คลังเก็บป้ายกำกับ: ค่าไถ่

FedEx ประเมินความเสียหายกว่า 300 ล้านดอลลาร์ จากการโดน NotPetya เล่นงาน

FedEx ได้ออกมากล่าวว่า แม้จะสามารถกู้คืนระบบสำคัญให้กลับมาเป็นปกติได้แล้ว แต่ก็ทำให้เสียโอกาสจนสูญเสียรายได้ตามกว่าที่คาดการณ์ไว้ โดยคิดเป็นค่าใช้จ่ายด้านการปฏิบัติงานที่ต้องเพิ่มขึ้นกว่าเดิมถึง 300 ล้านดอลลาร์ฯ 

หลังจาก FedEx ซื้อกิจการบริการขนส่งชื่อดังสัญชาติฮอลแลนด์อย่าง TNT Express ไปเมื่อปีที่แล้วด้วยมูลค่าถึง 4.8 พันล้านดอลลาร์สหรัฐฯ ไม่นาน ระบบของ TNT ก็ตกเป็นหนึ่งในเหยื่อของแรนซั่มแวร์ชื่อดัง NotPetya เมื่อวันที่ 27 มิถุนายนที่ผ่านมา

ซึ่งทาง FedEx ได้ออกมากล่าวว่า แม้จะสามารถกู้คืนระบบสำคัญให้กลับมาเป็นปกติได้แล้ว แต่ก็ทำให้เสียโอกาสจนสูญเสียรายได้ตามกว่าที่คาดการณ์ไว้ โดยคิดเป็นค่าใช้จ่ายด้านการปฏิบัติงานที่ต้องเพิ่มขึ้นกว่าเดิมถึง 300 ล้านดอลลาร์ฯ รวมไปถึงต้องมีการลงทุนด้านการผสานระบบ TNT เข้ากับตัวเองเพิ่มจากที่วางแผนไว้อีก 75 ล้านดอลลาร์ฯ ด้วย

NotPetya นี้เป็นแรนซั่มแวร์ที่มีลักษณะคล้ายรุ่นพี่ที่ระบาดก่อนหน้าไปทั่วโลกอย่าง WannaCry โดยใช้ช่องโหว่บนวินโดวส์ที่ถูกปล่อยข้อมูลออกมาจากหน่วยงานความมั่นคงของสหรัฐฯ อย่าง NSA ซึ่ง NotPetya นี้เริ่มระบาดจากกลุ่มบริษัทที่อยู่ในประเทศยูเครนและรัสเซียเป็นหลัก โดยผลที่เกิดขึ้นรุนแรงถึงขั้นต้องหยุดการให้บริการของสนามบิน Boryspil ไปจนถึงการปิดระบบตรวจสอบรังสีอัตโนมัติในบริเวณซากโรงงานนิวเคลียร์เชอร์โนบิลเลยทีเดียว

อ่านข่าว : เยี่ยม !! ค้นพบแล้ว เทคนิคสร้างวัคซีนป้องกันการโจมตีของ Petya สายพันธุ์ใหม่

นอกจากนี้ยังกระทบไปถึงบริเวณอื่นทั่วโลกในเวลาต่อมา ทั้งโรงพยาบาลในสหรัฐฯ, บริษัทผลิตยาชื่อดัง Merck, หรือโรงงานผลิตขนมที่รู้จักกันดีอย่าง Nabisco และ Oreo ลามไปถึงระบบบางส่วนของโรงงานผลิตไฟฟ้านิวเคลียร์ในสหรัฐฯ ด้วย

ที่มา : https://www.engadget.com/2017/09/21/fedex-ransomware-notpetya

from:https://www.enterpriseitpro.net/archives/8001

Advertisements

จาก WannaCry และ Petya คุณจะเจออะไรกันอีก !!?

