แชร์ประสบการโดนไวรัสเรียกค่าไถ่ tombit@india.com.dharma ค่าประสบการณ์ที่แสนแพง

กระทู้สนทนา
** บางรูปอาจนำเสนอไม่ครบเนื่องจากไม่สะดวกที่จะเปิดเผยข้อมูล
** เวลากับรูปอาจจะไม่ตรงกันบ้าง เนื่องจากนำมาประกอบเพื่อให้เห็นตัวอย่างไฟล์เท่านั้นครับ
** ท่านใดมีข้อแนะนำเพิ่มเติมความรู้หรือวิธีป้องกัน ช่วยแนะด้วยครับ ขอขอบพระคุณยิ่ง

ลำดับเหตการณ์
1.    วันศุกร์ ที่ 20 มกราคม 2560  เวลา  03.00 น. โดนไวรัสทำการเข้ารหัสไฟล์ทั้งหมดที่เครื่องเซิร์ฟเวอร์  (ตรวจสอบจากเวลาที่ไฟล์ที่โดนเปลี่ยนแปลง บนเครื่องเซิร์ฟเวอร์

2.    เวลา  08.24 น. โดยประมาณ ได้รับแจ้งจากผู้ใช้งานในออฟฟิศ ว่าไม่สามารถใช้งานโปรแกรมแมงโก้ได้ ทีมไอทีจึงได้ทำการตรวจเช็คจากเครื่องเซิร์ฟเวอร์ จึงทราบว่าเซิร์ฟเวอร์โดนไวรัสทำการเข้ารหัสข้อมูลทั้งหมดแล้ว  และได้ตรวจสอบไปยังที่สำรองข้อมูลของระบบ  ซึ่งก็โดนไวรัสเข้ารหัสไฟล์ข้อมูลทั้งหมดเช่นกัน ทำให้ไม่สามารถเรียกใช้ข้อมูลสำรองได้ ทีมไอทีจึงได้ติดต่อหาข้อมูลไปยังหน่วยงานงานต่าง ๆ หรือขอคำแนะนำจากบริษัทผู้เชี่ยวชาญทางด้านไวรัสแล้ว ไม่มีวิธีแก้ไขปัญหาได้เลย
3.    วันศุกร์ ที่ 20 มกราคม 2560  เวลา  13.00 น. โดยประมาณ ทีมไอที่เริมติดต่อไปยังแฮกเกอร์ผู้ที่ทำการเข้ารหัสไฟล์ผ่านทางอีเมล์ tombit@india.com  ที่ทิ้งให้ไว้ในไฟล์ที่เข้ารหัส   เพื่อติดต่อขอ ทำการถอดรหัสไฟล์ทั้งหมดกลับคืนมา  จนเวลาประมาณ   16.00 น. แฮกเกอร์ได้ตอบอีเมล์มาว่า หากต้องการปลดล็อกไฟล์ ต้องจ่าย 2 บิทคอยท์    ทีมไอทีจึงได้ปรึกษาขอคำแนะนำจากทีมผู้บริหาร เพื่อขออนุมัติเรื่องทำการปลดล็อกการเข้ารหัสไฟล์  (โดยที่ยังไม่รู้ว่าจะได้ข้อมูลกลับคืนมาหรือไม่ )  จากนั้นจึงเริ่มทำการหาซื้อบิทคอยท์เพื่อที่จะจ่ายให้กับทางแฮกเกอร์  และได้ส่งอีเมล์แจ้งว่าเรามีบิทคอยท์พร้อมจะจ่าย หากทำการปลดล็อกรหัสได้จริง จึงส่งไฟล์ที่โดนเข้ารหัสไว้ ให้ทางแฮกเกอร์ทดลองปลดล็อกให้ ซึ่งไฟล์สามารถใช้งานได้  ทีมไอทีจึงเริ่มมีความหวังในการกู้ข้อมูลครั้งนี้  จากนั้นก็นั่งรอกันจนถึงเวลาประมาณ  22.00 น. แต่ก็ไม่มีอีเมล์ติดต่อมาจากทางแฮกเกอร์ ทีมไอทีเริ่มไม่แน่ใจว่าจะได้ข้อมูลกลับคืนมาหรือไม่   แต่ก็คิดว่าคงเป็นเวลาต่างประเทศที่ไม่ตรงกับเรา เขาอาจจะยังไม่ใช่เวลาทำงานของแฮกเกอร์  จึงขอแยกย้ายกันกลับบ้านพักผ่อนกันก่อน
4.     วันเสาร์ ที่ 21 มกราคม 2560  เวลา  00.57 น.  แฮกเกอร์ได้ตอบอีเมล์กลับมาว่า หากต้องการปลดล็อกไฟล์  โห้ดาวน์โหลดโปรแกรมที่ส่งมาให้ ทำการรันโปรแกรม แล้วแสกนที่เครื่องคอมพิวเตอร์ที่ติดไวรัส และส่งไฟล์รหัส ให้กับทางแฮกเกอร์  แล้วให้ทำการโอนเงิน 2 บิทคอยท์ ไปยังที่อยู่หมายเลขไอดีกระเป๋าของแฮกเกอร์  เมื่อแฮกเกอร์ได้รับแล้ว  จะส่งรหัสปลดล็อกมาให้ ซึ่งทางเราก็ยังไม่แน่ใจว่าแฮกเกอร์จะทำการปลดล็อกให้จริงหรือไม่
5.    วันเสาร์ ที่ 21 มกราคม 2560  เวลา  05.00 น.  หัวหน้าโทรหา  มาลุยกันต่อเรื่องไวรัส เวลาประมาณ  05.30 น. ถึงออฟฟิศพร้อมลุยกัน  จึงเริ่มทำการแสกนไฟล์ตามที่แฮกเกอร์แนะนำ แล้วส่งคีย์ให้กับแฮกเกอร์  และสอบถามไปยังแฮกเกอร์ว่าพร้อมปลดล็อกไฟล์ให้เราตอนนี้หรือไม่  แต่ก็ไม่มีการตอบกลับจากแฮกเกอร์  เวลาประมาณ 09.00 น.  จึงโอนบิทคอยท์ให้กับทางแฮกเกอร์ เนื่องจากเกรงว่าถ้าหากเกิน  24 ชั่วโมงแล้วค่าถอดรหัสจะเพิ่มขึ้นเป็น 4 บิทคอย  ทั้งกลัวจะโดนหลอก แต่หัวหน้าบอกเอาไงเอากันต้องเสี่ยง  เลยทำการโอน 2 บิทคอยท์ให้แฮกเกอร์ทันที  เราเป็นคนมารยาทดี โอนแล้วก็แจ้งเขาไปด้วย โอนให้แล้วนะครับ ช่วยปลดล็อกไฟล์ให้ข้าพเจ้าด้วยจากนั้นก็นั่งรออย่างมีความหวัง รอแล้วรอเล่า จากเช้าจนถึงเย็น  ก็ไม่มีอีเมล์ตอบกลับมาจากแฮกเกอร์ ผู้เป็นความหวังเดียวที่เรามีอยู่ตอนนี้  ก็รอกันต่อไป เอาไงเอากัน มันน่าจะตอบเรามาบ้างแหละวะ  เวลาเที่ยงคืนแล้วก็ยังไม่มีวี่แวว


