คลังเก็บป้ายกำกับ: ค่าไถ่

เชิญพบกับทายาทอสูรของ วันนาคราย “EternalRocks” ที่ร้ายกาจกว่าหลายเท่า

นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์สายพันธุ์ใหม่ ที่มุ่งเจาะระบบโดยใช้ช่องโหว่เดียวกันกับตัวแม่ที่สร้างความฮือฮาเมื่อสัปดาห์ก่อนอย่าง WannaCry แต่ตัวใหม่นี้มีพิษสงร้ายกาจกว่ามาก ทั้งด้านการสร้างความเสียหาย และการต่อกรรับมือ

นักวิจัยได้ตั้งชื่อว่า EternalRocks ค้นพบครั้งแรกเมื่อวันพุธที่แล้วโดยผู้เชี่ยวชาญชาวโครเอเชีย ชื่อนี้มีที่มาจากทูลแฮ็คที่หลุดจาก NSA ที่รู้จักกันในชื่อ EternalBlue เพื่อกระจายตัวเองไปยังเครื่องอื่นๆ ผ่านวินโดวส์ เท่านั้นยังไม่พอ ยังมีการใช้เครื่องมือแฮ็กที่หลุดจาก NSA ตัวอื่นๆ ตามมาอย่างรัวๆ ไม่ว่าจะเป็น EternalChampion, EthernalRomance, และ DoublePulsar เรียกว่าร็อคกันทุกอีเทอนอลเลยทีเดียว

ดังนั้น ความสามารถในการแพร่กระจายของ EternalRocks นี่ทำให้ WannaCry ถึงกับต้องเรียกว่าขุ่นแม่กันเลยทีเดียว แม้ล่าสุดจะยังไม่พบส่วนของโค้ดอันตรายที่ใช้ล็อกหรือเข้ารหัสไฟล์ หรือเข้าควบคุมเครื่องเป้าหมายด้วยบอทเน็ต แต่ที่ร้ายกว่ามากคือ มัลแวร์ตัวนี้จะสร้างช่องโหว่บนคอมพิวเตอร์ที่ติดเชื้อให้เปิดรับคำสั่งจากภายนอก ที่อาจเปิดโอกาสให้สร้างความเสียหายอย่างมหาศาลได้ในอนาคต

ร้ายยิ่งกว่านั้นอีกก็คือ ไม่มีจุดอ่อนจำพวกสวิตช์สั่งปิดการทำงานแบบ WannaCry ที่นักวิจัยฟลุ๊กเจอก่อนหน้าเสียด้วย นอกจากนั้นยังมีพฤติกรรมล่อหลอกปั่นหัวระบบตรวจจับ ทั้งการดีเลย์ 24 ชั่วโมงก่อนออกฤทธิ์ หรือแม้แต่การใช้ชื่อไฟล์แบบเดียวกับ WannaCry เป็นต้น
ที่มา : http://fortune.com/2017/05/21/wannacry-successor-eternalrocks

from:https://www.enterpriseitpro.net/?p=6749

Advertisements

VDO ! ดูกันจะๆ วิธีการแก้ไขเครื่องที่โดนเข้ารหัสไฟล์ ด้วยโปรแกรม Wanakiwi.exe

ผู้ใช้เฟสบุ๊กนามว่า Phitchayaphong Tantikul ได้ทำการทดลองการถอดรหัสไฟล์ที่ถูกแรนซั่มแวร์ WannaCry โจมตี โดยใช้โปรแกรมที่ชื่อว่า Wanakiwi.exe ในการรันงานผ่านทางระบบคอมมานด์พรอมพ์ ที่ท้ายสุดก็สามารถถอดรหัสไฟล์ที่โดนล็อกได้ เราไปดูวิธีการกันเลย

//////////////////////////////////

ทดลองถอดรหัส WannaCry ด้วยเครื่องมือ WanaKiwi

วิธีใช้
1. ก๊อป public key ที่มีชื่อไฟล์ 00000000.pky (จาก C:\intel\ชื่อมั่วๆ\00000000.pky) ไว้ที่เดียวกันกับตัวโปรแกรม
2. หา process id ของ tasksche.exe
3. เปิด cmd เพื่อสั่งโปรแกรมทำงาน ตามด้วย process id ที่หาได้



from:https://www.enterpriseitpro.net/?p=6747

ผู้ใช้ XP เฮ !! มีเครื่องมือถอดรหัสไฟล์มาให้แล้วชื่อ “WannaKey” ดาวน์โหลดเลย !!

