Review

รีวิวประสบการณ์โดน Ransomware แต่ตรูไม่แคร์

By Arnon Puitrakul - 15 เมษายน 2019

รีวิวประสบการณ์โดน Ransomware แต่ตรูไม่แคร์

เมื่อไม่กี่วันก่อน เราก็กลับบ้านมาเพราะวันหยุดสงกรานต์ เลยทำให้ได้กลับมาเปิด PC ที่บ้าน ที่ไม่ได้เปิดมาหลายวันเพราะการบ้านมันเยอะเหลือทน ได้เปิดมันอีกครั้ง และเรื่องมันก็เกิดขึ้น...

เกิดอะไรขึ้น ?

เปิดมา เออ เราก็เห็นอีเมล์มันเด้งเลยเปิดผ่าน Web Mail ดู เออชื่อมันก็ดูน่าเชื่อถือ เอาเป็นว่า มันดูน่าเชื่อถือมาก เราก็เลยกด Attachment มาดู ผ่านไปสักพัก เหมือนเครื่องก็แปลก ๆ มีเสียง ติ๊ด ๆๆๆ ขึ้นเมื่อเวลาผ่านไปสักพัก และมีหน้าต่างอะไรแปลก ๆ ขึ้นมา

ตอนนั้น รู้ละว่า "กรูโดนละ !!" มันก็ลงโปรแกรมอะไรแปลก ๆ มาเต็มหน้าจอไปหมด แบบ เฮ้ย เชี้ยย อะไรเนี่ย และด้วยความที่เครื่องเราไม่ได้ติดตั้งโปรแกรมรักษาความปลอดภัยต่าง ๆ เพราะเราเองก็เชื่อใจ Windows รุ่นใหม่ ๆ แล้วว่ามันสามารถป้องกันภัยได้ในระดับนึง น่าจะรอดแหละ เลยไม่ได้ลงโปรแกรมอะไรแบบนั้นไว้ในเครื่อง

ต้องบอกก่อนนะว่า เครื่องเราที่โดน หรือตอนไหน เราไม่ได้ใช้ Software ละเมิดลิขสิทธิ์เลยนะ เราใช้แท้หมด ไม่ต้องมาแขวะว่าเราใช้พวกละเมิดลิขสิทธิ์รึเปล่านะ และแน่นอนว่า Windows Update กับ Windows Defender ก็เปิดเป็น Default เลยนะ เราไม่ได้ไปแก้อะไรเลย เพราะเราแก้ไม่เป็น ถถถถถ

ด้วยความที่ตอนนั้น เราก็อึ้งอยู่ว่า นี่เราก็เชี่ยวในเรื่องของ Security อยู่พอควร แต่เราก็ยังโดนได้ เรื่องนั้นช่างมันก่อน เราจะทำยังไงกับมันดี ?? ด้วยความรู้ที่สติหายไปแล้วก็เช็คผ่าน Task Manager ก่อนเลยว่า มันมี Process แปลก ๆ อะไรขึ้นมามั้ย ซึ่งใช่ฮ่ะ เจอเต็ม ๆ ก็เลยลอง Kill Process ดู มันก็ไปนะ แล้วมันก็กลับมาอีกในเวลาไม่ถึงวินาที ก็เริ่มชิบหายละ

งั้น มันต้องเจอระดับโปรแกรม Virus Scan กันเลย ตอนนั้น ก็นึกถึง Trend Micro ก่อนเลย เพราะมีคนเคยพูดถึงอยู่เมื่อไม่นานมานี้ ดีที่เจ้านั้นมีโปรแกรมที่ชื่อว่า HouseCall โอเค ก็น่าสนใจดีนะ เราเลยโอเค โหลดมาแล้วลองสแกนเลย ปรากฏว่า เออ ก็เจอจริง ตอนนั้นคิดว่า ใช้โปรแกรมพวกนี้ Kill Process และลบมันทิ้งเปิดเครื่องมาใหม่ก็น่าจะรอดแล้วนะ