6.    วันอาทิตย์ที่ 22 มกราคม 2560  เวลา  00.57 น.  เวลาเดิมเป๊ะ  แฮกเกอร์ตอบเมล์กลับมา พร้อมกับรหัสปลดล็อกไฟล์  จึงเริ่มทำการใส่คีย์ไฟล์ถอดรหัสในเครื่องที่ติดไวรัสทันที  พระเจ้าช่วย มันสามารถปลดล็อกได้จริงทั้งหมด  ไฟล์เรากลับคืนมาแล้ว  ( สัจจะในหมู่โจรยังมีอยู่จริงนี่หว่า)  และแล้วจึงเสียบฮาร์ดดิสก์บ๊อกเข้าไปเพื่อที่จะแบ๊คอัพข้อมูลออกมา  แต่…   แล้ว ฝันมันก็สลายลงในพริบตา… เครื่องมองไม่เห็นฮาร์ดดิส เนื่องจากไฟล์ของตัววินโดวส์เองก็จะโดนเข้ารหัสไปด้วย ทำให้ไฟล์ระบบเกิดความสียหาย เราจึงตัดสินใจรีสตาร์ทเครื่อง เพื่อที่จะก๊อปไฟล์งานออกมาให้ได้ก่อน

7.    วันอาทิตย์ที่ 22 มกราคม 2560  เวลา  02.15 น.  แล้วเหตการ์ไม่คาดฝันก็เกิดขึ้น  เครื่องเซิร์ฟเวอร์ที่รีสตาร์ทขึ้นมานั้นมองเห็นฮาร์ดดิสก์แล้ว  แต่ไฟล์ระบบระบบค่อยถูกเข้ารหักอีกครั้ง และแล้วเซิร์ฟเวอร์ก็โดนนไวรัสเข้ารหัสอีกรอบ  จากนั้น  เวลาประมาณ  02.30 น.  จึงได้ทำการติดต่อกลับไปหาแฮกเกอร์อีกครั้ง  เพื่อแจ้งว่ารหัสของคุณมันปลดล็อกได้แล้ว แต่หลังจากที่รีสตาร์ทเครื่องเซิร์ฟเวอร์แล้ว เครื่องกลับโดนเข้ารหัสไฟล์อีกรอบ จึงถามรายละเอียดกลับไปว่า ต้องทำยังไงบ้าง เครื่องเซิร์ฟเวอร์ของเราถึงจะสามารถใช้งานได้เป็นปกติเหมือนเดิม  สักพักแฮกเกอร์ก็ตอบกลับมาว่า    “  คุณเป็นคนเก่งและดีมาก  คุณไม่ได้ทำการลบไวรัสของผมในโฟลเดอร์ Startup  และทำการหยุดโปรเซสของมันใน Task Manager ใช่หรือไม่ คุณไม่  ถ้าต้องการปลดล็อกคุณต้องจ่ายอีก 2  บิทคอยนะ “  เอิ่ม….  แล้วทำไมคุณไม่บอกผมตั้งแต่แรกละครับ คุณ………  เราจึงเริ่มเข้าสู่ดราม่าทันที  “ คุณแฮกเกอร์ครับ ได้โปรดช่วยผมอีกสักครั้งเถอะครับ ถ้าผมแก้ไขไม่ได้  ผมต้องตกงานแน่เลยครับ ได้โปรดเถอะ “  เราก็คิดในใจว่าแฮกเกอร์ได้เงินไปแล้ว เขาคงจะยอมช่วยเรา  หึ ๆๆๆ   สักพักมีอีเมล์ตอบกลับมาจากแฮกเกอร์ ว่า  ผมทำงานบริการคุณ ผมคควจจะได้ค่าตอบแทนนะ  โอเค  รอสักครูนะ เดี๋ยวจะลดให้ และก็ส่งเมล์มาแจ้งว่า  ขอเป็น 1.5 บิทคอยท์เน้น ๆๆ นะ ไม่เอา 1.4…. + 0.1   ผมสามารถรอคุณได้ประมาณ 4 ชั่วโมงนะ  งานเข้าสิครับ จะไปหาเงิน ห้าหมื่นกว่าที่ไหนมาซื้อบิทคอยท์ให้มันเนี่ย แถมมีเงื่อนไขเวลาเข้ามาบีบเราอีก ถ้าไม่จ่ายมันก็ไม่ปลดล็อกไฟล์ให้  ออฟฟิศทำงานไม่ได้ นี่เรื่องใหญ่เลย  จากนั้นทีมเราจึงเริ่มทำการหาเงินเพื่อซื้อบิทคอย  โดยยืมจากญาติของหัวหน้าผม ต้องขอบคุณ พี่เค้าจริง ๆ ครับ  เวลานั้นคิดไม่ออกจริง  ๆ  ว่าจะหาเงินยังไง  พอโทรปุ๊ป โอนมาทันที สวรรค์มาโปรดเราแท้ ๆ