มาแล้ว ! โปรแกรมถอดรหัส WannaCry ชื่อว่า “Wannakey” ใช้สำหรับ Win XP

นักวิจัยชาวฝรั่งเศสจากบริษัท Adrien Guinet ได้ค้นพบแนวทางการถอดรหัสไฟล์ที่ถูกล็อกจากแรนซั่มแวร์ชื่อดังอย่าง WannaCry ได้แล้ว

โดยเป็นเครื่องมือฟรี ชื่อว่า Wannakey ซึ่งจะทำการดึงข้อมูลคีย์ RSA แบบไพรเวทที่ใช้ในตัว WannaCry, หรือ WCry หรือ WannaCrypt ซึ่งมันเอามาเข้ารหัสไฟล์ โดยมันจะใช้งานได้ดีกับเครื่อง Windows XP และเครื่องนั้นยังไม่ได้มีการรีบูตหลังจากติดเชื้อ เครื่องมือนี้จะทำการเข้าค้นหาตัวเลขสำคัญของคีย์ไพรเวทที่อยู่ใน wcry.exe และจากนั้นจะทำการสร้างไพรเวทคีย์ของ WannaCry ซึ่งจะยังคงอยู่ในเมมโมรี (ตราบเท่าที่ยังไม่มีการรีบูต)

ทาง Guinet ได้อธิบายว่า ผู้เขียน WannaCry นั้นได้ใช้ตัว API ของตัว Windows Crypto ที่ถูกต้อง ซึงฟังก์ชันอย่าง CryptDestoryKey และ CryptReleaseContext ของ API ที่ไมโครซอฟท์ออกแบบมานั้น ป้องกันไม่ให้มีการลบตัวเลขที่สำคัญออกจากหน่วยความจำก่อนที่จะมีการทับอะไรลงไป

สำหรับเทคนิคการกู้คืนข้อมูลนี้ใช้ได้ผลกับ Windows XP แต่สำหรับ Windows 10 อาจจะไม่เวิร์กเพราะมันจะลบเมมโมรีดังกล่าวออกไป ซึ่ง Guinet บอกว่า ถ้าคุณโชคดี ที่ข้อมูลในหน่วยความจำนั้นยังไม่มีการลงทับหรือถูกลบไป ตัวเลขสำคัญดังกล่าวจะอยู่ในหน่วยความจำนั้น และซอฟต์แวร์นี้จะดึงมันกลับมาได้ ซึ่งต้องบอกว่ามันมีประโยชน์มากสำหรับผู้ใช้ XP

ดาวน์โหลด Wannakey ได้ที่นี่ – https://github.com/aguinet/wannakey

อ่านข้อมูลเพิ่มเติมที่นี่ – http://www.zdnet.com/article/windows-xp-hit-by-wannacry-ransomware-this-tool-could-decrypt-your-infected-files/

 

from:https://www.enterpriseitpro.net/?p=6712

จูนิเปอร์ ออกมาจัดการกับการระบาดของ WannaCry อย่างรวดเร็ว

ทางจูนิเปอร์ได้ออกมาแถลงว่า ผู้ที่ใช้ผลิตภัณฑ์ความปลอดภัยของตนเองสามารถอุ่นใจได้ว่าได้รับการปกป้องจากมัลแวร์ WannaCry ชื่อดังแล้วตั้งแต่เมื่อวันศุกร์ที่ 12 ที่ผ่านมา แต่ก็มีการจัดหาทูลเพิ่มเติมที่ให้ลูกค้าใช้การันตีได้ว่า เครือข่ายของตัวเองปลอดภัยจากการโจมตีนี้จริง