Avast Deep Scan

สแกน และจัดการเสร็จ เปิดเครื่องใหม่มา อื้อหืออออ โปรแกรมมันก็ยังติดตั้งอะไรแปลก ๆ มาเรื่อย ๆ อะ โอเค ลองของ Brand อื่นดีกว่า Avast ไง มันมีตัวฟรีอยู่ ก็โหลดมาใช้ ลองสแกนเลย มันก็เจอ ไม่ใช่แค่เจอนะ โปรแกรมมันเด้งเตือนยิก ๆ ตลอดเวลา พอเล่นโปรแกรมไปหน่อยเจอ ว่ามันมี Deep Scan ที่เราจะให้มัน Scan ตอนที่เราเปิดเครื่อง อะได๊เลย !!! โก มันก็จะขึ้นแบบในภาพด้านบนนี่แหละ คือเจอมาเรื่อย ๆ เลย

เปิดเครื่องมาก็คิดว่า เฮ้ออออ รอดละ ปรากฏว่า ไม่รอดเหวยยย อาการบางส่วนมันหายไปละ เช่นอีปี๊บ ๆๆ และ Chrome ก็โดน Hijack ก็ไม่มีอาการนั้นแล้ว แต่ก็ยังมี Process แปลก ๆ มันกำลังทำงานอยู่ ไปดูที่ CPU เฮ้ย มึ_รันด้วย แต่ทำไมมันไม่มีอะไรขึ้นมา ตอนนั้นก็สังหรณ์ใจแปลก ๆ ว่า หรือว่าาาาา จะเป็น Ransomware

Ransome Files
Files พวกนี้เป็นไฟล์ที่เราอัดจากการนั่ง Stream Game ซึ่งก็ Backup ไว้อยู่แล้ว

พอไปเปิดไฟล์ใน Drive D เท่านั้นแหละ เออ กรูรู้ละว่า มรึงคือ Ransomeware !! ไฟล์เราโดนเข้ารหัส และอยู่ในสกุล .browec เอาเป็นว่ามันคืออะไรไม่รู้

Readme from Ransomer

แถมอีเจ้าของ Ransomware นี้ก็ยังทิ้ง Readme เก็บไว้ให้ด้วย ขอบใจ !! ใจความง่าย ๆ นะ มันคือ ถ้าเราจ่ายให้มันภายใน 72 ชั่วโมง มันจะคิดเรา 490 USD แต่ถ้าพ้นไปแล้ว 980 USD ก็ราว ๆ 30k บาทนั่นแหละ

คือ มันทะลวงเข้าไปในไฟล์ทุกไฟล์จริง ๆ นะ แม้แต่ไฟล์ที่ Sync กับ Google Drive อยู่มันก็ไปด้วย และ Google backup and sync ที่เป็นตัว Sync ระหว่างเครื่องเรากับ Google Drive ก็ทำงานได้สมชื่อมันเลยครับ Backup & Sync เพราะมันล่อ Sync ไฟล์ที่โดนเข้ารหัสแล้วไปไว้ใน Google Drive และลบไฟล์ที่ไม่ได้โดนเข้ารหัสทิ้งจาก Google Drive ตรูไปเลย เอ้าอีนี่ !!!! แต่เราก็เข้าใจได้แหละว่า เวลาเราลบไฟล์ หรือเพิ่มไฟล์มันก็ต้องยิงขึ้น Drive แบบ Realtime

นอกจากนั้น WD My Cloud Home ที่เรา Connect ไว้ ไฟล์ในนั้นก็โดนเข้ารหัสไปด้วยเหมือนกัน ดังนั้นไม่ได้ล่อแค่ Folder ในเครื่องเท่านั้น Network Map Drive ก็ยังไม่เว้น แต่โชคดีที่ Connect มันจากเน็ตอีกเส้น ที่ไม่ได้ต่อตรงกับตัว My Cloud Home ทำให้มันทำได้ช้า ไฟล์ที่โดนก็ไม่เยอะมากเพียงแค่ 10-50 ไฟล์จากเป็นแสนไฟล์เท่านั้นเอง ชิว ๆ ไฟล์ที่โดนก็ไม่ได้สำคัญอะไร เพราะมันเป็น Optimised Media เวลาเราใช้ Final Cut ซึ่งเราก็มี Backup อยู่แล้ว