ขณะที่ทั่วโลกยังคงสั่นสะเทือนจากการโจมตีของ WannaCry นั้น หลายบริษัทในยุโรปและอเมริกาก็ตกเป็นเหยื่อมัลแวร์ครั้งใหญ่อีกครั้งจาก Petya จนได้

นักวิจัยจาก Sophos ได้พบจุดที่เหมือนกันของลักษณะการแพร่กระจายแรนซั่มแวร์ทั้งสองตัวนี้ รวมถึงข้อแตกต่างที่มีการพัฒนาขึ้นอย่างชัดเจน แม้ว่าสำหรับ Petya นั้น ไม่พบกลไกการกระจายตัวเองผ่านอินเทอร์เน็ตแบบที่ WannaCry ใช้อยู่ แต่ก็พบว่า Petya ได้ใช้ช่องโหว่ Eternal Blue หรือ Eternal Romance ในการแพร่ตัวเองบนโลกออนไลน์เหมือน WannaCry เช่นกัน โดยช่องโหว่ดังกล่าวจะใช้ประโยชน์จากบั๊กของบริการ Server Message /block (SMB) ที่คอมพิวเตอร์ที่ใช้วินโดวส์ ใช้ในการแบ่งปันไฟล์และเครื่องพิมพ์ภายในแลนของตัวเอง

แต่ความล้ำอีกขั้นของ Petya คือ ถ้าการใช้ช่องโหว่บน SMB ไม่สำเร็จแล้ว ก็จะหันไปแพร่เชื้อผ่านทูลชื่อว่า PsExec ที่อนุญาตให้ผู้ใช้รันโปรเซสบนระบบที่ต้องการจากระยะไกลได้ นั่นหมายความว่า ถึงเครื่องของเหยื่อจะได้รับการแพ็ตช์อุดช่องโหว่บน SMB แล้วก็ไม่หวั่น ถือว่ายังมีโอกาสโดนกระจายเชื้อไปยังเครื่องอื่นบนเครือข่ายได้อย่างง่ายดายอยู่ดี

กว่า 5 ปีที่ผ่านมานั้น วงการไอทีได้เห็นมัลแวร์หลากหลายสายพันธุ์ที่นิยมใช้การหลอกลวงทางอีเมล์ในการแพร่เชื้อ ด้วยเทคนิคเดิมๆ ในการเขียนอีเมล์ให้ดูน่าเชื่อถือ ใส่โลโก้ทางการ ใช้ภาษาเนียนๆ เข้ากับลักษณะของเป้าหมาย เติมความหวาดกลัวด้วยการขู่เล็กน้อยถึงปานกลาง จากเจ้านายบ้าง หน่วยงานรัฐบ้าง เพื่อล่อให้คลิกลิงค์หรือเปิดไฟล์แนบ แน่นอนว่าวิธีนี้ต้องอาศัยอาการสติหลุดของผู้ใช้ร่วมด้วย ดังนั้น มัลแวร์ยุคใหม่นี้จึงเลิกพึ่งพาคนอื่น ด้วยการใช้เทคนิคหรือทูลในการกระจายมัลแวร์แบบเวิร์ม โดยไม่ต้องจุดธูปภาวนาให้เหยื่อคลิกอีกต่อไป

และด้วยช่องโหว่ที่ถูกทะลวงจนพรุนมากมายในปัจจุบัน ทำให้อาชญากรทางไซเบอร์ยังคงมุ่งทำมาหากินกับเหยื่อที่ใช้วินโดวส์เป็นหลัก ขณะที่ยังทำงานอดิเรกหนีเรดโอเชียนด้วยการพัฒนาฝีมือโจมตีแพลตฟอร์มอื่น เช่น เซิร์ฟเวอร์ลีนุกส์ และเครื่องแมคไปพร้อมกัน

อีกหนึ่งกระแสอันตรายที่ต้องเฝ้าระวังคือ แรนซั่มแวร์บนโลกโมบายล์ ซึ่งปีที่แล้วทาง SophosLabs ได้วิเคราะห์จนเจอแอพพลิเคชั่นบนแอนดรอยด์ที่น่าสงสัยกว่า 8.5 ล้านรายการ โดยมากกว่าครึ่งกลายเป็นมัลแวร์หรือแอพพลิเคชั่นที่มีพฤติกรรมไม่พึงประสงค์ โดยเฉพาะพวกแอดแวร์ที่สร้างความรำคาญ

