คลังเก็บป้ายกำกับ: ค่าไถ่

มาแล้ว !! ตัวถอดรหัส BTCWare Ransomware ให้ดาวน์โหลดได้วันนี้

นักวิจัยด้านความปลอดภัย Michael Gillespie ได้ออกตัวถอดรหัสข้อมูลที่โดนแรนซั่มแวร์ BTCWare เข้ารหัส ออกมาให้โหลดกันแล้ว หลังจากเจ้าของผู้พัฒนาแรนซั่มแวร์ดังกล่าวได้ปล่อยคีย์ถอดรหัสออกมา ก่อนที่จะปล่อยแรนซั่มแวร์ตัวใหม่ของเขาแทน

โดยเจ้าตัวคนเขียนแรนซั่มแวร์นี้ได้โพสบนฟอรั่มของเว็บ Bleeping Computer เมื่อวันที่ 30 มิถุนายนว่าจะเข้ามาช่วยเหยื่อที่ติดเชื้อ BTCWare ซึ่งเป็นแรนซั่มแวร์ตระกูลหนึ่งที่พบการระบาดมากที่สุดอยู่ในขณะนี้ โดยตกลงที่จะให้โค้ดถอดรหัสแก่ Gillespie จนทาง Gillespie สามารถพัฒนา BTCWareDecrypter ออกมาช่วยบรรเทาทุกข์ชาวบ้านได้เป็นผลสำเร็จ

ด้วยคีย์ถอดรหัสล่าสุดที่ได้นี้ ทำให้สามารถถอดรหัสกู้ข้อมูลที่เสียหายจากแรนซั่มแวร์ BTCWare ก่อนหน้านี้ได้ถึง 4 เวอร์ชั่น ทำให้ตัวถอดรหัสใหม่ล่าสุดของเขาสามารถกูไฟล์ที่เข้ารหัสที่อยู่ในสกุลไฟล์ต่างๆ ทั้งหมดอันได้แก่

.[< email address >].btcware
.[< email address >].cryptobyte
.[< email address >].cryptowin
.[< email address >].theva
.[< email address >].onyon
.[< email address >].master
.onyon
.xfile

แต่ว่าตัวถอดรหัสนี้จะสามารถกู้ข้อมูลที่มีขนาดใหญ่กว่า 10MB ได้เท่านั้น เนื่องจากไฟล์ที่ขนาดเล็กกว่ามีการเข้ารหัสที่ถือเป็นบั๊กของแรนซั่มแวร์ที่ทำให้กู้ข้อมูลไม่ได้ โดยผู้ที่สนใจสามารถดาวน์โหลดแอพ BTCWareDecrypter นี้ได้จาก https://www.bleepingcomputer.com/download/btcwaredecrypter/

from:https://www.enterpriseitpro.net/archives/7223

Advertisements

เยี่ยม !! ค้นพบแล้ว เทคนิคสร้างวัคซีนป้องกันการโจมตีของ Petya สายพันธุ์ใหม่

นักวิจัยด้านความปลอดภัยจาก Cybereason ชื่อ Amit Serper ค้นพบวิธีในการป้องกันแรนซั่มแวร์ Petya (ซึ่งตอนนี้มีชื่อใหม่เต็มไปหมดไม่ว่าจะเป็น NotPetya/SortaPetya/Petna) ไม่ให้เข้ามาทำร้ายคอมพิวเตอร์

แรนซั่มแวร์กลุ่มนี้ได้ระบาดหนัก สร้างความเสียหายเป็นวงกว้างทั่วโลกในช่วงไม่กี่วันที่ผ่านมา ด้วยการล็อกข้อมูลส่วน MFT และ MBR ของฮาร์ดดิสก์ ทำให้ไม่สามารถบูทคอมพิวเตอร์ขึ้นมาใหม่ได้ นอกจากเหยื่อจะเลือกจ่ายค่าไถ่ (ซึ่งมีการพิสูจน์แล้วว่าขณะนี้การยอมจ่ายเงินก็ไม่ได้รับประกันว่าจะกู้เครื่องมาใหม่ได้แต่อย่างใด) เรียกได้ว่าโดนเล่นงานแล้วแทบหมดหวังเลยทีเดียว