Reset Windows

แต่ตรูไม่แคร์ เรื่องของแก 55555 จะเรียกเท่าไหร่ก็เรียกไป เพราะเราไม่โง่เก็บไฟล์สำคัญ ๆ ไว้ในเครื่องหรอกนะ เพราะไฟล์ทุกอย่างมันอยู่ใน External HDD หมดแล้ว จะทำอะไรก็เชิญ ตอนนั้นเราเลย Reset เครื่องใหม่ผ่าน Feature ที่เรียกว่า Reset My PC ของ Windows ก็จะเป็นการล้างโปรแกรมทุกอย่างทิ้งใหม่หมด รวมไปถึง Format ทุก Drive ที่อยู่บนเครื่อง เหมือนเราซื้อเครื่องมาใหม่เลย

Installing Google Chrome
แน่นอนว่า โปรแกรมแรกที่ต้องติดตั้งคือ Google Chrome

สุดท้ายเราก็ต้องลงโปรแกรม และ ที่สำคัญ เกม ใหม่ทั้งหมด ซึ่งมันก็ไม่ได้เป็นเรื่องยากขนาดนั้น เพราะโปรแกรมและเกมทั้งหมดเราสามารถโหลดผ่านเว็บของผู้ให้บริการได้อยู่แล้ว เช่น Steam เราก็ต่อเน็ตแล้วก็โหลดใหม่กี่ครั้งก็โหลดไปสิ เลยไม่ได้เดือนร้อนอะไรมาก

แล้วข้อมูลที่โดนเข้ารหัสไปทำยังไง ?

ก็อย่างที่เราบอกว่า เรามี Backup อยู่ใน External Storage อยู่แล้ว ก็เลยไม่ได้มีปัญหาอะไร ใน Drive D เราก็มีแค่ ตัวเกมต่าง ๆ ที่มันกิน Storage เยอะ เราก็มาไว้ใน Drive D แทน จะโดนก็ไม่ได้มีอะไร เพราะตัวเกมก็โหลดกี่ครั้งก็โหลด ตัวเซฟเกมก็เซฟอยู่ใน Cloud อยู่แล้ว

Copying File From Google Drive Folder

ส่วนใน Google Drive ก็ง่ายมากฮ่ะ เรามี Sync อยู่ใน Laptop อยู่แล้ว ซึ่งตอนนั้น โชคดีที่เราไม่ได้เปิดใช้ Laptop อยู่ ทำให้ในเครื่องนั้นก็ยังมีไฟล์ที่ใช้งานได้อยู่ เราก็เลยแก้ปัญหาง่ายมาก ๆ เพียงแค่เปิด Laptop ขึ้นมา แล้วก็ปิดเน็ต และ ปิด Google backup and sync ทิ้งไปแล้วดูดไฟล์ที่ใช้งานได้ออกมา แล้วเปิดเน็ตและตัว Sync ใหม่ จากนั้นเราก็ลบไฟล์ที่โดนเข้ารหัสทิ้งซะ แล้วก็ก๊อปไฟล์ที่ใช้ได้กลับเข้าไปก็เป็นอันเรียบร้อย

และใน WD My Cloud Home ไฟล์ที่โดนก็ไม่ได้สำคัญอะไร ลบทิ้งไป พอเปิด Final Cut มา มันก็จะสร้างใหม่ให้เองเพราะมันเป็น Optimised Media เฉย ๆ

เรามาเล่าทำไม ?