ถือได้ว่า แรนซั่มแวร์ยุคใหม่มีการพัฒนาฟีเจอร์การทำร้ายชาวบ้านได้หลากหลายและลึกล้ำ ในอัตราที่รวดเร็วมากขึ้นเรื่อย ธุรกิจต่างๆ จึงตกอยู่ในความเสี่ยงสูงมาก ถ้าไม่ได้จัดการป้องกันอย่างถูกต้องตามขั้นตอนที่เหมาะสม

ดังนั้น Sophos จึงแนะนำขั้นตอนอย่างง่ายในการป้องกันตัวเอง ดังนี้:
• ตรวจสอบให้มั่นใจว่า ทุกระบบที่ใช้งานอยู่ ได้รับการแพ็ตช์รุ่นล่าสุด โดยเฉพาะรายการที่ชื่อ MS17-010 จากไมโครซอฟท์แล้ว
• อนุญาตเฉพาะแอพพลิเคชั่นที่จำเป็นต้องใช้ทำงานประจำวันเท่านั้นที่รันบนคอมพิวเตอร์ได้ เพื่อลดความเสี่ยงในการโดนโจมตี และจำกัดจำนวนแพ็ตช์ที่คุณจำเป็นต้องติดตั้งเป็นประจำเพื่ออุดช่องโหว่บนเครื่องทุกเครื่อง
• สำรองข้อมูลเป็นประจำ และเก็บข้อมูลที่แบ๊กอัพไว้ภายนอกองค์กรด้วย โดยเข้ารหัสข้อมูลที่เก็บสำรองไว้เพื่อให้คุณคลายความกังวลไม่ว่าจะเก็บข้อมูลนี้ไว้ที่ไหนก็ตาม
• หลีกเลี่ยงการเปิดไฟล์แนบ หรือคลิกลิงค์ที่มากับอีเมล์ โดยเฉพาะเมล์ที่คุณไม่ทราบที่มา หรือไม่คิดว่าจะมีเมล์ลักษณะนี้มาจากผู้ส่ง (ที่อาจติดเชื้อไปแล้ว) รายนั้นๆ
• มีทูลฟรีให้โหลดมาใช้ยกระดับความปลอดภัยมากมาย อย่าง Sophos ก็มี Intercept X แบบทดลองใช้ หรือสำหรับผู้ใช้ตามครัวเรือน ก็มีโซลูชั่นความปลอดภัยฟรีอย่าง Sophos Home Premium Beta ที่สามารถป้องกันแรนซั่มแวร์ ด้วยการปิดกั้นการเข้ารหัสที่ไม่ได้รับอนุญาติกับไฟล์หรือบริเวณใดๆ บนฮาร์ดดิสก์

โดย : จัสติน ปีเตอร์ ผู้อำนวยการด้านโซลูชั่นทางเทคนิคของ Sophos ประจำภูมิภาคเอเชียแปซิฟิก และญี่ปุ่น

from:https://www.enterpriseitpro.net/archives/7893

โอ้ว ! Locky ยังไม่ตาย แฝงตัวมากับเมล์กว่า 23 ล้านฉบับ !

ขณะที่คนทั่วไปนึกว่าแรนซั่มแวร์ Locky กำลังเงียบตายไป นักวิจัยจากสองบริษัทด้านความปลอดภัยกลับพบแคมเปญการจัดส่งอีเมล์ครั้งใหญ่ถึงสองครั้ง ที่มีการแพร่กระจายแรนซัมแวร์ดังกล่าวด้วย แม้คนละสายพันธุ์กันก็ตาม

เริ่มจากแคมเปญแรกที่พบโดยนักวิจัยจาก AppRiver ซึ่งมีการส่งเมล์ออกมาถึง 23 ล้านฉบับภายใน 24 ชั่วโมงเมื่อวันที่ 28 สิงหาคมที่ผ่านมา ทั่วทั้งสหรัฐฯ ซึ่งถือเป็นแคมเปญการแพร่เชื้อมัลแวร์ที่ใหญ่มากที่สุดในช่วงครึ่งหลังของปีนี้ทีเดียว โดยอีเมล์จะมีชื่อเมล์ที่หลอกให้ผู้ใช้ต้องคลิกแบบงงๆ เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” เป็นต้น

อีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มีสคริปต์ VBS ที่เมื่อเหยื่อคลิกเปิดแล้ว ก็จะดาวน์โหลดแรนซั่มแวร์ Locky ตัวล่าสุดที่ชื่อ Lukitus (เป็นภาษาฟินแลนด์แปลว่า ล็อก) แล้วเข้ารหัสไฟล์ทุกตัวบนเครื่อง พร้อมใส่สกุลไฟล์ไว้ว่า [.]lukitus หลังจากนั้นจึงแสดงข้อความบอกให้เหยื่อดาวน์โหลดและติดตั้งบราวเซอร์ชื่อ Tor เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินต่อไป

ส่วนอีกแคมเปญที่พบโดยบริษัท Comodo Labs เป็นการส่งอีเมล์ในช่วงต้นเดือนสิงหาคมกว่า 62,000 ฉบับ ที่มีแรนซั่มแวร์ Locky สายพันธุ์ใหม่ฝังไปด้วย ชื่อว่า IKARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 ตัวในกว่า 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตให้ช่วยกระจายเมล์

ที่มา : http://thehackernews.com/2017/08/locky-ransomware-emails.html

from:https://www.enterpriseitpro.net/archives/7823

วิธีง่ายๆ ไม่ให้แฟนคลับ Apple ตกเป็นเหยื่อของ FileCode

เหล่าผู้ใช้ Macbook กำลังเผชิญภัยจากมัลแวร์มากขึ้นอย่างไม่เคยเป็นมาก่อน ซึ่งจากรายงานพยากรณ์สถานะมัลแวร์จาก SophosLabs ปีนี้ พบว่ามัลแวร์บนเครื่องแมคฯ ต่างมีพฤติกรรมแสบทรวงไม่แพ้บนวินโดวส์เลย โดยส่วนใหญ่จะแอบเข้ามาฝังตัวเงียบๆ เพื่อดูดข้อมูลอันมีค่าขณะที่คุณไม่ทันรู้ตัว หรือคอยเปิดช่องประตูหลังให้อาชญากรรีโมตเข้ามาทำมิดีมิร้าย รวมถึงการกักไฟล์ของคุณเรียกค่าไถ่

นอกจากนี้ยังมีพันธุ์ที่ประพฤติตัวแปลกประหลาดอย่างแรนซั่มแวร์ที่ชื่อ FileCode ซึ่งเขียนด้วยภาษา Swift น้องใหม่ที่แอปเปิ้ลเพิ่งเปิดให้นักพัฒนาได้ใช้ FileCode นี้จะเปิดแสดงไฟล์ข้อความที่แจ้งให้ผู้ใช้จ่ายบิทคอยน์ ขณะที่ตัวเองจะเปิดการเชื่อมต่อผ่านอินเทอร์เน็ตให้โจรร้ายสามารถเข้าถึงคอมพิวเตอร์เพื่อรีโมทมาจัดการกับไฟล์ได้ตามอำเภอใจภายใน 24 ชั่วโมง

ทั้งนี้ โซฟอส ได้แนะนำวิธีง่ายๆ ไม่ให้แฟนคลับแอปเปิ้ลตกเป็นเหยื่อของ FileCode ไว้ดังนี้:
1. ออกห่างจากเว็บไซต์ที่เอาตัณหามาล่อ โฆษณาว่าจะช่วยให้โปรแกรมถูกลิขสิทธิ์บนเครื่องข้ามขั้นตอนการตรวจไลเซนส์ เพราะ FileCode มักชอบแอบอยู่ตามเว็บไซต์พวกซอฟต์แวร์ฟรีหรือทูลยาแก้ไอผิดกฎหมายต่างๆ โดยเฉพาะตัวแคร๊กสำหรับซอฟต์แวร์ชื่อดังในตลาด
2. FileCode ใช้กลไกการเข้ารหัสที่สามารถถอดออกได้โดยไม่ต้องเสียเงินค่าไถ่ โดยมีทูลฟรีสำหรับถอดรหัสและกู้ไฟล์ให้บริการบนเว็บผู้จำหน่ายระบบความปลอดภัยเต็มไปหมด ขอเพียงคุณยังมีสำเนาของไฟล์ที่ตกเป็นเหยื่อสักไฟล์แบบยังไม่โดนเข้ารหัสสำหรับให้ทูลถอดคีย์ออกมา

