รีวิวประสบการณ์โดน Ransomware แต่ตรูไม่แคร์

เมื่อไม่กี่วันก่อน เราก็กลับบ้านมาเพราะวันหยุดสงกรานต์ เลยทำให้ได้กลับมาเปิด PC ที่บ้าน ที่ไม่ได้เปิดมาหลายวันเพราะการบ้านมันเยอะเหลือทน ได้เปิดมันอีกครั้ง และเรื่องมันก็เกิดขึ้น...

เกิดอะไรขึ้น ?

เปิดมา เออ เราก็เห็นอีเมล์มันเด้งเลยเปิดผ่าน Web Mail ดู เออชื่อมันก็ดูน่าเชื่อถือ เอาเป็นว่า มันดูน่าเชื่อถือมาก เราก็เลยกด Attachment มาดู ผ่านไปสักพัก เหมือนเครื่องก็แปลก ๆ มีเสียง ติ๊ด ๆๆๆ ขึ้นเมื่อเวลาผ่านไปสักพัก และมีหน้าต่างอะไรแปลก ๆ ขึ้นมา

ตอนนั้น รู้ละว่า "กรูโดนละ !!" มันก็ลงโปรแกรมอะไรแปลก ๆ มาเต็มหน้าจอไปหมด แบบ เฮ้ย เชี้ยย อะไรเนี่ย และด้วยความที่เครื่องเราไม่ได้ติดตั้งโปรแกรมรักษาความปลอดภัยต่าง ๆ เพราะเราเองก็เชื่อใจ Windows รุ่นใหม่ ๆ แล้วว่ามันสามารถป้องกันภัยได้ในระดับนึง น่าจะรอดแหละ เลยไม่ได้ลงโปรแกรมอะไรแบบนั้นไว้ในเครื่อง

ต้องบอกก่อนนะว่า เครื่องเราที่โดน หรือตอนไหน เราไม่ได้ใช้ Software ละเมิดลิขสิทธิ์เลยนะ เราใช้แท้หมด ไม่ต้องมาแขวะว่าเราใช้พวกละเมิดลิขสิทธิ์รึเปล่านะ และแน่นอนว่า Windows Update กับ Windows Defender ก็เปิดเป็น Default เลยนะ เราไม่ได้ไปแก้อะไรเลย เพราะเราแก้ไม่เป็น ถถถถถ

ด้วยความที่ตอนนั้น เราก็อึ้งอยู่ว่า นี่เราก็เชี่ยวในเรื่องของ Security อยู่พอควร แต่เราก็ยังโดนได้ เรื่องนั้นช่างมันก่อน เราจะทำยังไงกับมันดี ?? ด้วยความรู้ที่สติหายไปแล้วก็เช็คผ่าน Task Manager ก่อนเลยว่า มันมี Process แปลก ๆ อะไรขึ้นมามั้ย ซึ่งใช่ฮ่ะ เจอเต็ม ๆ ก็เลยลอง Kill Process ดู มันก็ไปนะ แล้วมันก็กลับมาอีกในเวลาไม่ถึงวินาที ก็เริ่มชิบหายละ

งั้น มันต้องเจอระดับโปรแกรม Virus Scan กันเลย ตอนนั้น ก็นึกถึง Trend Micro ก่อนเลย เพราะมีคนเคยพูดถึงอยู่เมื่อไม่นานมานี้ ดีที่เจ้านั้นมีโปรแกรมที่ชื่อว่า HouseCall โอเค ก็น่าสนใจดีนะ เราเลยโอเค โหลดมาแล้วลองสแกนเลย ปรากฏว่า เออ ก็เจอจริง ตอนนั้นคิดว่า ใช้โปรแกรมพวกนี้ Kill Process และลบมันทิ้งเปิดเครื่องมาใหม่ก็น่าจะรอดแล้วนะ

