ransomware การทำงานคร่าวๆ
- ผู้ใช้โหลดของแปลกๆ มาลงเครื่อง
- ransomware ถูกติดตั้ง (โดยผู้ใช้ แบบไม่รู้ตัว)
- ransomware ทำงาน (คล้ายๆ zip file แบบใส่รหัสผ่านยาวมาก)
- ลบไฟล์ต้นฉบับทิ้ง (ลบแบบเขียนขยะลงไปแทนที่ sector เดิม, ไม่มีโอกาสกู้กลับได้)
- สร้างจดหมายแจ้งคนใช้เกี่ยวกับการจ่ายค่าปลดรหัสไฟล์ (จะเห็นไฟล์ notepad ชื่อแปลกๆ วางอยู่บน desktop)
- เกือบทั้งหมดจำทำลายตัวเองทิ้งหลังทำงานเสร็จ (ทำงานครั้งเดียว, ไม่ทิ้งร่องรอยอะไรให้ตามต่อ)

** ransomware ที่เจอๆ กัน จะเป็นรุ่นที่ออกมาใหม่ตลอด (เก่าสุดก็แค่ไม่กี่เดือน, เพราะแค่เปลี่ยนสกุลไฟล์ + เปลี่ยนรหัสใหม่ ก็ได้ ransomware ตัวใหม่แล้ว)
ดังนั้น software ที่เคยกู้ไฟล์โดยการสุ่มรหัสเพื่อปลดล๊อค ก็จะทำงานยากขึ้นเรื่อยๆ, โอกาสกู้กลับก็จะน้อยลงเรื่อยๆ



*** เอาง่ายสุด ก็ล้างเครื่อง, ลง windows+program ใหม่
ข้อมูลที่ถูกเข้ารหัส ให้ทำใจแล้วทิ้งไปเลย (ไม่เคยมีการทำสำเนาเก็บ อย่าเรียกว่า "สำคัญ")
ไม่ต้องหาทางกู้ไฟล์ (เพราะไม่มีทางเดารหัสที่ ransomware ใส่มาได้)

เรื่องนี้ต้องแก้ตั้งแต่พฤติกรรมการใช้งานเครื่อง
ถ้าไม่แก้ จะล้างเครื่องใหม่กี่รอบ ก็จะได้ ransomware ตัวใหม่ๆ กลับมาคืนอีกเรื่อยๆ



~เอวัง