แต่ทว่าเมื่อเร็วๆ นี้ SophosLabs ได้ค้นพบแรนซั่มแวร์บนแมคตัวใหม่ที่รู้จักกันในชื่อ MacRansom ซึ่งมีพฤติกรรมเป็นชุดแรนซั่มแวร์สำเร็จรูปให้นำไปประยุกต์ใช้ได้ทั่วไป หรือ RaaS ทำให้ใครก็ได้ที่ไม่จำเป็นต้องมีความรู้ลึกซึ้งเกี่ยวกับโค้ดโปรแกรมก็สามารถใช้ชุดโค้ดนี้ทำมาหากินด้วยการส่งกระจายให้เหยื่อที่ต้องการได้อย่างง่ายๆ

วิธีการทำงานของ MacRansom
มัลแวร์ตัวนี้จะติดตั้งตัวเองอย่างเงียบๆ เพื่อทำงานภายในบัญชีผู้ใช้ของผู้ใช้ปัจจุบัน แทนที่จะทำงานแบบกระจายทั่วทั้งระบบ ทำให้ยากที่ผู้ใช้จะสังเกตการมีตัวตนของมัลแวร์ โดยเฉพาะการที่มัลแวร์ใช้ชื่อไฟล์ที่ซ้ำกับชื่อทั่วไปที่มีบนเครื่องแมค แต่เมื่อมัลแวร์รันกันทำงานแล้ว จะเริ่มต้นด้วยการเข้ารหัสไฟล์ของผู้ใช้ แล้วจึงขึ้นเตือนให้ผู้ใช้จ่ายค่าไถ่เพื่อแลกกับคีย์ถอดรหัส ทั้งนี้มัลแวร์จะเข้ารหัสไฟล์ทั้งที่อยู่บนฮาร์ดดิสก์ และบนดิสก์เชื่อมต่อภายนอกไม่ว่าจะเป็นธัมม์ไดรฟ์หรือเอ็กซ์เทอนอลก็ตาม จึงแนะนำให้แบ๊กอัพข้อมูลอย่างน้อยหนึ่งสำเนาแล้วเก็บไว้นอกเครื่อง ในที่ที่ไม่มีการเชื่อมต่อกับภายนอก

แนวทางการป้องกันตัวเองจากภัยแรนซั่มแวร์ ตามแบบฉบับ Sophos:
• แพทช์ให้เร็ว และแพทช์บ่อยๆ
• พิจารณาเลือกใช้โซลูชั่นความปลอดภัยแบบ Next-Gen ที่ครอบคลุม โดยเฉพาะแอนติมัลแวร์และแอนติแรนซั่มแวร์ที่ทันสมัย
• ระวังการเปิดไฟล์แนบที่น่าสงสัย และควรเปิดเอกสารที่มาจากผู้ส่งที่รู้จักเท่านั้น
• อย่าล็อกอินในฐานะแอดมินฯ ทิ้งไว้นานเกินจำเป็น รวมทั้งหลีกเลี่ยงการท่องเว็บขณะที่ใช้งานในบัญชีแอดมินฯ
• ลองใช้โซลูชั่นแอนติไวรัสแบบฟรีอย่าง Sophos Home ซึ่งมีระบบความปลอดภัยระดับธุรกิจที่สามารถปกป้องได้ทั้งพีซีและเครื่องแมค

from:https://www.enterpriseitpro.net/archives/7675

HBO ยอมจ่ายค่าไถ่มูลค่ากว่า 250,000 เหรียญ ฯ หวังแลก Game of Thrones คืน

จากกรณีที่แฮ็กเกอร์เจาะระบบเครือข่ายของ HBO แล้วล้วงข้อมูลลับทั้งสคริปต์บทหนัง, รายการทีวี, หรือแม้แต่ข้อมูลพนักงานและเอกสาระสำคัญต่างๆ นั้น ขณะนี้มีแหล่งข่าวเปิดเผยอีเมล์จาก HBO ระบุว่ายอมจ่ายค่าไถ่ก้อนแรกก่อนเป็นจำนวนเงินสูงถึง 250,000 ดอลลาร์สหรัฐฯ แล้ว โดยแจ้งว่าเป็น “ค่าหัว” ที่ตอบแทนแฮ็กเกอร์ที่ค้นพบช่องโหว่บนเครือข่ายของตนเอง