สแกน และจัดการเสร็จ เปิดเครื่องใหม่มา อื้อหืออออ โปรแกรมมันก็ยังติดตั้งอะไรแปลก ๆ มาเรื่อย ๆ อะ โอเค ลองของ Brand อื่นดีกว่า Avast ไง มันมีตัวฟรีอยู่ ก็โหลดมาใช้ ลองสแกนเลย มันก็เจอ ไม่ใช่แค่เจอนะ โปรแกรมมันเด้งเตือนยิก ๆ ตลอดเวลา พอเล่นโปรแกรมไปหน่อยเจอ ว่ามันมี Deep Scan ที่เราจะให้มัน Scan ตอนที่เราเปิดเครื่อง อะได๊เลย !!! โก มันก็จะขึ้นแบบในภาพด้านบนนี่แหละ คือเจอมาเรื่อย ๆ เลย

เปิดเครื่องมาก็คิดว่า เฮ้ออออ รอดละ ปรากฏว่า ไม่รอดเหวยยย อาการบางส่วนมันหายไปละ เช่นอีปี๊บ ๆๆ และ Chrome ก็โดน Hijack ก็ไม่มีอาการนั้นแล้ว แต่ก็ยังมี Process แปลก ๆ มันกำลังทำงานอยู่ ไปดูที่ CPU เฮ้ย มึ_รันด้วย แต่ทำไมมันไม่มีอะไรขึ้นมา ตอนนั้นก็สังหรณ์ใจแปลก ๆ ว่า หรือว่าาาาา จะเป็น Ransomware


Files พวกนี้เป็นไฟล์ที่เราอัดจากการนั่ง Stream Game ซึ่งก็ Backup ไว้อยู่แล้ว

พอไปเปิดไฟล์ใน Drive D เท่านั้นแหละ เออ กรูรู้ละว่า มรึงคือ Ransomeware !! ไฟล์เราโดนเข้ารหัส และอยู่ในสกุล .browec เอาเป็นว่ามันคืออะไรไม่รู้

แถมอีเจ้าของ Ransomware นี้ก็ยังทิ้ง Readme เก็บไว้ให้ด้วย ขอบใจ !! ใจความง่าย ๆ นะ มันคือ ถ้าเราจ่ายให้มันภายใน 72 ชั่วโมง มันจะคิดเรา 490 USD แต่ถ้าพ้นไปแล้ว 980 USD ก็ราว ๆ 30k บาทนั่นแหละ

คือ มันทะลวงเข้าไปในไฟล์ทุกไฟล์จริง ๆ นะ แม้แต่ไฟล์ที่ Sync กับ Google Drive อยู่มันก็ไปด้วย และ Google backup and sync ที่เป็นตัว Sync ระหว่างเครื่องเรากับ Google Drive ก็ทำงานได้สมชื่อมันเลยครับ Backup & Sync เพราะมันล่อ Sync ไฟล์ที่โดนเข้ารหัสแล้วไปไว้ใน Google Drive และลบไฟล์ที่ไม่ได้โดนเข้ารหัสทิ้งจาก Google Drive ตรูไปเลย เอ้าอีนี่ !!!! แต่เราก็เข้าใจได้แหละว่า เวลาเราลบไฟล์ หรือเพิ่มไฟล์มันก็ต้องยิงขึ้น Drive แบบ Realtime

นอกจากนั้น WD My Cloud Home ที่เรา Connect ไว้ ไฟล์ในนั้นก็โดนเข้ารหัสไปด้วยเหมือนกัน ดังนั้นไม่ได้ล่อแค่ Folder ในเครื่องเท่านั้น Network Map Drive ก็ยังไม่เว้น แต่โชคดีที่ Connect มันจากเน็ตอีกเส้น ที่ไม่ได้ต่อตรงกับตัว My Cloud Home ทำให้มันทำได้ช้า ไฟล์ที่โดนก็ไม่เยอะมากเพียงแค่ 10-50 ไฟล์จากเป็นแสนไฟล์เท่านั้นเอง ชิว ๆ ไฟล์ที่โดนก็ไม่ได้สำคัญอะไร เพราะมันเป็น Optimised Media เวลาเราใช้ Final Cut ซึ่งเราก็มี Backup อยู่แล้ว