8.    วันอาทิตย์ที่ 22 มกราคม 2560  เวลา  03.15 น.  เมื่อได้เงินแล้ว เริ่มทำการซื้อบิทคอยอีกรอบ เมื่อวานพึ่งซื้อไป  วันนี้โดนอีก  ระหว่างนั้นก็ทำการแสกนไฟล์เพื่อเอารหัสตัวใหม่ ส่งให้แฮกเกอร์ไปด้วย จังหวะพีคสุด ๆ   บิทคอยก็ราคาขึ้นอีก  คนขายก็ตอบช้า ทุกอย่างในเวลานั้น ไม่ทันใจเอาซะเลย  บัดซบจริง ๆ เลย  55+  แรกขอซื้อ 1.5 บิทคอย  พอจะโอน   อ้าวโดนหักเหลือ 1.499999  ตายแล้วแล้ว คุณแฮกเกอร์มันไม่เอาซะด้วย ต้องหาซื้อเพิ่มอีก 0.1 บิทคอยท์  เพื่อที่จะเอามาโอนให้มันครับ จะได้จบ ๆ กันไป  เมื่อซื้อได้แล้ว รีบทำการโอนบิทคอย พ้องส่งคีย์รหัสใหม่ให้แฮกเกอร์ทันที   รอสักพัก แฮกเกอร์ส่งคีย์มาให้ ทำการปลดล็อกใหม่อีกรอบ  และแล้วความหวังทั้งหมดที่รอมาทั้งสองวันก็เสร็จสิ้น เราไม่ยอมเสียโง่เป็นครั้งที่สามแน่  หึ ๆ  (เพราะโดนมาตั้งสองครั้งก็แสนกว่าแล้ว ครั้งที่สามนี้ขายนาละ)  ฮาร์ดดิสที่เสียบไว้ใช้งานได้ เริ่มฟอร์แมตทันที  แล้วก๊อปข้อมูลงานทั้งหมดออกมาทั้งหมด รออย่างใจจดใจจ่อว่า ระหว่างที่สำรองข้อมูลอยู่ ไวรัสมันจะทำงาน หรือแอบมาเข้ารหัสเราอีกหรือเปล่า กลัวมันตั้งเวลาทำงานไว้ครับ ระแวงไปหมดทุกด้านละ ทั้งง่วงทั้งเหนื่อย รอกันต่อไป

9.    วันอาทิตย์ที่ 22 มกราคม 2560  เวลา  03.55 น.  เวลาดี  แฮปปี้ไทม์  ก๊อปงานทั้งหมดเสร็จ รีบถอดฮาร์ดดิสก์ บ๊อกออกมาตรวจสอบข้อมูลข้างนอกทันที   โชคดีมากครับ ไวรัสแค่เข้ารหัสไฟล์ แต่ไม่ทำลายข้อมูลใด ๆ เลย ข้อมูลอยู่ครบทุกอย่าง  เอาละเสร็จแล้วต้องไปลบไฟล์ที่อยู่ของไวรัสตามที่แฮกเกอร์บอก  เครื่องเซิร์ฟเวอร์เราต้องกลับมาใช้งานได้แน่นอน  เอ้าลบ เสร็จแล้วก็รีสตาร์ทเครื่อง ล็อกอินเข้าเครื่องรีบเช็คโปรเซสก่อนเลย อ้าว ทำไมไวรัสยังอยู่เหมือนเดิม ทั้ง ๆ ที่ลบแล้ว  รีบทำการตัวโปรเซสการทำงานทันที แล้วไปดูที่อยู่ไวรัสที่แฮกเกอร์แจ้งมา ก็ยังอยู่  จึงทำการลบทิ้งอีกรอบ (Shift + Delete)  และทำการตรวจหาเพิ่มเติมว่ามาได้ยังไง  แหม่ พี่แฮกเกอร์เขาบอกไม่หมด มันจะเก็บอยู่ที่   %appdata%  Administrator account profile  ต้องไปลบไฟล์ไวรัสในนั้นด้วยครับ  เพราะมันจะก็อปมาไว้ที่โฟลเดอร์  Startup เหมือนเดิม จากนั้นก็รีสตาร์ทเครื่อง แล้วมาเช็คโปรเซสอีกที ไม่มีไวรัสอยู่แล้ว  จากนั้นกลับไปเช็คไฟล์ในไดร์ที่เก็บข้อมูลอีกรอบ โดนเข้ารหัสไปประมาณ 10 ไฟล์ได้ครับแต่ก็ไม่รู้ว่าในตัวไดร์ของวินโดว์โดนบ้างแล้วหรือยัง เลยไม่กล้าใช้เครื่องเซิร์ฟเวอร์นั้นต่อเลย  ทีมเราจึงทำการขึ้นระบบโปรแกรมและดาต้าเบสใหม่ เก็บเครื่องเก่าว้าก่อน เพราะไม่กล้าให้ใช้งานต่อ กลัวโดนซ้ำอีกครับ เครื่องมันมีเชื้อ สรุปแล้วกว่าจะได้ข้อมูลกลับคืนมาโดนไป 3.5 บิทคอยท์ (ประมาณแสนสองกว่า ๆ เจ็บนี้ที่ไม่มีวันลืม)
แสดงความคิดเห็น
Preview
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่