เมื่อปลายเดือนที่ผ่านมานั้น แฮ็กเกอร์รายนี้อ้างว่าตัวเองได้ดูดข้อมูลขนาดมหึมากว่า 1.5 เทอราไบต์จาก HBO ซึ่งในนั้นก็มีไฟล์ตอนต่อไปของซีรี่ย์อย่าง “Ballers” และ “Room 104” รวมไปถึงสคริปต์บทของตอนที่ 4 ของซีรี่ย์ดังที่เป็นตัวทำมาหากินอย่าง “Game of Thrones” ด้วย

โดยหลังจากประกาศตัวเองแค่เพียงสัปดาห์เดียว แฮ็กเกอร์ก็ได้เปิดเผยข้อมูลตัวอย่างครึ่งกิ๊กออกสู่สายตาประชาชน ตั้งแต่อีเมล์ของบริษัท, สัญญาจ้างพนักงาน, เอกสารการเงิน, และบทหนังของ Game of Thrones ตอนต่อไปเป็นน้ำจิ้ม พร้อมทั้งขู่ขอเรียกค่าไถ่จาก HBO สูงถึง 6 ล้านดอลลาร์ฯ ในรูปบิทคอยน์

ทั้งนี้ การยอมจ่ายเสี้ยวเดียวก่อนของสถานีชื่อดังนี้ ได้ระบุเหตุผลในอีเมล์ว่า เป็นเพราะขณะนี้บริษัทยังไม่มีบัญชีบิทคอยน์หรือไม่รู้จะไปหาบิทคอยน์จำนวนมหาศาลดังกล่าวได้มาจากที่ไหน เลยขอให้เงินสองแสนกว่าดอลลาร์ฯ นี้เป็นค่าผ่อนให้เลื่อนเดดไลน์ไปอีกสักสัปดาห์หนึ่ง

หรือถ้าอยากได้เป็นเงินดอลลาร์ฯ สดๆ ก็สามารถโอนได้ทันที ขอแค่แฮ็กเกอร์แจ้งเลขบัญชี (ให้ตำรวจตามจับได้ถูกตัว) เท่านั้น

ที่มา : http://thehackernews.com/2017/08/hbo-hackers-game-of-thrones.html

from:https://www.enterpriseitpro.net/archives/7639

มาแล้ว !! ตัวถอดรหัส BTCWare Ransomware ให้ดาวน์โหลดได้วันนี้

นักวิจัยด้านความปลอดภัย Michael Gillespie ได้ออกตัวถอดรหัสข้อมูลที่โดนแรนซั่มแวร์ BTCWare เข้ารหัส ออกมาให้โหลดกันแล้ว หลังจากเจ้าของผู้พัฒนาแรนซั่มแวร์ดังกล่าวได้ปล่อยคีย์ถอดรหัสออกมา ก่อนที่จะปล่อยแรนซั่มแวร์ตัวใหม่ของเขาแทน

โดยเจ้าตัวคนเขียนแรนซั่มแวร์นี้ได้โพสบนฟอรั่มของเว็บ Bleeping Computer เมื่อวันที่ 30 มิถุนายนว่าจะเข้ามาช่วยเหยื่อที่ติดเชื้อ BTCWare ซึ่งเป็นแรนซั่มแวร์ตระกูลหนึ่งที่พบการระบาดมากที่สุดอยู่ในขณะนี้ โดยตกลงที่จะให้โค้ดถอดรหัสแก่ Gillespie จนทาง Gillespie สามารถพัฒนา BTCWareDecrypter ออกมาช่วยบรรเทาทุกข์ชาวบ้านได้เป็นผลสำเร็จ