แต่ตรูไม่แคร์ เรื่องของแก 55555 จะเรียกเท่าไหร่ก็เรียกไป เพราะเราไม่โง่เก็บไฟล์สำคัญ ๆ ไว้ในเครื่องหรอกนะ เพราะไฟล์ทุกอย่างมันอยู่ใน External HDD หมดแล้ว จะทำอะไรก็เชิญ ตอนนั้นเราเลย Reset เครื่องใหม่ผ่าน Feature ที่เรียกว่า Reset My PC ของ Windows ก็จะเป็นการล้างโปรแกรมทุกอย่างทิ้งใหม่หมด รวมไปถึง Format ทุก Drive ที่อยู่บนเครื่อง เหมือนเราซื้อเครื่องมาใหม่เลย


แน่นอนว่า โปรแกรมแรกที่ต้องติดตั้งคือ Google Chrome

สุดท้ายเราก็ต้องลงโปรแกรม และ ที่สำคัญ เกม ใหม่ทั้งหมด ซึ่งมันก็ไม่ได้เป็นเรื่องยากขนาดนั้น เพราะโปรแกรมและเกมทั้งหมดเราสามารถโหลดผ่านเว็บของผู้ให้บริการได้อยู่แล้ว เช่น Steam เราก็ต่อเน็ตแล้วก็โหลดใหม่กี่ครั้งก็โหลดไปสิ เลยไม่ได้เดือนร้อนอะไรมาก

แล้วข้อมูลที่โดนเข้ารหัสไปทำยังไง ?

ก็อย่างที่เราบอกว่า เรามี Backup อยู่ใน External Storage อยู่แล้ว ก็เลยไม่ได้มีปัญหาอะไร ใน Drive D เราก็มีแค่ ตัวเกมต่าง ๆ ที่มันกิน Storage เยอะ เราก็มาไว้ใน Drive D แทน จะโดนก็ไม่ได้มีอะไร เพราะตัวเกมก็โหลดกี่ครั้งก็โหลด ตัวเซฟเกมก็เซฟอยู่ใน Cloud อยู่แล้ว

ส่วนใน Google Drive ก็ง่ายมากฮ่ะ เรามี Sync อยู่ใน Laptop อยู่แล้ว ซึ่งตอนนั้น โชคดีที่เราไม่ได้เปิดใช้ Laptop อยู่ ทำให้ในเครื่องนั้นก็ยังมีไฟล์ที่ใช้งานได้อยู่ เราก็เลยแก้ปัญหาง่ายมาก ๆ เพียงแค่เปิด Laptop ขึ้นมา แล้วก็ปิดเน็ต และ ปิด Google backup and sync ทิ้งไปแล้วดูดไฟล์ที่ใช้งานได้ออกมา แล้วเปิดเน็ตและตัว Sync ใหม่ จากนั้นเราก็ลบไฟล์ที่โดนเข้ารหัสทิ้งซะ แล้วก็ก๊อปไฟล์ที่ใช้ได้กลับเข้าไปก็เป็นอันเรียบร้อย

และใน WD My Cloud Home ไฟล์ที่โดนก็ไม่ได้สำคัญอะไร ลบทิ้งไป พอเปิด Final Cut มา มันก็จะสร้างใหม่ให้เองเพราะมันเป็น Optimised Media เฉย ๆ

เรามาเล่าทำไม ?

การที่เรามาเล่าในวันนี้ เราไม่ได้แค้นคนที่ส่งมาหรืออะไรเลยนะ เพียงแค่เราอยากจะบอกว่า ขนาดเราก็เชี่ยวชาญในด้าน Security ระดับนึง แต่เราก็ยังพลาดโดนได้ ใช่ฮ่ะ เอาจริง ๆ ใคร ๆ ก็พลาดโดนได้ทั้งนั้นแหละ ไม่ว่าจะเก่งมาจากไหนก็ตาม เพราะกลหลอกของมันก็แนบเนียนขึ้นเรื่อย ๆ ถ้าตามไม่ทันก็อาจจะพลาดเป็นเหยื่อได้ทั้งนั้นแหละ

ดังน้ัน เราอย่ามองว่าเรื่องพวกนี้มันเป็นเรื่องไกลตัวเลย อย่ามองว่า เครื่องเรามันก็ไม่มีอะไรโดน ๆ ไปก็ไม่ได้เดือดร้อนอะไร ถ้าเรามี Secuirty Awareness เราก็จะปลอดภัยจากภัยคุกคามหลาย ๆ อย่างได้แล้ว อย่าให้โดนแล้วคิดได้เลย มันจะสายไปเสียแล้วนะ

ถ้าโดนแล้วจะทำยังไง ?