โดยผู้ที่ใช้โซลูชั่นแอนติมัลแวร์ขั้นสูงของจูนิเปอร์อย่าง Sky ATP จะได้รับการปกป้องอยู่หลายระดับพร้อมกัน ไม่ว่าจะเป็นการปิดกั้นการสื่อสารของบอทเน็ต Necurs รวมถึงมีกลไกการตรวจสอบมัลแวร์ WannaCry ที่รวมเอาหลายเทคนิคมาผสานร่วมกัน ทั้งการตรวจจับจากซิกเนเจอร์แบบเดิม ร่วมกับการวิเคราะห์ด้วยเทคโนโลยี Machine Learning รวมทั้งการวิเคราะห์ผ่านการจำกัดบริเวณแบบแซนด์บ็อกซ์ชั้นสูง

โดยตั้งแต่วันศุกร์ที่ 12 ที่พบการเริ่มต้นระบาดครั้งใหญ่นั้น จูนิเปอร์ได้ตรวจพบตัวอย่างมัลแวร์สายพันธุ์ที่เกี่ยวข้องถึง 24 ตัวอย่าง โดยสามารถตรวจพบหลังการระบาดได้ทั้งหมดภายในเวลาแค่ 30 วินาที

จากข้อมูลล่าสุดนั้น ทางจูนิเปอร์พบการขยายตัวของ WannaCry ทั่วทั้งอินเทอร์เน็ต โดยส่วนใหญ่ยังใช้เทคนิคหลบการโดนแซนด์บ็อกซ์จำกัดบริเวณได้อยู่ โดยจะพยายามชี้ไปหาโดเมนใหม่ที่ยังไม่ได้จดทะเบียนแทน ทางกลุ่มนักวิจัยต่างๆ ก็ได้พยายามวิเคราะห์ และไล่จดทะเบียนโดเมนที่พบการใช้งานของมัลแวร์ตัวนี้ โดยมองว่าจะเป็นการสั่งปิดสวิตช์การทำงานของ WannaCry สายพันธุ์อื่นๆ ด้วย แบบที่ผู้ใช้ทวิตเตอร์ @MalwareTechBlog เคยทำสำเร็จโดยบังเอิญมาแล้ว

ที่มา : https://forums.juniper.net/t5/Security-Now/Rapid-Response-The-WannaCry-Ransomware-Outbreak/ba-p/307835

from:https://www.enterpriseitpro.net/?p=6697

Disney โดนขู่ให้จ่ายเงินกับแฮ็กเกอร์ ไม่งั้นจะปล่อยบิทหนังไพรเรต 5 ก่อนวันฉายจริง

ซีอีโอของดิสนีย์ Bob Iger ออกมายอมรับว่า พนักงานบริษัทลูก ABC ของตนเอง ถูกข่มขู่เรียกค่าไถ่ระหว่างการประชุมที่ศาลากลางในกรุงนิวยอร์กเมื่อวันจันทร์ที่ผ่านมา โดยอ้างว่าจะปล่อยไฟล์ภาพยนตร์แบบคุณภาพสูงทางบิททอร์เรนต์ หากไม่ได้รับเงินจำนวนมหาศาลในรูปบิทคอยน์ก่อนกำหนด

แม้ทาง Iger ไม่ได้เปิดเผยว่า Disney ได้รับคำขู่นี้ตั้งแต่เมื่อไร จากใคร หรือเป็นหนังเรื่องอะไรที่จะตกเป็นเหยื่อ แต่ทางสำนักข่าว Deadline ก็เปิดเผยว่า น่าจะเป็นการเรียกค่าไถ่การปล่อยหนังตอนที่ 5 ของซีรี่ย์โจรสลัดยอดนิยมอย่าง “Pirates Of The Caribbean: Dead Men Tell No Tales” ซึ่งนำแสดงโดย Johnny Depp โดยมีกำหนดออกฉายอย่างเป็นทางการในวันที่ 26 พฤษภาคมที่จะถึงนี้

