื่อให้สามารถเข้าถึงข้อมูลได้อีกครั้ง เกิดขึ้นครั้งแรกในต้นปี 2559 Locky กลายเป็นหนึ่งในภัยคุกคามแรนซัมแวร์ที่แพร่หลายและอันตรายที่สุดอย่างรวดเร็วในปัจจุบัน
ประวัติความเป็นมาของมัลแวร์เรียกค่าไถ่ Locky และการกล่าวถึงครั้งแรก
Locky ถูกพบครั้งแรกในป่าในเดือนกุมภาพันธ์ 2559 โดยส่วนใหญ่แพร่กระจายผ่านไฟล์แนบอีเมลที่เป็นอันตรายซึ่งปลอมแปลงเป็นเอกสารที่ดูไร้เดียงสา เช่น ไฟล์ Word หรือ PDF เมื่อผู้ใช้ที่ไม่สงสัยเปิดไฟล์แนบ มัลแวร์จะแทรกซึมเข้าไปในระบบและเริ่มเข้ารหัสไฟล์ ทำให้ไม่สามารถเข้าถึงได้ จากนั้นเหยื่อจะได้รับเอกสารเรียกค่าไถ่ ซึ่งมีคำแนะนำเกี่ยวกับวิธีการชำระค่าไถ่และเข้าถึงไฟล์ของพวกเขาได้อีกครั้ง
ข้อมูลโดยละเอียดเกี่ยวกับ Locky ransomware ขยายหัวข้อ Locky ransomware
Locky เป็นมัลแวร์ที่ซับซ้อนซึ่งใช้ประโยชน์จากอัลกอริธึมการเข้ารหัสที่แข็งแกร่งเพื่อล็อคเหยื่อจากไฟล์ของพวกเขาอย่างมีประสิทธิภาพ กระบวนการเข้ารหัสที่ Locky ใช้นั้นไม่สมมาตร โดยที่คีย์สาธารณะที่ไม่ซ้ำกันจะถูกใช้ในการเข้ารหัสไฟล์ และมีเพียงคีย์ส่วนตัวที่เกี่ยวข้องที่ผู้โจมตีถือเท่านั้นที่สามารถถอดรหัสได้ ทำให้แทบจะเป็นไปไม่ได้เลยที่เหยื่อจะกู้คืนข้อมูลของตนได้โดยไม่ต้องใช้คีย์ถอดรหัส
การเรียกร้องค่าไถ่ของ Locky นั้นแตกต่างกันไปตามกาลเวลา โดยมีจำนวนเงินตั้งแต่หลายร้อยถึงหลายพันดอลลาร์ นอกจากนี้ บันทึกค่าไถ่มักจะมีกำหนดเวลาในการกดดันเหยื่อให้จ่ายเงินอย่างรวดเร็ว ขู่ว่าจะเพิ่มจำนวนเงินค่าไถ่หรือลบคีย์ถอดรหัสอย่างถาวรหากพลาดกำหนดเวลา
โครงสร้างภายในของ Locky ransomware แรนซั่มแวร์ Locky ทำงานอย่างไร
Locky ransomware ทำงานในหลายขั้นตอน เมื่อเปิดไฟล์แนบที่ติดไวรัส มันจะปรับใช้มาโครหรือสคริปต์เพื่อดาวน์โหลดเพย์โหลด Locky จากเซิร์ฟเวอร์ระยะไกล เมื่อดาวน์โหลดและดำเนินการเพย์โหลดแล้ว Locky จะเริ่มเข้ารหัสไฟล์บนระบบโลคัลและการแชร์เครือข่ายโดยใช้อัลกอริธึมการเข้ารหัส RSA-2048 และ AES ไฟล์ที่เข้ารหัสจะได้รับนามสกุล เช่น “.locky” “.zepto” หรือ “.odin”
ในระหว่างขั้นตอนการเข้ารหัส Locky จะสร้างตัวระบุเฉพาะสำหรับเครื่องที่ติดไวรัสแต่ละเครื่อง ทำให้ยากต่อการติดตามและติดตามการแพร่กระจายของมัลแวร์ หลังจากการเข้ารหัสเสร็จสมบูรณ์ บันทึกค่าไถ่จะถูกสร้างขึ้นและบันทึกไว้ในระบบ เพื่อแนะนำเหยื่อเกี่ยวกับวิธีการชำระค่าไถ่
การวิเคราะห์คุณสมบัติหลักของแรนซั่มแวร์ Locky
Locky โดดเด่นเนื่องจากคุณสมบัติหลักหลายประการที่ทำให้เกิดผลกระทบในวงกว้าง:
-