สิ่งคำคัญคือ เมื่อโดนแล้ว อย่าตกใจ แตกตื่นอะไร มันไม่ได้ช่วยอะไร และจะทำให้แย่ลงอีกต่างหาก สติต้องมาละว่า เราจะจัดการยังไง ถ้าคุณไม่ได้เป็นผู้เชี่ยวชาญหรืออะไร แนะนำให้ปิดเครื่องหนีไปก่อน ตราบใดที่เรายังเปิดเครื่องอยู่ โปรแกรมเข้ารหัสนี้มันก็ยังจะทำงานเพื่อกินไฟล์เราไปเรื่อย ๆ แล้วค่อยส่งเครื่องไปให้ผู้ที่รู้จัดการต่อ ซึ่งอาจะจะได้ไฟล์คืนหรือไม่ก็อยู่ที่มันกินไปโดนไฟล์สำคัญหรือยัง หรือถ้าโดนแล้วเราจะเลือกจ่ายค่าไถ่ หรือไม่ก็อยู่ที่เราเลย

จากเคสของเรานี้นั้น บอกได้เลยว่า เรารอดมาได้ เพราะเราทำการ Backup ไฟล์ทุกไฟล์ มากกว่า 1 ที่ และ ทำเป็น Off-Storage กล่าวคือ เราก็ Backup ใส่ External Storage ที่ไม่ได้เสียบทำงานอยู่ตลอดเวลานั่นแหละ ถ้ามันเข้ามา มันก็จะโดนแค่ในไฟล์ที่อยู่ในเครื่องส่วน Backup ก็รอด เพราะมันไม่ได้เสียบเข้าเครื่องอยู่ ณ​ ตอนที่มันกำลังเข้ารหัส

สำหรับใครที่อยากรู้เรื่องของเจ้า Software นรกนี้ก็ เราเคยเขียนไว้แล้ว ที่นี่ ในนั้นเราเล่าเรื่องการทำงานของมันไปหน่อย และวิธีป้องกันเผื่อใครที่ยังไม่โดนก็จะได้ป้องกันตัวกันได้

สรุป

เราจัดการกับพวก Ransomware มาหลายเคสมาก ๆ มากกว่า 10 เคสได้ แต่เราก็ไม่เคยโดนกับตัวเองเลย นี่ก็เป็นครั้งแรกเลยที่เราต้องมาจัดการโปรแกรมแบบนี้ในเครื่องตัวเอง ยอมรับด้วยว่า ตอนนั้นเราก็จัดการได้ไม่เร็วเท่าที่ควร เพราะเราใช้ Windows ไม่ค่อยเป็นซะด้วย เลยคิดนานไปหน่อย แต่ก็โชคดีที่เรามี Backup ของทุกไฟล์ที่โดน เลยไม่ได้มีปัญหาอะไร แค่ต้องมานั่งรอโหลดเกมใหม่ทั้งหมดเท่านั้นเลย สำคัญคือ สตินะ ถ้ามีสติบอกเลยว่า Ransomware ก็อ่อนหัด และอย่ามองว่ามันเป็นเรื่องไกลตัว เพราะเหยื่อรายต่อไปอาจจะเป็นคุณก็ได้ ก็ถ้าใครที่เคยโดนแล้วก็ลองมาเล่าประสบการณ์ดูได้นะว่าเป็นยังไงบ้าง และสำหรับคนที่ยังไม่เคยโดน ก็อย่าลืมป้องกันตัวเองก่อนที่จะโดนนะ โดนมาแล้วค่อยมารู้จักป้องกันมันก็อาจจะไม่ทัน สำหรับวันนี้สวัสดี

ปล. ภาพอาจจะมีไม่มากนะ ตอนนั้นคือ กำลังคิดอยู่ว่าจะจัดการมันยังไงดี !