การที่เรามาเล่าในวันนี้ เราไม่ได้แค้นคนที่ส่งมาหรืออะไรเลยนะ เพียงแค่เราอยากจะบอกว่า ขนาดเราก็เชี่ยวชาญในด้าน Security ระดับนึง แต่เราก็ยังพลาดโดนได้ ใช่ฮ่ะ เอาจริง ๆ ใคร ๆ ก็พลาดโดนได้ทั้งนั้นแหละ ไม่ว่าจะเก่งมาจากไหนก็ตาม เพราะกลหลอกของมันก็แนบเนียนขึ้นเรื่อย ๆ ถ้าตามไม่ทันก็อาจจะพลาดเป็นเหยื่อได้ทั้งนั้นแหละ

ดังน้ัน เราอย่ามองว่าเรื่องพวกนี้มันเป็นเรื่องไกลตัวเลย อย่ามองว่า เครื่องเรามันก็ไม่มีอะไรโดน ๆ ไปก็ไม่ได้เดือดร้อนอะไร ถ้าเรามี Secuirty Awareness เราก็จะปลอดภัยจากภัยคุกคามหลาย ๆ อย่างได้แล้ว อย่าให้โดนแล้วคิดได้เลย มันจะสายไปเสียแล้วนะ

ถ้าโดนแล้วจะทำยังไง ?

สิ่งคำคัญคือ เมื่อโดนแล้ว อย่าตกใจ แตกตื่นอะไร มันไม่ได้ช่วยอะไร และจะทำให้แย่ลงอีกต่างหาก สติต้องมาละว่า เราจะจัดการยังไง ถ้าคุณไม่ได้เป็นผู้เชี่ยวชาญหรืออะไร แนะนำให้ปิดเครื่องหนีไปก่อน ตราบใดที่เรายังเปิดเครื่องอยู่ โปรแกรมเข้ารหัสนี้มันก็ยังจะทำงานเพื่อกินไฟล์เราไปเรื่อย ๆ แล้วค่อยส่งเครื่องไปให้ผู้ที่รู้จัดการต่อ ซึ่งอาจะจะได้ไฟล์คืนหรือไม่ก็อยู่ที่มันกินไปโดนไฟล์สำคัญหรือยัง หรือถ้าโดนแล้วเราจะเลือกจ่ายค่าไถ่ หรือไม่ก็อยู่ที่เราเลย

จากเคสของเรานี้นั้น บอกได้เลยว่า เรารอดมาได้ เพราะเราทำการ Backup ไฟล์ทุกไฟล์ มากกว่า 1 ที่ และ ทำเป็น Off-Storage กล่าวคือ เราก็ Backup ใส่ External Storage ที่ไม่ได้เสียบทำงานอยู่ตลอดเวลานั่นแหละ ถ้ามันเข้ามา มันก็จะโดนแค่ในไฟล์ที่อยู่ในเครื่องส่วน Backup ก็รอด เพราะมันไม่ได้เสียบเข้าเครื่องอยู่ ณ​ ตอนที่มันกำลังเข้ารหัส

สำหรับใครที่อยากรู้เรื่องของเจ้า Software นรกนี้ก็ เราเคยเขียนไว้แล้ว ที่นี่ ในนั้นเราเล่าเรื่องการทำงานของมันไปหน่อย และวิธีป้องกันเผื่อใครที่ยังไม่โดนก็จะได้ป้องกันตัวกันได้