ด้วยคีย์ถอดรหัสล่าสุดที่ได้นี้ ทำให้สามารถถอดรหัสกู้ข้อมูลที่เสียหายจากแรนซั่มแวร์ BTCWare ก่อนหน้านี้ได้ถึง 4 เวอร์ชั่น ทำให้ตัวถอดรหัสใหม่ล่าสุดของเขาสามารถกูไฟล์ที่เข้ารหัสที่อยู่ในสกุลไฟล์ต่างๆ ทั้งหมดอันได้แก่

.[< email address >].btcware
.[< email address >].cryptobyte
.[< email address >].cryptowin
.[< email address >].theva
.[< email address >].onyon
.[< email address >].master
.onyon
.xfile

แต่ว่าตัวถอดรหัสนี้จะสามารถกู้ข้อมูลที่มีขนาดใหญ่กว่า 10MB ได้เท่านั้น เนื่องจากไฟล์ที่ขนาดเล็กกว่ามีการเข้ารหัสที่ถือเป็นบั๊กของแรนซั่มแวร์ที่ทำให้กู้ข้อมูลไม่ได้ โดยผู้ที่สนใจสามารถดาวน์โหลดแอพ BTCWareDecrypter นี้ได้จาก https://www.bleepingcomputer.com/download/btcwaredecrypter/

from:https://www.enterpriseitpro.net/archives/7223

เยี่ยม !! ค้นพบแล้ว เทคนิคสร้างวัคซีนป้องกันการโจมตีของ Petya สายพันธุ์ใหม่

นักวิจัยด้านความปลอดภัยจาก Cybereason ชื่อ Amit Serper ค้นพบวิธีในการป้องกันแรนซั่มแวร์ Petya (ซึ่งตอนนี้มีชื่อใหม่เต็มไปหมดไม่ว่าจะเป็น NotPetya/SortaPetya/Petna) ไม่ให้เข้ามาทำร้ายคอมพิวเตอร์

แรนซั่มแวร์กลุ่มนี้ได้ระบาดหนัก สร้างความเสียหายเป็นวงกว้างทั่วโลกในช่วงไม่กี่วันที่ผ่านมา ด้วยการล็อกข้อมูลส่วน MFT และ MBR ของฮาร์ดดิสก์ ทำให้ไม่สามารถบูทคอมพิวเตอร์ขึ้นมาใหม่ได้ นอกจากเหยื่อจะเลือกจ่ายค่าไถ่ (ซึ่งมีการพิสูจน์แล้วว่าขณะนี้การยอมจ่ายเงินก็ไม่ได้รับประกันว่าจะกู้เครื่องมาใหม่ได้แต่อย่างใด) เรียกได้ว่าโดนเล่นงานแล้วแทบหมดหวังเลยทีเดียว

ในช่วงแรกที่พบการโจมตีนั้น เหล่านักวิจัยต่างเชื่อว่าแรนซั่มแวร์ตัวนี้เป็นแค่รุ่นที่ถูกพัฒนาขึ้นมาจากแรนซั่มแวร์ Petya ตัวเดิม แต่ภายหลังก็ค้นพบว่าเป็นสายพันธุ์ใหม่ที่มีการผสมขึ้นมาเป็นเอกลักษณ์เฉพาะ ที่มีการลอกโค้ดบางส่วนมาจาก Petya ตัวเดิมเท่านั้น จึงเป็นเหตุผลที่ช่วงหลังจึงเรียกมัลแวร์กลุ่มนี้เป็นชื่ออื่นอย่าง NotPetya, Petna, หรือ SortaPetya แทน

ด้วยความเสียหายที่เกิดขึ้นอย่างกว้างขวาง ทำให้นักวิจัยมากมายต่างทุ่มสุดกำลังในการวิเคราะห์เพื่อหาจุดอ่อนทั้งในด้านการหยุดการเข้ารหัสไฟล์ หรือการค้นหาโดเมนที่จะเป็นสวิตช์สั่งหยุดการโจมตีได้อย่างที่พบในกรณีของ WannaCry

แต่ระหว่างการตรวจสอบกลไกภายในแรนซั่มแวร์ตัวใหม่นี้เอง ที่ Serper เป็นคนแรกที่ค้นพบว่า NotPetya จะคอยค้นหาไฟล์บางอย่างบนดิสก์ ซึ่งจะหยุดการเข้ารหัสทันทีที่พบไฟล์ดังกล่าว ซึ่งต่อมาก็มีนักวิจัยอื่นมากมายที่ออกมายืนยันผลการค้นพบนี้ ไม่ว่าจะเป็นจาก PT Security, TrustSec, หรือ Emisoft