นอกจาก Disney แล้ว เมื่อปลายเดือนเมษายนที่ผ่านมา Netflix ก็โดนข่มขู่ในลักษณะเดียวกันจากกลุ่มแฮ็กเกอร์ชื่อ Dark Overlord ว่าจะปล่อยไฟล์ 10 ตอนแรกของรายการ “Orange Is the New Black” ซีซั่น 5 ของ Netflix ออกมาถ้าไม่ได้รับค่าไถ่ตามกำหนด ซึ่งสุดท้ายแล้ว Netflix ก็ไม่ได้จ่ายค่าไถ่ แล้วแฮ็กเกอร์ก็โกรธจัดด้วยการปล่อยไฟล์รายการดังกล่าวออกมาสู่สาธารณะจริงตามที่ขู่ไว้

แม้ทาง Dark Overlord จะใบ้ว่าตัวเองมีไฟล์หนังเรื่องเด็ดอื่นๆ ที่ยังไม่ฉายอยู่ด้วย แต่ก็ไม่ได้ระบุตรงๆ ว่ามีเรื่องไพรเรท 5 อยู่ในกำมือ โดยกลุ่มนี้อ้างว่าตัวเองได้ไฟล์หนังต่างๆ มาจากการแฮ็กสตูดิโอที่โปรเซสเสียงประกอบในฮอลลีวูด

มีนักวิเคราะห์ออกมาแสดงความเห็นด้วยว่า อาจเป็นแผนโปรโมทของ Disney เองก็ได้ ไม่ใช่เรื่องที่เกิดขึ้นจริง แต่เมื่อวันพุธ ทาง Softpedia อ้างว่ามีบางคนอัพโหลดทอร์เรนต์ชื่อ “Pirates Of The Caribbean 2017” ขึ้นไพรเรตเบย์ แต่ก็ถูกลบภายในไม่กี่นาที

ที่มา : https://www.bleepingcomputer.com/news/security/hackers-holding-disney-for-ransom-over-pirates-of-the-caribbean-5-movie/

from:https://www.enterpriseitpro.net/?p=6693

รวมมิตร ! VDO วิธีป้องกัน Wannacry จากแหล่งต่างๆ มากมาย ไว้ใช้งานกัน

ปัญหาแรนซั่มแวร์ที่ชื่อว่า Wannacry ที่โจมตีเครื่องคอมพิวเตอร์ทั่วโลกมาแล้วมากมาย ที่หนักสุดก็เห็นจะเป็นอังกฤษ ซึ่งทางไทยเองก็มีการออกมาแจ้งเตือนและมีข่าวกันอย่างต่อเนื่องและล่าสุดทาง ม.สุรนารี ก็เปิดเผยตัวป้องกันมัลแวร์ Wannacry ออกมาชื่อ Block_wannacry.exe ออกมาให้ใช้งานกัน

ซึ่งคราวนี้ทาง Enterprise ITPro ได้รวบรวมข้อมูล VDO จากแหล่งต่างๆ ไม่ว่าจะเป็นการติดตั้งและใช้งานตัวโปรแกรมป้องกัน Wannacry จากทาง ม.สุรนารี, การปิด MS-SMB, การป้องกันเบื้องต้น, การอัพเดต Windows 10 และอื่นๆ อีกมากมาย

VDO – การใช้งาน Block_wannacry.exe (วิธีที่ 1)

VDO – การใช้งาน Block_wannacry.exe (วิธีที่ 2)

VDO – การปิด Service Message Block (SMB) ทุกเวอร์ชันของ Windows

VDO – การปิด Service Message Block (SMB) สำหรับ Windows 10

VDO – การปิด Service Message Block (SMB) สำหรับ Windows 10


VDO – วิธีป้องกัน Ransomware WannaCry แบบง่ายๆ Windows 10 Pro

VDO – การอัพเดท windows 10 เพื่อป้องกัน WannaCry

ที่มา : Youtube.com

from:https://www.enterpriseitpro.net/?p=6638

ระวัง !! Ransomware ตัวใหม่ชื่อว่า Jaff มันเรียกค่าไถ่สูงเกือบ 1.3 แสนบาท !!

