แรนซัมแวร์เริ่มแพร่กระจายเข้ามาในระบบมือถือมากโดยเฉพาะระบบแอนดรอยด์เป็นเป้าหมายที่สำคัญในการถูกโจมตีเนื่องจากอาจจะมีช่องโหว่มากกว่าระบบอื่น ในช่วงก่อนหน้านี้เรามักจะพบไวรัส โทรจัน และเวิร์มในการโจมตีระบบและเครื่องของเราทำให้เครื่องเราช้าและไม่สามารถใช้งานได้ แต่ในปัจจุบันพบว่ามีเครื่องโทรศัพท์มือถือแบบสมาร์ทโฟนไม่น้อยที่ติดแรนซัมแวร์ โดยแรนซัมแวร์เป็นมัลแวร์ที่เริ่มมุ่งเป้าไปยังผู้ใช้งานมือถือแบบสมาร์ทโฟน โดยอาจจะแพร่ผ่านการส่งสแปมอีเมลไปยังผู้ใช้งานต่างๆ ด้วยหัวข้อหรือคำพูดที่น่าสนใจเพื่อดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือดาวน์โหลดไฟล์แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติดมัลแวร์ประเภทนี้แล้ว แรนซัมแวร์จะเริ่มทำงานโดยการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องทำให้ไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับล็อกเครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลย จากนั้นแรนซัมแวร์ก็จะแสดงข้อความขู่ผู้ใช้งานเพื่อให้จ่ายเงิน โดยปัจจุบันมักจะให้จ่ายในรูปแบบของบิทคอย (Bitcoin) ให้กับแฮกเกอร์ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป
ขั้นตอนการทำงานของแรนซัมแวร์
- พยายามแพร่กระจายผ่านเว็บไซด์ต่างๆหรือแนบไฟล์ไปในอีเมล
- เมื่อผู้ใช้งานเปิดใช้งานจะสร้างเซอร์วิส (Service) และฝังการทำงานของเซอร์วิสไปยัง Registry ของเครื่อง เพื่อให้ทำงานทุกครั้งเมื่อมีการเปิดเครื่อง
- แรนซัมแวร์จะติดต่อกลับไปยังเครื่องแม่ข่ายหรือเครื่องควบคุมสั่งการ (C&C : Command and Control Server) ของแฮกเกอร์เพื่อ ดาวน์โหลดคีย์สำหรับการเข้ารหัสและคอนฟิกต่างๆของแรนซัมแวร์พร้อมทั้งลงทะเบียนกับเครื่องควบคุมสั่งการเพื่อระบุว่าเครื่องที่ติดอยู่ที่ใด
- นำคีย์และค่าคอนฟิกที่ได้รับจากเครื่องควบคุมสั่งการมาเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่อง
- แสดงหน้าข่มขู่ผู้ใช้งานพร้อมกับบอกลิงค์สำหรับวิธีการโอนเงิน Bitcoin ไปให้กับแฮกเกอร์
ในฐานะที่เป็นโทรศัพท์มือถือกลายเป็นที่นิยมมากขึ้นสำหรับการเรียกดูอินเทอร์เน็ตที่เราเห็นแฮกเกอร์และมัลแวร์ผู้ผลิตขยับของพวกเขาที่จะกำหนดเป้าหมายมาร์ทโฟนและแท็บเล็ในแต่ละเดือนจะเห็นวิธีการโอนเงินเพิ่มเติมจากพีซีไปยังโทรศัพท์มือถือโลกที่มีการแปลล่าสุด