นั่นหมายความว่า เครื่องที่ตกเป็นเหยื่อสามารถสร้างไฟล์ดังกล่าวบนพีซีของตนเอง ตั้งค่าเป็น Read-only เพื่อปิดกั้นแรนซั่มแวร์ Petya ไม่ให้รันการทำงานต่อได้ แต่ด้วยกลไกลักษณะนี้ทำให้ดูเป็นการป้องกันมากกว่าการแก้ไข เมื่อเทียบกับกลไกการสั่งหยุดการทำงานทั่วโลกพร้อมกันด้วย Killswitch อย่างกรณี WannaCry

สำหรับการสร้างไฟล์วัคซีนดังกล่าวนั้นง่ายมาก แค่สร้างไฟล์ชื่อ perfc บนโฟลเดอร์ C:\Windows แล้วตั้งค่าเป็น Read-only สำหรับผู้ที่ต้องการทางลัดในการสร้างไฟล์นี้ ทางนักวิจัยชื่อ Lawrence Abrams ก็ได้สร้างแบชไฟล์สำหรับทำงานเหล่านี้โดยอัตโนมัติ ซึ่งโหลดได้จาก https://download.bleepingcomputer.com/bats/nopetyavac.bat

ซึ่งแบชไฟล์ดังกล่าวจะสร้างไฟล์วัคซีนขึ้นมาสองไฟล์ได้แก่ perfc.dat และ perfc.dll โดยพบว่าแค่สองไฟล์นี้ก็เพียงพอที่จะทำให้ NotPetya หยุดทำงานเมื่อตรวจพบไฟล์เหล่านี้แล้ว แต่สำหรับผู้ที่กลัวไม่อยากรันแบชไฟล์จากข้างนอกบนเครื่องตัวเอง ก็สามารถทำเองได้ง่ายๆ ด้วยขั้นตอนต่อไปนี้:

ตั้งค่าบน Folder Option ให้แน่ในว่าออพชั่น Hide extension for known file types ไม่ได้ถูกทำเครื่องหมายไว้ เพื่อบังคับให้แสดงสกุลไฟล์
จากนั้นเปิดโฟลเดอร์ C:\Windows แล้วเลื่อนลงมาจนเจอไฟล์โปรแกรม notepad.exe จากนั้นคัดลอกและทำสำเนาไฟล์ดังกล่าว (จะคลิกขวา หรือใช้ชอร์ทคัท Ctrl+X >> Ctrl+V ก็ได้) วินโดวส์อาจแสดงหน้าต่างให้อนุญาตการก๊อปไฟลในโฟลเดอร์ ก็ให้กด Continue จนสามารถสร้างไฟล์ notepad – Copy.exe ได้
จากนั้นเปลี่ยนชื่อไฟล์ที่ทำสำเนาใหม่มาเป็น perfc แบบไม่ต้องมีสกุลไฟล์ (อาจจะคลิกหนึ่งครั้ง แล้วกด F2 เพื่อลบชื่อไฟล์เดิม แล้วพิมพ์คำว่า perfc แทน เสร็จแล้วกด Enter) ถ้ามีหน้าต่างให้ยืนยันการเปลี่ยนชื่อไฟล์ ก็ให้กด Yes หรือ Continue
จากนั้นคลิกขวาที่ไฟล์ ไปที่ Properties แล้วติ๊กเลือก Read-only ที่ส่วนของ Attributes ด้านล่างสุด จากนั้นจึงกด Apply และ OK ตามลำดับ เป็นอันเสร็จเรียบร้อย

จากการทดสอบล่าสุดของ BleepingComputer.com นั้น พบว่าแค่ไฟล์ perfc แบบไม่มีสกุลไฟล์บนโฟลเดอร์วินโดวส์นี้ ก็สามารถเป็นวัคซีนป้องกันการโจมตีของ NotPetya

ที่มา : https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak

from:https://www.enterpriseitpro.net/archives/7153