🛡️ เจาะลึก PromptLock: แรนซัมแวร์ยุค 3.0 ที่ "คิดและฆ่า" ด้วย AI

เบื้องหลังการพัฒนา: เมื่อมัลแวร์กลายเป็น "สิ่งมีชีวิต" (Advanced Development)
ในอดีต แรนซัมแวร์เปรียบเหมือน "ระเบิดเวลา" ที่ถูกตั้งโปรแกรมไว้ล่วงหน้า แต่ PromptLock คือ "หุ่นยนต์สังหารที่มีสมอง"
    •    The Orchestrator (ตัวควบคุม): นักพัฒนาใช้ภาษา Go เพราะมันเขียนครั้งเดียวรันได้ทุกที่ (Windows/Linux) และที่สำคัญคือ โค้ดที่คอมไพล์แล้วนั้น "แกะรหัสยาก" (Reverse Engineering) กว่าภาษาทั่วไป
    •    Ransomware 3.0 Concept: นี่คือวิวัฒนาการขั้นสุด
        o    Version 1.0: ล็อกไฟล์ดื้อๆ (ตรวจจับง่ายด้วย Signature)
        o    Version 2.0: ขโมยข้อมูลก่อนล็อก (Double Extortion)
        o    Version 3.0 (PromptLock): ตัดสินใจเอง (Autonomous) มัลแวร์ไม่ต้องรอคำสั่งจากแฮกเกอร์ผ่านเน็ต แต่มันใช้ AI ในเครื่องเหยื่อเป็นฐานบัญชาการ ทำให้มันทำงานได้แม้เครื่องจะออฟไลน์

พฤติกรรมอัจฉริยะ: การล่าแบบ "ไร้ร่องรอย" (Intelligent Behavior)
สิ่งที่ทำให้คนไอทีปวดหัวที่สุดคือความเป็น Polymorphic ระดับสูง:
    •    ไร้ลายเซ็น (No Fixed Signature): โดยปกติแอนตี้ไวรัสจะจำหน้าตาของไวรัส แต่ PromptLock จะให้ AI เขียนโค้ดโจมตีขึ้นมาใหม่สดๆ ในทุกเครื่องที่มันไปติด ดังนั้น "หน้าตาของมัลแวร์" ในเครื่อง A กับเครื่อง B จะไม่มีวันเหมือนกันเลย
    •    Adaptive Reconnaissance: มันไม่ได้สแกนไฟล์ทุกอย่างแบบสุ่ม แต่มันจะ "อ่าน" ชื่อไฟล์และโฟลเดอร์ เช่น ถ้าเจอโฟลเดอร์ชื่อ "Finance_2025" หรือ "Confidential" AI จะสั่งให้ล็อกไฟล์พวกนี้ก่อนเป็นลำดับแรก เพื่อสร้างความเสียหายสูงสุดให้เหยื่อยอมจ่ายเงิน

กลไกหลังติดเชื้อ: วงจร "สืบ สร้าง ส่ง ล็อก" (Post-Infection Cycle)
เมื่อมัลแวร์ตัวนี้เข้าสู่เครื่อง มันจะทำตัวเป็น "นักสืบ" ก่อนจะกลายเป็น "ฆาตกร":
    1.    Exploiting Local AI: มันจะมองหาโปรแกรมรัน AI ในเครื่อง (เช่น Ollama) หากไม่มี มันอาจจะแอบติดตั้งโมเดลขนาดเล็กจิ๋วลงไปเอง
    2.    The Prompting: มัลแวร์จะส่ง "คำสั่ง" (Prompt) ไปถาม AI ว่า "เครื่องนี้มีไฟล์อะไรสำคัญบ้าง? และช่วยเขียนสคริปต์ Lua เพื่อล็อกไฟล์พวกนี้ให้หน่อย"
    3.    Low-Level Execution: สคริปต์ Lua ที่ AI สร้างขึ้นจะทำงานในระดับต่ำ (Low-level) ซึ่งโปรแกรมแอนตี้ไวรัสทั่วไปมักจะมองว่าเป็น "กิจกรรมปกติของระบบ" ไม่ใช่ไวรัส
    4.    Stealthy Encryption: มันใช้ SPECK Encryption ซึ่งเป็นอัลกอริทึมที่ออกแบบมาเพื่อความเร็วสูง กินไฟน้อย และตรวจจับได้ยากมากในระดับหน่วยความจำ (RAM)