สรุป

เราจัดการกับพวก Ransomware มาหลายเคสมาก ๆ มากกว่า 10 เคสได้ แต่เราก็ไม่เคยโดนกับตัวเองเลย นี่ก็เป็นครั้งแรกเลยที่เราต้องมาจัดการโปรแกรมแบบนี้ในเครื่องตัวเอง ยอมรับด้วยว่า ตอนนั้นเราก็จัดการได้ไม่เร็วเท่าที่ควร เพราะเราใช้ Windows ไม่ค่อยเป็นซะด้วย เลยคิดนานไปหน่อย แต่ก็โชคดีที่เรามี Backup ของทุกไฟล์ที่โดน เลยไม่ได้มีปัญหาอะไร แค่ต้องมานั่งรอโหลดเกมใหม่ทั้งหมดเท่านั้นเลย สำคัญคือ สตินะ ถ้ามีสติบอกเลยว่า Ransomware ก็อ่อนหัด และอย่ามองว่ามันเป็นเรื่องไกลตัว เพราะเหยื่อรายต่อไปอาจจะเป็นคุณก็ได้ ก็ถ้าใครที่เคยโดนแล้วก็ลองมาเล่าประสบการณ์ดูได้นะว่าเป็นยังไงบ้าง และสำหรับคนที่ยังไม่เคยโดน ก็อย่าลืมป้องกันตัวเองก่อนที่จะโดนนะ โดนมาแล้วค่อยมารู้จักป้องกันมันก็อาจจะไม่ทัน สำหรับวันนี้สวัสดี

ปล. ภาพอาจจะมีไม่มากนะ ตอนนั้นคือ กำลังคิดอยู่ว่าจะจัดการมันยังไงดี !

Read Next...

รีวิว iPad Mini Gen 7 หน้าเดิม แรงขึ้นรองรับ Apple Intelligence แล้วนะ

รีวิว iPad Mini Gen 7 หน้าเดิม แรงขึ้นรองรับ Apple Intelligence แล้วนะ

หลังจากผ่านไป 3 ปี ในที่สุดวันที่เรารอคอยกันก็มาถึง iPad Mini ออกรุ่นใหม่แล้วแกร แต่เอ๊ะ หน้าเดิมนิ แล้วมันมีการเปลี่ยนแปลงอะไรบ้าง และส่งผลกระทบต่อการใช้งานอย่างไรบ้าง วันนี้เราได้ทดลองใช้แล้วจะมารีวิวให้อ่านกัน...

รีวิว Apple Password Manager จากเรื่องง่าย ทำให้ทุกอย่างยาก

รีวิว Apple Password Manager จากเรื่องง่าย ทำให้ทุกอย่างยาก

หนึ่งใน Feature ใหม่ที่เปิดออกมาทั้งใน macOS Sequoia, iPadOS 18 และ iOS 18 คือ App ที่ชื่อว่า Password เป็น Password Manager ของ Apple วันนี้เราได้ทดลองใช้งานมันมาประมาณ 1 อาทิตย์แล้ว จะมาเล่าให้อ่านกันว่าอาการมันเป็นยังไง มันทำให้ชีวิตเราเหนื่อยขึ้นได้อย่างไร...

รีวิว macOS Sequoia การอัพเดทที่ทำให้ Ecosystem แข็งแกร่งยิ่งขึ้น

รีวิว macOS Sequoia การอัพเดทที่ทำให้ Ecosystem แข็งแกร่งยิ่งขึ้น

เป็นประจำในทุก ๆ ปีที่ Apple จะเปิดตัว macOS Version ใหม่ออกมาให้ผู้ใช้ Mac ได้ Upgrade กัน ในปีนี้เอง Crack Marketing Team ก็ทำหน้าที่ของตัวเองในการออกไปหาชื่อใหม่ให้กับ macOS ในปีนี้ชื่อว่า macOS Sequoia จะมี Feature อะไรเด็ด ๆ บาง วันนี้เรารวมเอามาเล่าให้อ่านกัน...

รีวิว iOS 18 การเปลี่ยนแปลงเล็กน้อยแต่ยิ่งใหญ่

รีวิว iOS 18 การเปลี่ยนแปลงเล็กน้อยแต่ยิ่งใหญ่

หลังจาก Apple เปิดตัว iOS18 และ iPadOS18 วันนี้เราจะมาเล่าพวก Feature ต่าง ๆ ที่เราได้ทดลองใช้งานมาหลายวันพร้อมกับบอก Use Case การใช้งานต่าง ๆ ว่ามันเอามาทำอะไรได้บ้าง...