แรนซัมแวร์คือไวรัสมัลแวร์คอมพิวเตอร์ที่ล็อกระบบของคุณและเรียกค่าไถ่เพื่อปลดล็อกไฟล์ของคุณ โดยพื้นฐานแล้วมีสองประเภทที่แตกต่างกัน ประการแรก PC-Locker ซึ่งล็อคทั้งเครื่องและ Data-Locker ซึ่งเข้ารหัสข้อมูลเฉพาะ แต่อนุญาตให้เครื่องทำงานได้ วัตถุประสงค์หลักคือการตักเตือนเงินจากผู้ใช้ โดยจ่ายตามปกติในสกุลเงินดิจิทัล เช่น บิตคอยน์
การระบุและถอดรหัส
ก่อนอื่น คุณจะต้องทราบชื่อสกุลของแรนซัมแวร์ที่ติดเชื้อคุณก่อน มันง่ายกว่าที่คิด เพียงค้นหา Malwarehunterteam และอัปโหลดหมายเหตุเรียกค่าไถ่ มันจะตรวจจับชื่อสกุลและมักจะแนะนำคุณตลอดการถอดรหัส เมื่อคุณมีชื่อสกุลตรงกับบันทึกแล้ว สามารถถอดรหัสไฟล์ได้โดยใช้ Teslacrypt 4.0 ประการแรก จำเป็นต้องตั้งค่าคีย์การเข้ารหัส การเลือกส่วนขยายต่อท้ายไฟล์ที่เข้ารหัสจะทำให้เครื่องมือตั้งค่ามาสเตอร์คีย์ได้โดยอัตโนมัติ หากมีข้อสงสัย เพียงเลือก <เป็นต้นฉบับ>
การกู้คืนข้อมูล
ถ้าไม่ได้ผล คุณจะต้องพยายามกู้คืนข้อมูลด้วยตัวเอง บ่อยครั้งแม้ว่าระบบจะเสียหายเกินกว่าจะกู้คืนได้มาก ความสำเร็จจะขึ้นอยู่กับตัวแปรหลายตัว เช่น ระบบปฏิบัติการ การแบ่งพาร์ติชัน ลำดับความสำคัญในการเขียนทับไฟล์ การจัดการพื้นที่ดิสก์ เป็นต้น) Recuva น่าจะเป็นหนึ่งในเครื่องมือที่ดีที่สุด แต่ทางที่ดีควรใช้กับฮาร์ดไดรฟ์ภายนอก แทนที่จะติดตั้งลงในไดรฟ์ OS ของคุณเอง เมื่อติดตั้งแล้ว ให้เรียกใช้การสแกนอย่างละเอียด และหวังว่าไฟล์ที่คุณกำลังมองหาจะได้รับการกู้คืน
ใหม่ การเข้ารหัส Ransomware กำหนดเป้าหมายระบบ Linux
รู้จักกันในชื่อมัลแวร์ Linux.Encoder.1 เว็บไซต์ส่วนบุคคลและธุรกิจกำลังถูกโจมตีและมีการเรียกร้องการชำระเงินด้วย bitcoin ประมาณ $500 สำหรับการถอดรหัสไฟล์
ช่องโหว่ใน Magento CMS ถูกค้นพบโดยผู้โจมตีที่ใช้ประโยชน์จากสถานการณ์อย่างรวดเร็ว แม้ว่าตอนนี้จะมีการออกแพตช์สำหรับช่องโหว่ที่สำคัญสำหรับ Magento แต่ก็สายเกินไปสำหรับผู้ดูแลระบบเว็บที่ตื่นมาพบข้อความซึ่งรวมถึงข้อความที่น่าตกใจ:
“ไฟล์ส่วนบุคคลของคุณถูกเข้ารหัส! การเข้ารหัสถูกสร้างขึ้นโดยใช้คีย์สาธารณะเฉพาะ… ในการถอดรหัสไฟล์ คุณต้องได้รับคีย์ส่วนตัว… คุณต้องจ่าย 1 bitcoin (~420USD)”