นักโจมตีที่อยู่เบื้องหลังภัยร้ายที่สร้างความหวาดกลัวให้กับผู้ค้นภายใต้แรนซั่มแวร์ที่ชื่อว่า Locky และ Bart ได้กลับมาอีกรอบด้วยมัลแวร์ตัวใหม่ที่มีความสามารถเหลือล้น ชื่อว่า Jaff ที่หากใครโดนมันเข้ารหัสแล้วล่ะก็ ! ต้องเสียเงินค่าไถ่สูงถึง 3,700 เหรียญฯ คิดเป็นเงินไทยก็เกือบๆ 1.3 แสนบาท

ความเหมือนของมันกับพี่ใหญ่ทั้งสองก็คือ Jaff จะกระจายตัวเองผ่านทางสแปมเมล์ ที่ส่งมาโดยตัว Necures บอตเน็ต โดยในรายงานของ Malwarebytes บอกว่า Necurs นั้นตรวจพบครั้งแรกในปี 2012 และเป็นบอตเน็ตที่ยังอยู่ยั้งยืนยงมาอย่างยาวนานในทุกวันนี้

ซึ่งเมื่อเดือนเมษายนที่ผ่านมา นักวิจัยจากทาง IBM Security บอกว่า Necurs นั้นเป็นตัวการทำให้เครื่องคอมพิวเตอร์กว่า 6 ล้านเครื่องนั้นติดเชื้อ และยังคงส่งแบทช์อีเมล์นับล้านในแต่ละครั้งอีกด้วย เรียกได้ว่าเป็นหนึ่งในตัวการร้ายที่ทำการส่งพวกมัลแวร์ประเภทโทรจันและแรนซั่มแวร์เลยแหล่ะ

อีเมล์ที่ทางนักวิจัยตรวจพบนั้น มันเหมือนการเลียนแบบการส่งเมล์ที่ทำขึ้นมาโดยอัตโนมัติจากเครื่องพิมพ์ โดยหัวข้อเรื่องก็เป็นคำง่ายๆ เช่น Copy, Doucment, Scan, File หรือ PDF ต่อด้วยหมายเลขที่มีการสุ่ม

สมมติไฟล์ PDF ที่แนบมานั้นเรียกว่า nm.pdf ก็จะมีเอกสาร Word ฝังลงมากับมัน และเจ้าเอกสารตัวที่สองนี้เองที่มีมาโครร้ายๆ แอบติดมาและเก็บคำสั่งบางอย่าง สำหรับปฏิบัติการเมื่อผู้ใช้คลิกมัน ซึ่งหากมาโครตัวนี้รัน มันก็จะทำการดาวน์โหลดแรนซั่มแวร์ Jaff ลงมาทันที และแน่นอนมันก็จะเริ่มทำการเข้ารหัสไฟล์ที่ตรงกับลิสต์ของไฟล์นามสกุลที่มันวางเอาไว้ และเมื่อติดแล้วก็จะเห็นว่าจะมีนามสกุล .jaff ต่อท้าย

จากนั้นแรนซั่มแวร์มันจะสร้างไฟล์ขึ้นมาสองอัน พร้อมด้วยข้อมูลขั้นตอนสำหรับเหยื่อ ในการจ่ายเงินเป็นแบบ บิตคอยน์ เพื่อที่จะแลกตัวถอดรหัสไป ซึ่งพอร์ทัลของการจ่ายเงินนั้นถูกโฮสต์อยู่บนเครือข่าย Tor และเป็นพอร์ทัลที่ถูกใช้โดย Bart แรนซั่มแวร์ด้วย นี่จึงทำให้เห็นว่าเป็นความสัมพันธ์ลึกๆ ระหว่างแรนซั่มแวร์สองตัวนี้ โดยพบว่าค่าไถ่ไฟล์นี้สูงถึง 2 บิตคอยน์หรือคิดเป็นเงิน 3,700 เหรียญฯ

ที่มา : http://www.pcworld.com/article/3196482/security/new-ransomware-jaff-demands-3700-payments.html

from:https://www.enterpriseitpro.net/?p=6627