เห็นพักนี้กำลังฮิต เลยอยากเห็นหลักการทำงานของมันดู เลยได้ลองทำตัวเองให้ติดดูครับ
ขั้นแรกก็หาโหลด CRYPTOLOCKER ได้มาตามรูป
ดูดี ๆ จะเห็นว่ามันจงใจทำ icon ให้เหมือน PDF file แต่นามสกุลจริง ๆ คือ .exe ครับ
ถ้าใครตั้งให้ windows มันซ่อน นามสกุล ก็จะหลงคิดไปว่ามันคือ PDF file ทั่ว ๆ ไปนี่เอง
หลังจาก click มันก็จะได้ popup แบบนี้ และมี file ชื่อว่า HOW TO DECRYPT FILES.txt ขึ้นมาด้วย
ซึ่งใน text file นี้ก็จะมีข้อความเดียวกับ popup เมื่อนี้เลย
ต่อจากนั้น wallpaper ก็จะถูกเปลี่ยน ให้แสดงขั้นตอน และวิธีจ่ายเงิน พร้อมคำขู่ ว่า you must pay
ปุ่ม Quick Launch ที่มุมขวาล่าง ก็โดนเปลี่ยนไปด้วย และเมื่อ click ไปที่ file ที่โดนเข้ารหัส มันก็จะขึ้นหน้าให้ใส่ password เพื่อถอดรหัส file ของเราคืน ซึ่ง password นี้ต้องจ่ายตังถึงจะได้มา
ความเสียหาย
เนื่องจากเครื่องนี้เป็น windows xp เปล่า ๆ ลงใหม่ ๆ ไม่มีอะไรเลย สิ่งที่มันทำได้ คือ เข้ารหัสทุก ๆ file ใน My Documents
แต่มันก็ไม่มีอะไรมาก ก็เลยทำได้เท่าที่เห็นนี้ครับ จะเห็นว่า zip file นี้ก็โดนด้วย link file ก็ไม่เว้น และนอกจากที่มันมาเข้ารหัส file แล้ว
มันก็ยังวาง HOW TO DECRYPT FILES.txt ไว้แทบจะทุก folder
แต่ก็ได้ยินมาว่า เมื่อมันทำเสร็จแล้วมันก็จะหยุดทำงาน และลบตัวเองออกไป ลองดูใน task manager ก็ไม่เห็นอะไรแปลกปลอม แต่เพื่อความแน่ใจ
ผมลองสร้าง file doc ขึ้นมาเพื่อจะดูว่ามันจะมาทำอะไรอีกไหม แต่ทิ้งไว้กว่า 10 นาที ก็ยังไม่มีอะไรเปลี่ยนแปลง
แต่ข้อสรุปนึงที่ผมได้รู้คือ ผมได้ทำ map network drive ไปที่เครื่องนี้ด้วย เพื่อดูว่ามันจะลามมาที่ network drive ด้วยไหม
ผลก็คือ ไม่มีการเข้ารหัส file ที่ network drive ครับ เหมือนมันตั้งไว้ว่าต้องเป็น physical disk เท่านั้น แต่ก็ไม่สามารถสบายใจได้ เพราะ อาจจะมี virus
แบบนี้ พัฒนาให้ scan ทุก drive เลยก็เป็นได้ครับ
จบแค่นี้ ขอให้ทุก ๆ ท่านปลอดภัยนะครับ
หนู ทดลอง CRYPTOLOCKER
ขั้นแรกก็หาโหลด CRYPTOLOCKER ได้มาตามรูป
ดูดี ๆ จะเห็นว่ามันจงใจทำ icon ให้เหมือน PDF file แต่นามสกุลจริง ๆ คือ .exe ครับ
ถ้าใครตั้งให้ windows มันซ่อน นามสกุล ก็จะหลงคิดไปว่ามันคือ PDF file ทั่ว ๆ ไปนี่เอง
หลังจาก click มันก็จะได้ popup แบบนี้ และมี file ชื่อว่า HOW TO DECRYPT FILES.txt ขึ้นมาด้วย
ซึ่งใน text file นี้ก็จะมีข้อความเดียวกับ popup เมื่อนี้เลย
ต่อจากนั้น wallpaper ก็จะถูกเปลี่ยน ให้แสดงขั้นตอน และวิธีจ่ายเงิน พร้อมคำขู่ ว่า you must pay
ปุ่ม Quick Launch ที่มุมขวาล่าง ก็โดนเปลี่ยนไปด้วย และเมื่อ click ไปที่ file ที่โดนเข้ารหัส มันก็จะขึ้นหน้าให้ใส่ password เพื่อถอดรหัส file ของเราคืน ซึ่ง password นี้ต้องจ่ายตังถึงจะได้มา
ความเสียหาย
เนื่องจากเครื่องนี้เป็น windows xp เปล่า ๆ ลงใหม่ ๆ ไม่มีอะไรเลย สิ่งที่มันทำได้ คือ เข้ารหัสทุก ๆ file ใน My Documents
แต่มันก็ไม่มีอะไรมาก ก็เลยทำได้เท่าที่เห็นนี้ครับ จะเห็นว่า zip file นี้ก็โดนด้วย link file ก็ไม่เว้น และนอกจากที่มันมาเข้ารหัส file แล้ว
มันก็ยังวาง HOW TO DECRYPT FILES.txt ไว้แทบจะทุก folder
แต่ก็ได้ยินมาว่า เมื่อมันทำเสร็จแล้วมันก็จะหยุดทำงาน และลบตัวเองออกไป ลองดูใน task manager ก็ไม่เห็นอะไรแปลกปลอม แต่เพื่อความแน่ใจ
ผมลองสร้าง file doc ขึ้นมาเพื่อจะดูว่ามันจะมาทำอะไรอีกไหม แต่ทิ้งไว้กว่า 10 นาที ก็ยังไม่มีอะไรเปลี่ยนแปลง
แต่ข้อสรุปนึงที่ผมได้รู้คือ ผมได้ทำ map network drive ไปที่เครื่องนี้ด้วย เพื่อดูว่ามันจะลามมาที่ network drive ด้วยไหม
ผลก็คือ ไม่มีการเข้ารหัส file ที่ network drive ครับ เหมือนมันตั้งไว้ว่าต้องเป็น physical disk เท่านั้น แต่ก็ไม่สามารถสบายใจได้ เพราะ อาจจะมี virus
แบบนี้ พัฒนาให้ scan ทุก drive เลยก็เป็นได้ครับ
จบแค่นี้ ขอให้ทุก ๆ ท่านปลอดภัยนะครับ