ยังคิดว่าการโจมตีอาจเกิดขึ้นกับระบบจัดการเนื้อหาอื่นๆ ซึ่งทำให้ไม่ทราบจำนวนที่ได้รับผลกระทบในขณะนี้
การโจมตีของมัลแวร์เป็นอย่างไร
มัลแวร์ถูกเรียกใช้ด้วยระดับของผู้ดูแลระบบ ไดเร็กทอรีหลักทั้งหมดรวมถึงไฟล์เว็บไซต์ที่เกี่ยวข้องล้วนได้รับผลกระทบจากความเสียหายที่เกิดขึ้นโดยใช้การเข้ารหัส AES 128 บิต เพียงอย่างเดียวก็เพียงพอแล้วที่จะสร้างความเสียหายอย่างใหญ่หลวง แต่มัลแวร์ยังไปไกลกว่านั้น โดยมันจะสแกนโครงสร้างไดเร็กทอรีทั้งหมดและเข้ารหัสไฟล์ประเภทต่างๆ ทุกไดเร็กทอรีที่ป้อนและสร้างความเสียหายผ่านการเข้ารหัส ไฟล์ข้อความจะถูกทิ้งซึ่งเป็นสิ่งแรกที่ผู้ดูแลระบบเห็นเมื่อเข้าสู่ระบบ
มีองค์ประกอบบางอย่างที่มัลแวร์กำลังมองหา ซึ่งได้แก่:
-
การติดตั้ง Apache
-
การติดตั้ง Nginx
-
MySQL ติดตั้งอยู่ในโครงสร้างของระบบเป้าหมาย
จากรายงาน ดูเหมือนว่าไดเร็กทอรีบันทึกจะไม่รอดพ้นจากการโจมตี และไม่ใช่เนื้อหาของหน้าเว็บแต่ละหน้า สถานที่สุดท้ายที่เข้าชม – และอาจสำคัญที่สุด ได้แก่ :
-
โปรแกรมปฏิบัติการของ Windows
-
ไฟล์เอกสาร
-
ไลบรารีโปรแกรม
-
จาวาสคริปต์
-
หน้าไฟล์ Active Server (.asp)
ผลลัพธ์สุดท้ายคือระบบถูกควบคุมตัวเพื่อเรียกค่าไถ่โดยที่ธุรกิจต่างๆ รู้ว่าหากพวกเขาไม่สามารถถอดรหัสไฟล์ได้เอง พวกเขาก็ต้องยอมจำนนและจ่ายเงินตามที่ต้องการ หรือไม่ก็ต้องหยุดชะงักทางธุรกิจอย่างร้ายแรงในระยะเวลาที่ไม่ทราบ
ความต้องการที่ทำ
ในทุกไดเร็กทอรีที่เข้ารหัส ผู้โจมตีมัลแวร์จะวางไฟล์ข้อความชื่อ README_FOR_DECRYPT.txt ความต้องการชำระเงินด้วยวิธีเดียวในการถอดรหัสจะเกิดขึ้นผ่านไซต์ที่ซ่อนอยู่ผ่านเกตเวย์
หากบุคคลหรือธุรกิจที่ได้รับผลกระทบตัดสินใจจ่ายเงิน มัลแวร์จะถูกตั้งโปรแกรมให้เริ่มถอดรหัสไฟล์ทั้งหมด จากนั้นจึงเริ่มยกเลิกความเสียหาย ดูเหมือนว่ามันจะถอดรหัสทุกอย่างในลำดับการเข้ารหัสเดียวกัน และการแยกส่วนก็คือการลบไฟล์ที่เข้ารหัสทั้งหมดรวมถึงบันทึกเรียกค่าไถ่ด้วย
ติดต่อผู้เชี่ยวชาญ
แรนซัมแวร์ตัวใหม่นี้จะต้องใช้บริการของผู้เชี่ยวชาญด้านการกู้คืนข้อมูล ตรวจสอบให้แน่ใจว่าคุณได้แจ้งขั้นตอนใดๆ ที่คุณดำเนินการเพื่อกู้คืนข้อมูลด้วยตัวคุณเอง สิ่งนี้อาจมีความสำคัญและจะส่งผลต่ออัตราความสำเร็จอย่างไม่ต้องสงสัย