ในช่วงแรกที่พบการโจมตีนั้น เหล่านักวิจัยต่างเชื่อว่าแรนซั่มแวร์ตัวนี้เป็นแค่รุ่นที่ถูกพัฒนาขึ้นมาจากแรนซั่มแวร์ Petya ตัวเดิม แต่ภายหลังก็ค้นพบว่าเป็นสายพันธุ์ใหม่ที่มีการผสมขึ้นมาเป็นเอกลักษณ์เฉพาะ ที่มีการลอกโค้ดบางส่วนมาจาก Petya ตัวเดิมเท่านั้น จึงเป็นเหตุผลที่ช่วงหลังจึงเรียกมัลแวร์กลุ่มนี้เป็นชื่ออื่นอย่าง NotPetya, Petna, หรือ SortaPetya แทน

ด้วยความเสียหายที่เกิดขึ้นอย่างกว้างขวาง ทำให้นักวิจัยมากมายต่างทุ่มสุดกำลังในการวิเคราะห์เพื่อหาจุดอ่อนทั้งในด้านการหยุดการเข้ารหัสไฟล์ หรือการค้นหาโดเมนที่จะเป็นสวิตช์สั่งหยุดการโจมตีได้อย่างที่พบในกรณีของ WannaCry

แต่ระหว่างการตรวจสอบกลไกภายในแรนซั่มแวร์ตัวใหม่นี้เอง ที่ Serper เป็นคนแรกที่ค้นพบว่า NotPetya จะคอยค้นหาไฟล์บางอย่างบนดิสก์ ซึ่งจะหยุดการเข้ารหัสทันทีที่พบไฟล์ดังกล่าว ซึ่งต่อมาก็มีนักวิจัยอื่นมากมายที่ออกมายืนยันผลการค้นพบนี้ ไม่ว่าจะเป็นจาก PT Security, TrustSec, หรือ Emisoft

นั่นหมายความว่า เครื่องที่ตกเป็นเหยื่อสามารถสร้างไฟล์ดังกล่าวบนพีซีของตนเอง ตั้งค่าเป็น Read-only เพื่อปิดกั้นแรนซั่มแวร์ Petya ไม่ให้รันการทำงานต่อได้ แต่ด้วยกลไกลักษณะนี้ทำให้ดูเป็นการป้องกันมากกว่าการแก้ไข เมื่อเทียบกับกลไกการสั่งหยุดการทำงานทั่วโลกพร้อมกันด้วย Killswitch อย่างกรณี WannaCry

สำหรับการสร้างไฟล์วัคซีนดังกล่าวนั้นง่ายมาก แค่สร้างไฟล์ชื่อ perfc บนโฟลเดอร์ C:\Windows แล้วตั้งค่าเป็น Read-only สำหรับผู้ที่ต้องการทางลัดในการสร้างไฟล์นี้ ทางนักวิจัยชื่อ Lawrence Abrams ก็ได้สร้างแบชไฟล์สำหรับทำงานเหล่านี้โดยอัตโนมัติ ซึ่งโหลดได้จาก https://download.bleepingcomputer.com/bats/nopetyavac.bat

ซึ่งแบชไฟล์ดังกล่าวจะสร้างไฟล์วัคซีนขึ้นมาสองไฟล์ได้แก่ perfc.dat และ perfc.dll โดยพบว่าแค่สองไฟล์นี้ก็เพียงพอที่จะทำให้ NotPetya หยุดทำงานเมื่อตรวจพบไฟล์เหล่านี้แล้ว แต่สำหรับผู้ที่กลัวไม่อยากรันแบชไฟล์จากข้างนอกบนเครื่องตัวเอง ก็สามารถทำเองได้ง่ายๆ ด้วยขั้นตอนต่อไปนี้:

ตั้งค่าบน Folder Option ให้แน่ในว่าออพชั่น Hide extension for known file types ไม่ได้ถูกทำเครื่องหมายไว้ เพื่อบังคับให้แสดงสกุลไฟล์
จากนั้นเปิดโฟลเดอร์ C:\Windows แล้วเลื่อนลงมาจนเจอไฟล์โปรแกรม notepad.exe จากนั้นคัดลอกและทำสำเนาไฟล์ดังกล่าว (จะคลิกขวา หรือใช้ชอร์ทคัท Ctrl+X >> Ctrl+V ก็ได้) วินโดวส์อาจแสดงหน้าต่างให้อนุญาตการก๊อปไฟลในโฟลเดอร์ ก็ให้กด Continue จนสามารถสร้างไฟล์ notepad – Copy.exe ได้
จากนั้นเปลี่ยนชื่อไฟล์ที่ทำสำเนาใหม่มาเป็น perfc แบบไม่ต้องมีสกุลไฟล์ (อาจจะคลิกหนึ่งครั้ง แล้วกด F2 เพื่อลบชื่อไฟล์เดิม แล้วพิมพ์คำว่า perfc แทน เสร็จแล้วกด Enter) ถ้ามีหน้าต่างให้ยืนยันการเปลี่ยนชื่อไฟล์ ก็ให้กด Yes หรือ Continue
จากนั้นคลิกขวาที่ไฟล์ ไปที่ Properties แล้วติ๊กเลือก Read-only ที่ส่วนของ Attributes ด้านล่างสุด จากนั้นจึงกด Apply และ OK ตามลำดับ เป็นอันเสร็จเรียบร้อย

จากการทดสอบล่าสุดของ BleepingComputer.com นั้น พบว่าแค่ไฟล์ perfc แบบไม่มีสกุลไฟล์บนโฟลเดอร์วินโดวส์นี้ ก็สามารถเป็นวัคซีนป้องกันการโจมตีของ NotPetya

ที่มา : https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak

from:https://www.enterpriseitpro.net/archives/7153

ระวัง น่ากลัวมาก !! Petya Ransomware กลับมาคราวนี้มันทำลายรุนแรงกว่าที่เคย !!

คือ หลังจากที่เราโกลาหลไปกับ WannaCry ไปรอบหนึ่งแล้ว มางานนี้ก็ต้องปวดหัวซ้ำสองกับตัว Ransomware ที่เปรียบเสมือนเหล้าเก่าในขวดใหม่ นั่นก็คือเจ้า Petya

จากรายงานของแหล่งข่าวจากที่ต่างๆ พบว่า Petya Ransomware นั้นซึ่งบางทีก็รู้จักในนาม Petwrap นั้นแพร่กระจายอย่างรวดเร็ว ใช้หลักการเดียวกับตัว WannaCry คือช่องโหว่ Windows SMBv1 ซึ่งทำให้เครื่องเซิร์ฟเวอร์กว่า 300,000 ระบบล่มอย่างรวดเร็ว

คือ Petya นั้นเป็นแรนซั่มแวร์ที่ทำงานแตกต่างจากแรนซั่มแวร์ตัวอื่นตรงที่มันจะไม่เข้ารหัสไฟล์บนเครื่องเป้าหมาย แต่มันจะรีบูตเครื่องเหยื่อและทำการเข้ารหัสตัว MFT (Master file table) ในไดรฟ์ และทำการจัดการกับตัวบูตเรคคอร์ด (MBR) และป้องกันการเข้าถึงระบบจากทุกทางโดยการยึดข้อมูลเกี่ยวกับทุกอย่างบนดิสก์ไม่ว่าจะเป็นชื่อไล์, ขนาด และตำแหน่ง !!!!

แหล่งข้อมูลต่างๆ ที่เรารวบรวมมาอาทิ เทรนด์ไมโคร ก็ได้สรุปข้อมูลที่น่าสนใจผ่านทาง TrendLabs มาให้ทราบคร่าวๆ เช่น

– แรนซัมแวร์อาศัยช่องโหว่ EternalBlue (แนวทางเดียวกันกับที่ WannaCryใช้) เป็นทางเข้าและ ใช้ สิทธิ PsExec ของวินโดวส์อย่างถูกต้องผ่านการตรวจสกัดเพื่อแพร่กระจายตัวเอง

– Petya ทำการเข้ารหัสฮาร์ดดิสก์ MFT และเปลี่ยนแปลง Master Boot Record (MBR) ไม่ให้เปิดได้ และใส่คำสั่งในแสดงข้อเรียกร้อง การไถ่คืนแบบฉบับแรนซัมแวร์ตัวจริง!