การหลอกลวงบนมือถือก็มีการแพร่หลายมากขึ้น ซึ่งเทคนิคเดิมๆที่ใช้บนระบบคอมพิวเตอร์ทั่วไปก็ยังคงสามารถใช้ได้บนมือถือ การโจมตีมัลแวร์ประเภทเรียกค่าไถ่หรือแรนซัมแวร์ (Ransomware) ก็ยังคงมีและใช้งานได้เช่นกันบนระบบมือถือ โดยแรนซัมแวร์ที่ชื่อมว่า Sim.locker ก็กำลังแพร่ระบาดเทคนิคการโจมตีก็คล้ายๆกับที่โจมตีบนระบบคอมพิวเตอร์กล่าวคือเมื่อติดแล้วมัลแวร์จะทำการเข้ารหัสไฟล์ข้อมูลที่สำคัญแล้วเรียกค่าไถ่หรือให้ผู้ใช้จ่ายเงินถึงจะได้คีย์มาใช้ในการปลดล็อก
ในยุคที่ข้อมูลเกือบทุกอย่างถูกเก็บในรูปแบบดิจิทัล ไม่ว่าจะเพื่อความสะดวกในการประมวลผล การค้นหา และการเข้าถึงนั้น ส่งผลให้ชีวิตของผู้ใช้งานระบบใดๆ ก็ตามง่ายขึ้น ไม่ว่าจะเป็นการเก็บรูปภาพ ซึ่งสามารถเก็บไว้ดูได้นานขึ้นพร้อมกับความละเอียดที่ดีขึ้น และการเก็บข้อมูลอื่นๆ ที่นอกจากจะง่ายแล้ว ยังสามารถเก็บได้ในปริมาณมาก ๆ ไว้ในอุปกรณ์ที่ขนาดเล็กกว่าฝ่ามือ ที่ส่งผลให้การพกพาสะดวก และกลายเป็นส่วนหนึ่งในชีวิตของผู้คนไป และจุดนี้เองเป็นจุดที่ทำให้ผู้ไม่ประสงค์ดีสามารถคิดวิธีหาเงินแบบแปลกๆ ซึ่งก็คือการจับข้อมูลเราเป็นตัวประกันเพื่อเรียกค่าไถ่ ผ่านโปรแกรมประสงค์ร้ายที่เราเรียกกันว่ามัลแวร์ที่เป็นประเภทแรนซัมแวร์หรือ “โปรแกรมเรียกค่าไถ่” นั่นเอง
การทำงานของ Ransomware จะมีใน 2 รูปแบบหลัก ๆ ด้วยกัน
- Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ โปรแกรม Ransomware จะทำการใช้งานฟังก์ชัน Lock Screen ของระบบปฏิบัติการของอุปกรณ์ที่ติด Ransomware (ทั้งที่เป็น Computer และ Mobile) ทำให้เราไม่สามารถเข้าสู่ Interface ปกติของอุปกรณ์ เพื่อเรียกใช้ Application หรือเข้าถึงข้อมูลใด ๆ ได้ แต่ข้อมูลและ Application ไม่ได้ถูกแตะต้องแต่อย่างใด
- Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานอุปกรณ์ได้ และใช้งาน application ได้ตามปกติ แต่ Ramsomware จะใช้วิธีการเข้ารหัสไฟล์ไว้ (ภาษาชาวบ้านคือ ล็อกไฟล์ไว้) ไม่ให้ผู้ใช้งานสามารถเข้าถึงไฟล์ของตัวเองได้
การเรียกค่าไถ่แบบที่ 1. นั้นสามารถถูกแก้ไข เพื่อ bypass การ lock screen ได้โดยผู้เชี่ยวชาญด้านคอมพิวเตอร์ โดยที่ไม่จำเป็นต้องจ่ายค่าไถ่แต่อย่างใดแต่สำหรับแบบที่ 2. นั้น ใน Ramsomware เวอร์ชั่นใหม่ ๆ (ที่โด่งดังก็มี CryptoWall, CryptoLocker, CryptoDefense และ TeslaCrypt ถูกพัฒนาให้ยากแก่การแก้ไข ทางที่ง่ายที่สุดที่จะได้วิธีถอดรหัสไฟล์ของเราคือการจ่ายเงินให้อาชญากร (การเรียกค่าไถ่เป็นอาชญากรรม) ที่ทำการเรียกค่าไถ่เรานั่นเอง