หากคุณเข้าใจเทคโนโลยีในระดับปานกลาง เมื่อใดก็ตามที่คุณได้ยินว่าระบบติดไวรัส ปกติแล้วคุณจะนึกถึงโค้ดที่สั่งการได้ซึ่งลักลอบใช้ฟังก์ชันที่ปลอดภัยที่สุด การติดเชื้อสามารถแพร่กระจายได้หลายวิธี แต่สิ่งหนึ่งที่ยังคงแน่นอน: ความเชื่อมโยงระหว่างไวรัสและโค้ดสั่งการนั้นแข็งแกร่งมาก เราไม่จำเป็นต้องเชื่อว่าเราต้องปกป้องตนเองจากไฟล์ประเภทต่างๆ เช่น JPEG, PNG และไฟล์ MP3 หรือเรา? ตรงกันข้ามกับการยืนยันก่อนหน้านี้ ไฟล์สองประเภทแรกที่ฉันได้กล่าวถึงนั้นถูกใช้เพื่อทำให้คอมพิวเตอร์ติดไวรัสผ่านระบบการส่งข้อความทางโซเชียลมีเดียบน Facebook และ LinkedIn ตามที่รายงานโดย Jon Fingas สำหรับ Engadget เมื่อวันที่ 27 พฤศจิกายน 2016
เกิดอะไรขึ้น
เมื่อวันที่ 18 กุมภาพันธ์ 2559 ไซแมนเทคพบซอฟต์แวร์ที่ค่อนข้างแปลกซึ่งกลายเป็นแรนซัมแวร์รูปแบบใหม่ที่แพร่กระจายผ่านเว็บ (หากคุณไม่ทราบว่าแรนซัมแวร์คืออะไร ให้ดูที่นี่) สายพันธุ์เฉพาะนี้ – เรียกว่า Locky – แพร่กระจายผ่านอีเมลขยะพร้อมไฟล์แนบในอัตราประมาณหนึ่งหมื่นถึงสองหมื่นเหยื่อต่อสัปดาห์ระหว่างเดือนมกราคมถึงมีนาคม 2559 ไม่จำเป็นต้องตกใจที่เห็นไวรัสแพร่กระจายด้วยวิธีนี้ ข้อความอีเมลที่มีไฟล์แนบเป็น ZIP เป็นกลยุทธ์ที่ใช้กันแพร่หลายตั้งแต่ต้นทศวรรษ 90
แล้วก็เกิดเรื่องขึ้นอีก
ในช่วงปลายเดือนพฤศจิกายน 2559 ผู้ใช้บน Facebook และ LinkedIn เริ่มเห็นข้อความที่ส่งพร้อมไฟล์แนบที่เป็นรูปภาพ ดูเหมือนค่อนข้างปลอดภัย แต่เมื่อเปิดออก พบว่า Locky สายพันธุ์ใหม่ที่จะเข้ารหัสไฟล์ของระบบและปลดล็อกได้ก็ต่อเมื่อเหยื่อจ่ายค่าไถ่ที่ใดก็ได้ระหว่าง 200 ถึง 400 ดอลลาร์สหรัฐฯ ส่วนที่น่าตกใจที่สุดคือไวรัสแพร่กระจายผ่านรูปภาพมากกว่าโค้ดที่รันแบบธรรมดา
ไม่ใช่ทุกอย่างที่เป็นอย่างที่เห็น
แม้ว่ารูปภาพจะถูกนำมาใช้เพื่อแพร่เชื้อสู่ผู้คนบนโซเชียลมีเดียอย่างแน่นอน แต่ก็ไม่ได้หน้าตาเป็นอย่างไร! ฉันได้เจาะลึกลงไปอีกเล็กน้อยเกี่ยวกับกลไกของ Locky และวิธีการที่ลื่นไหลของมัน และดูเหมือนว่าเรื่องราวจะมีอะไรมากกว่า JPEG จำนวนมากที่ "ออกไปหาคุณ"
ก่อนอื่น สิ่งที่คุณแจกจ่ายเมื่อคุณส่งมัลแวร์ไปให้ใครซักคนคือความประทับใจ ที่คุณให้ภาพแก่ใครบางคนบนโซเชียลมีเดีย มีข้อบกพร่องในรหัสของ Facebook และ LinkedIn ที่อนุญาตให้ถ่ายโอนไฟล์บางไฟล์ด้วยไอคอนรูปภาพ ทำให้ผู้รับเชื่อว่าพวกเขาได้รับภาพแมวสัตว์เลี้ยงหรือสวนใหม่ที่ไม่เป็นอันตราย สิ่งที่ผู้รับดาวน์โหลดจริง ๆ คือไฟล์ HTA ซึ่งเป็นโปรแกรมปฏิบัติการที่เก่ามากสำหรับ Windows ซึ่งมีมาตั้งแต่ปี 2542 (อีกรายการหนึ่งเพื่อเพิ่มลงในรายการสาเหตุที่ซอฟต์แวร์ในทศวรรษ 90 ใช้งานไม่ได้โดยสิ้นเชิง)
โดยพื้นฐานแล้ว แอปพลิเคชัน HTA จะเหมือนกับ EXE ยกเว้นว่าแอปพลิเคชันเหล่านั้นจะอยู่ด้านบนของ “mshta.exe” และผู้ดูแลระบบใช้เพื่อเปลี่ยนแปลงระบบอย่างรวดเร็ว เนื่องจากพวกเขามี "ความไว้วางใจ" เต็มรูปแบบของระบบที่กำลังทำงานอยู่ พวกเขาจึงมีอิสระที่จะทำลายล้างความเสียหายจำนวนเท่าใดก็ได้ที่โค้ดของพวกเขาอนุญาต
วิธีป้องกันการติดเชื้อ
เมื่อคุณติด Locky แล้ว คุณไม่สามารถทำอะไรได้มากนอกจากหวังว่าคุณจะพบแอปพลิเคชันป้องกันมัลแวร์ที่สามารถลบออกได้ในขณะที่คุณกำลังบูทในเซฟโหมด แต่การป้องกันการติดเชื้อในตอนแรกนั้นค่อนข้างง่าย เมื่อคุณได้รับไฟล์ภาพบน Facebook และไฟล์นั้นไม่มีตัวอย่างเหมือนภาพด้านล่าง คุณอาจต้องดาวน์โหลดไฟล์ดังกล่าว
เมื่อคุณดาวน์โหลดไฟล์แล้ว ให้ตรวจสอบส่วนขยายของไฟล์ หากไม่ระบุว่าเป็น JPG, JPEG, PNG หรืออะไรก็ตามที่ดูเหมือนเป็นรูปภาพ แสดงว่าอาจเป็นไวรัส เราเคยเห็น Locky ในรูปแบบ HTA แต่ก็อาจปรากฏในโค้ดสั่งการประเภทอื่นๆ (.COM, .PIF, .SCR, .CPL, .JAR, .APPLICATION, .EXE, .MSI เป็นต้น) เพียงจับตาดูนามสกุลไฟล์และระวังสิ่งที่คุณไม่รู้จัก วิธีหนึ่งที่แน่นอนในการตรวจสอบว่าไฟล์ที่คุณได้รับเป็นรูปภาพหรือไม่ คือการดูว่า Windows Explorer แสดงตัวอย่างให้คุณเห็นหรือไม่เมื่อคุณเปลี่ยนรูปแบบการแสดงผลเป็น “ไอคอนขนาดใหญ่”
มีคำแนะนำดีๆ อื่น ๆ ที่จะแบ่งปันหรือไม่? บอกเราในความคิดเห็น!