ซึ่งเทรนด์ไมโคร ยังให้คำแนะนำ ที่ช่วยลดความเสี่ยงได้จริง! ดังนี้
1. ลงแพทช์ MS17-010 เพราะช่องทางเข้ามันมีรู จำเป็นต้องปิดที้สุด
2. ปิดพอร์ต TCP port 445
3. จำกัดสิทธิบัญชีแอดมินในการเข้าใช้ สำหรับลูกค้าเทรนด์ไมโคร สามารถอ้างอิงข้อมูลเพิ่มเติมได้ที่ https://success.trendmicro.com/solution/1117665

ด้าน Juniper ก็ตรวจพบภัยดังกล่าวในลักษณะเดียวกัน และก็ให้ข้อมูลการโจมตีของมัลแวร์ดังกล่าวนี้ และสำหรับใครใช้ Juniper ก็สามารถไปดูวิธีการป้องกันได้จากที่เว็บ Forum ของ Juniper ได้ที่ Link นี้ https://forums.juniper.net/t5/Security-Now/Rapid-Response-New-Petya-Ransomware-Discovered/ba-p/309653?utm_medium=social&utm_source=facebook&utm_campaign=Security_AMER&__prclt=65bDFWQL

ขอบคุณที่มา : http://thehackernews.com/2017/06/petya-ransomware-attack.html?m=1

from:https://www.enterpriseitpro.net/archives/7117

พบ “ความเอ๋อ” ของโค้ดในแรนซั่มแวร์ WannaCry ที่เปิดช่องให้กู้ไฟล์กลับมาได้

นักวิจัยของบริษัทด้านความปลอดภัยชื่อดัง Kaspersky Lab พบว่าโค้ดที่เขียนแรนซั่มแวร์ WannaCry ที่ระบาดรุนแรงไปทั่วโลกนั้น เต็มไปด้วยข้อผิดพลาดเต็มไปหมด ซึ่งนำมาใช้พัฒนาทูลกู้ไฟล์กลับได้ โดยให้ความเห็นว่า เป็นโค้ดโปรแกรมสั่วๆ คุณภาพต่ำมาก ไม่สมศักดิ์ศรีแฮ็กเกอร์เอาเสียเลย

นั่นคือ ถ้าคุณตกเป็นเหยื่อของแรนซั่มแวร์ WannaCry ไปแล้ว ก็ถือว่ามีโอกาสค่อนข้างมากที่จะได้กู้ไฟล์กลับเป็นปกติ ตัวอย่างความเอ๋อเร่อของวันนาครายได้แก่ กลไกการเข้ารหัสไฟล์แบบ Read-only มีข้อผิดพลาดที่ทำให้ไม่สามารถปู้ยี่ปู้ยำข้อมูลภายในไฟล์ที่ตั้งค่าเป็น Read-only ได้ คนเขียนโค้ดเลยแก้ปัญหาแบบคิดว่าเราโง่ด้วยการสร้างไฟล์ใหม่ที่เข้ารหัสแล้ว แล้วเซ็ตไฟล์เดิมที่ทำอะไรไม่ได้ให้ซ่อนหรือ Hidden อยู่แค่นั้น

นอกจากนี้ แรนซั่มแวร์ตัวนี้ยังเลือกจัดการไฟล์ที่ตัวเองคิดว่าสำคัญเท่านั้น ส่วนไฟล์อื่นๆ ก็แค่ย้ายไปเก็บไว้ในโฟลเดอร์อื่นชั่วคราว หรือแค่สั่งลบข้อมูลธรรมดาชนิดที่ใช้โปรแกรมกู้ข้อมูลไก่กามาก็กู้ได้หมด

รวมทั้ง แม้วันนาครายได้แพร่ระบาดติดเชื้อคอมพิวเตอร์ที่ใช้วินโดวส์ที่ไม่ได้ติดตั้งแพ็ตช์ไปมากมาย แต่ก็มีหลายเครื่องที่แรนซั่มแวร์ไม่สามารถออกฤทธิ์ได้ดังใจ เนื่องจากวินโดวส์ป้องกันตัวเองด้วยการแฮ็งค์และขึ้นจอฟ้าแทน อย่างไรก็ดี Kaspersky แนะนำให้ผู้ที่ตกเป็นเหยื่อเริ่มต้นด้วยการใช้โปรแกรมกู้ไฟล์ที่โดนลบก่อน