แนวทางการตรวจสอบ: สัญญาณอันตรายที่ต้องสังเกต (Deep Inspection)
สำหรับผู้ใช้งานทั่วไปและแอดมิน ให้เฝ้าระวัง 3 จุดหลัก:
    •    The "AI" Port (11434): หากคุณไม่ได้ใช้งาน AI แต่พอร์ตนี้มีการรับส่งข้อมูลมหาศาล (โดยเฉพาะ IP แปลกหน้า) ให้สันนิษฐานว่าโดนแล้ว
    •    Shadow Scripts: ไฟล์นามสกุล .lua ที่โผล่มาใน %Temp% หรือโฟลเดอร์ระบบ โดยที่ข้างในไฟล์มีคำสั่งจำพวก io.open, encrypt, หรือ http_post ไปยัง URL แปลกๆ
    •    Unexpected Fan Noise: คอมพิวเตอร์ร้อนขึ้นอย่างไม่มีสาเหตุ เพราะ AI กำลังใช้ GPU/CPU ในการประมวลผลการโจมตี (Inference)

แนวทางการป้องกัน: สร้างเกราะ "Zero Trust" (Holistic Prevention)
การลงแค่แอนตี้ไวรัสตัวเดียว "เอาไม่อยู่" อีกต่อไป:
    •    Local AI Hygiene: ใครที่ติดตั้ง Ollama หรือเครื่องมือ AI ต้อง ปิดพอร์ต 11434 ให้เข้าได้เฉพาะ Localhost เท่านั้น และหมั่นตรวจสอบว่ามีใครแอบรันโมเดลแปลกปลอมหรือไม่
    •    Disable Unnecessary Interpreters: หากเครื่องพนักงานทั่วไปไม่ได้ทำงานโปรแกรมมิ่ง ให้ถอนการติดตั้งหรือบล็อกการทำงานของสคริปต์อย่าง Lua, Python หรือ PowerShell ที่ไม่จำเป็น
    •    Offline Backups: เนื่องจากมันฉลาดพอที่จะตามไปลบไฟล์ Backup ในระบบคลาวด์หรือไดรฟ์ที่เชื่อมต่ออยู่ การมี Backup แบบ Offline (Air-gapped) คือทางรอดเดียวที่แน่นอน 100%

Anti Virus และ EDR ที่รับมือได้ (The Defense Lineup)
ยุคนี้ต้องสู้ด้วย "AI vs AI" เท่านั้น:
    •    กลุ่ม Anti Virus (Home/Small Biz):
        o    ESET: มีฐานข้อมูลพฤติกรรมของ PromptLock แม่นยำที่สุดในขณะนี้
        o    Bitdefender: มีระบบ "Ransomware Remediation" ที่จะสำรองไฟล์ของคุณไว้ในพื้นที่ปลอดภัยทันทีที่เริ่มมีการเข้ารหัสที่ผิดปกติ
    •    กลุ่ม EDR/XDR (Enterprise):
        o    SentinelOne: ใช้ "Behavioral AI" ที่ไม่สนใจหน้าตาไฟล์ แต่มองพฤติกรรม ถ้าเห็นใครสั่งรัน AI แล้วเริ่มแก้ไฟล์รัวๆ มันจะหยุดและ "ย้อนเวลา" (Rollback) ไฟล์กลับมาให้ทันที
        o    CrowdStrike: เน้นการตรวจจับ "Context" (บริบท) เช่น ทำไมจู่ๆ โปรแกรมที่ไม่มีที่มาถึงได้คุยกับ Ollama API? และบล็อกตั้งแต่ต้นน้ำ

สรุปภาพรวม : PromptLock ไม่ใช่แค่ไวรัสคอมพิวเตอร์ แต่มันคือ "บทเรียนราคาแพง" ที่บอกเราว่า AI สามารถเป็นได้ทั้งเครื่องมือสร้างสรรค์และอาวุธที่น่ากลัวที่สุด ความน่ากังวลไม่ได้อยู่ที่การ "ล็อกไฟล์" แต่อยู่ที่การ "ปรับตัว" ของมันที่ทำให้ระบบป้องกันแบบเดิมๆ กลายเป็นของล้าสมัยไปในชั่วข้ามคืนครับ