การจัดส่งผ่านอีเมล: Locky แพร่กระจายผ่านอีเมลขยะที่เป็นอันตรายเป็นหลักซึ่งมีไฟล์แนบที่ติดไวรัสหรือลิงก์เพื่อดาวน์โหลดมัลแวร์
-
การเข้ารหัสที่แข็งแกร่ง: มัลแวร์ใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง เช่น RSA-2048 และ AES ทำให้การถอดรหัสไฟล์โดยไม่ต้องใช้คีย์เรียกค่าไถ่เป็นเรื่องที่ท้าทาย
-
วิวัฒนาการและความหลากหลาย: Locky ได้เห็นการทำซ้ำและรูปแบบต่างๆ มากมาย โดยปรับให้เข้ากับมาตรการรักษาความปลอดภัย และพัฒนาเพื่อหลีกเลี่ยงการตรวจจับ
-
การชำระค่าไถ่ใน Cryptocurrency: เพื่อรักษาความเป็นนิรนาม ผู้โจมตีเรียกร้องค่าไถ่ในสกุลเงินดิจิทัล เช่น Bitcoin ทำให้ยากต่อการติดตามกระแสเงิน
ประเภทของแรนซั่มแวร์ Locky
Locky มีหลายรูปแบบตลอดการดำรงอยู่ ด้านล่างนี้คือรายการรุ่น Locky ที่โดดเด่นบางส่วนพร้อมคุณสมบัติที่โดดเด่น:
| ชื่อตัวแปร | ส่วนขยาย | คุณสมบัติที่สำคัญ |
|---|---|---|
| ล็อคกี้ | .ล็อค | ตัวแปรดั้งเดิมที่เริ่มต้นคลื่นแรนซัมแวร์ |
| เซปโต | .zepto | เวอร์ชันปรับปรุงพร้อมการเปลี่ยนแปลงเล็กน้อย |
| โอดิน | .โอดิน | มุ่งเน้นไปที่การกำหนดเป้าหมายและการเข้ารหัสการแชร์เครือข่าย |
| ธอร์ | .ธอร์ | ใช้รูปแบบบันทึกค่าไถ่ที่แตกต่างกัน |
ในฐานะบุคคลหรือองค์กร การใช้ Locky ransomware เพื่อวัตถุประสงค์ใดก็ตามถือเป็นการกระทำที่ผิดกฎหมายและผิดจรรยาบรรณอย่างมาก การมีส่วนร่วมในกิจกรรมแรนซัมแวร์อาจนำไปสู่ผลทางกฎหมายที่ร้ายแรง การสูญเสียทางการเงินที่สำคัญ และความเสียหายต่อชื่อเสียงของบุคคลหรือบริษัท
วิธีที่มีประสิทธิภาพที่สุดในการป้องกัน Locky ransomware และภัยคุกคามอื่นๆ ที่คล้ายคลึงกันคือการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง มาตรการเหล่านี้รวมถึง:
-
การสำรองข้อมูลปกติ: รักษาการสำรองข้อมูลที่สำคัญบ่อยครั้งและจัดเก็บแบบออฟไลน์เพื่อให้แน่ใจว่าได้รับการกู้คืนข้อมูลในกรณีที่มีการโจมตี
-
ความปลอดภัยของอีเมล: ใช้การกรองอีเมลขั้นสูงและฝึกอบรมผู้ใช้ให้จดจำและหลีกเลี่ยงไฟล์แนบหรือลิงก์อีเมลที่น่าสงสัย
-
การป้องกันไวรัสและการป้องกันปลายทาง: ปรับใช้ซอฟต์แวร์ป้องกันไวรัสที่เชื่อถือได้และเครื่องมือป้องกันปลายทางเพื่อตรวจจับและป้องกันการติดแรนซัมแวร์
-
อัพเดตซอฟต์แวร์: อัปเดตซอฟต์แวร์และระบบปฏิบัติการทั้งหมดให้ทันสมัยอยู่เสมอเพื่อแก้ไขช่องโหว่ที่แรนซัมแวร์อาจใช้ประโยชน์
ลักษณะสำคัญและการเปรียบเทียบอื่น ๆ ที่มีคำศัพท์คล้ายกันในรูปของตารางและรายการ
ตารางเปรียบเทียบที่เน้นความแตกต่างที่สำคัญระหว่างแรนซัมแวร์ Locky และแรนซัมแวร์สายพันธุ์อื่น ๆ ที่รู้จักกันดี:
| แรนซัมแวร์ | การกระจาย | อัลกอริธึมการเข้ารหัส | คุณสมบัติเด่น |
|---|---|---|---|
| ล็อคกี้ | ไฟล์แนบอีเมล | RSA-2048, AES | การเผยแพร่จำนวนมากผ่านอีเมลขยะ |
| อยากร้องไห้ | การใช้ประโยชน์ | RSA-2048, AES | พฤติกรรมคล้ายหนอน การดูแลสุขภาพแบบกำหนดเป้าหมาย |
| CryptoLocker | ดาวน์โหลดแบบไดรฟ์บาย | RSA-2048, AES | Ransomware ที่แพร่หลายครั้งแรกในปี 2013 |
| เพ็ญญ่า/น็อต เพ็ญญ่า | อีเมลการหาประโยชน์ | การเข้ารหัส MBR | การโจมตีโดยใช้ MBR มุ่งเป้าไปที่ยูเครนในปี 2560 |
เมื่อเทคโนโลยีพัฒนาขึ้น กลยุทธ์ของอาชญากรไซเบอร์ก็เช่นกัน Ransomware เช่น Locky มีแนวโน้มที่จะปรับตัวและค้นหาวิธีการติดไวรัสแบบใหม่ต่อไป แนวโน้มในอนาคตที่เกี่ยวข้องกับแรนซัมแวร์อาจรวมถึง:
-
แรนซัมแวร์ที่ปรับปรุงด้วย AI: อาชญากรไซเบอร์อาจใช้ประโยชน์จาก AI และการเรียนรู้ของเครื่องเพื่อทำให้การโจมตีแรนซัมแวร์มีความซับซ้อนมากขึ้นและตรวจจับได้ยากขึ้น
-
การโจมตีแบบกำหนดเป้าหมาย: ผู้โจมตีแรนซัมแวร์อาจมุ่งเน้นไปที่อุตสาหกรรมหรือองค์กรเฉพาะเพื่อเรียกร้องค่าไถ่ที่มากขึ้นโดยขึ้นอยู่กับความสามารถในการจ่ายเงินของเหยื่อ
-
การแสวงหาประโยชน์แบบ Zero-Day: ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่ที่ไม่รู้จักก่อนหน้านี้เพื่อส่งแรนซัมแวร์และหลบเลี่ยงมาตรการรักษาความปลอดภัยแบบเดิม
วิธีการใช้หรือเชื่อมโยงกับพร็อกซีเซิร์ฟเวอร์กับ Locky ransomware
พร็อกซีเซิร์ฟเวอร์สามารถเป็นทั้งเครื่องมือสำหรับการกระจายแรนซัมแวร์และการป้องกันมัน อาชญากรไซเบอร์อาจใช้พร็อกซีเซิร์ฟเวอร์เพื่อซ่อนข้อมูลประจำตัวของตนเมื่อส่ง Locky ผ่านอีเมลขยะหรือการดาวน์โหลดแบบไดรฟ์ ในทางกลับกัน พร็อกซีเซิร์ฟเวอร์ที่ใช้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานด้านความปลอดภัยขององค์กรสามารถเพิ่มประสิทธิภาพการป้องกันแรนซัมแวร์ได้โดยการกรองการรับส่งข้อมูลที่เป็นอันตรายและตรวจจับรูปแบบที่น่าสงสัย
ลิงก์ที่เกี่ยวข้อง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Locky ransomware และการป้องกัน ransomware โปรดดูแหล่งข้อมูลต่อไปนี้:
- การป้องกันและตอบสนองต่อแรนซัมแวร์ US-CERT
- ศูนย์ทรัพยากรแรนซัมแวร์ Kaspersky Lab
- คำอธิบายมัลแวร์เรียกค่าไถ่ Symantec Locky
โปรดจำไว้ว่า การรับทราบข้อมูลและการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพถือเป็นสิ่งสำคัญในการป้องกันภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา เช่น แรนซัมแวร์ Locky