อ่านเพิ่มเติม – http://www.zdnet.com/article/wannacry-ransomware-code-errors-could-give-victims-a-chance-to-get-files-back/

from:https://www.enterpriseitpro.net/archives/6874

เชิญพบกับทายาทอสูรของ วันนาคราย “EternalRocks” ที่ร้ายกาจกว่าหลายเท่า

นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์สายพันธุ์ใหม่ ที่มุ่งเจาะระบบโดยใช้ช่องโหว่เดียวกันกับตัวแม่ที่สร้างความฮือฮาเมื่อสัปดาห์ก่อนอย่าง WannaCry แต่ตัวใหม่นี้มีพิษสงร้ายกาจกว่ามาก ทั้งด้านการสร้างความเสียหาย และการต่อกรรับมือ

นักวิจัยได้ตั้งชื่อว่า EternalRocks ค้นพบครั้งแรกเมื่อวันพุธที่แล้วโดยผู้เชี่ยวชาญชาวโครเอเชีย ชื่อนี้มีที่มาจากทูลแฮ็คที่หลุดจาก NSA ที่รู้จักกันในชื่อ EternalBlue เพื่อกระจายตัวเองไปยังเครื่องอื่นๆ ผ่านวินโดวส์ เท่านั้นยังไม่พอ ยังมีการใช้เครื่องมือแฮ็กที่หลุดจาก NSA ตัวอื่นๆ ตามมาอย่างรัวๆ ไม่ว่าจะเป็น EternalChampion, EthernalRomance, และ DoublePulsar เรียกว่าร็อคกันทุกอีเทอนอลเลยทีเดียว

ดังนั้น ความสามารถในการแพร่กระจายของ EternalRocks นี่ทำให้ WannaCry ถึงกับต้องเรียกว่าขุ่นแม่กันเลยทีเดียว แม้ล่าสุดจะยังไม่พบส่วนของโค้ดอันตรายที่ใช้ล็อกหรือเข้ารหัสไฟล์ หรือเข้าควบคุมเครื่องเป้าหมายด้วยบอทเน็ต แต่ที่ร้ายกว่ามากคือ มัลแวร์ตัวนี้จะสร้างช่องโหว่บนคอมพิวเตอร์ที่ติดเชื้อให้เปิดรับคำสั่งจากภายนอก ที่อาจเปิดโอกาสให้สร้างความเสียหายอย่างมหาศาลได้ในอนาคต

ร้ายยิ่งกว่านั้นอีกก็คือ ไม่มีจุดอ่อนจำพวกสวิตช์สั่งปิดการทำงานแบบ WannaCry ที่นักวิจัยฟลุ๊กเจอก่อนหน้าเสียด้วย นอกจากนั้นยังมีพฤติกรรมล่อหลอกปั่นหัวระบบตรวจจับ ทั้งการดีเลย์ 24 ชั่วโมงก่อนออกฤทธิ์ หรือแม้แต่การใช้ชื่อไฟล์แบบเดียวกับ WannaCry เป็นต้น
ที่มา : http://fortune.com/2017/05/21/wannacry-successor-eternalrocks

from:https://www.enterpriseitpro.net/?p=6749

เชิญพบกับทายาทอสูรของ วันนาคราย “EternalRocks” ที่ร้ายกาจกว่าหลายเท่า

นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์สายพันธุ์ใหม่ ที่มุ่งเจาะระบบโดยใช้ช่องโหว่เดียวกันกับตัวแม่ที่สร้างความฮือฮาเมื่อสัปดาห์ก่อนอย่าง WannaCry แต่ตัวใหม่นี้มีพิษสงร้ายกาจกว่ามาก ทั้งด้านการสร้างความเสียหาย และการต่อกรรับมือ

นักวิจัยได้ตั้งชื่อว่า EternalRocks ค้นพบครั้งแรกเมื่อวันพุธที่แล้วโดยผู้เชี่ยวชาญชาวโครเอเชีย ชื่อนี้มีที่มาจากทูลแฮ็คที่หลุดจาก NSA ที่รู้จักกันในชื่อ EternalBlue เพื่อกระจายตัวเองไปยังเครื่องอื่นๆ ผ่านวินโดวส์ เท่านั้นยังไม่พอ ยังมีการใช้เครื่องมือแฮ็กที่หลุดจาก NSA ตัวอื่นๆ ตามมาอย่างรัวๆ ไม่ว่าจะเป็น EternalChampion, EthernalRomance, และ DoublePulsar เรียกว่าร็อคกันทุกอีเทอนอลเลยทีเดียว

ดังนั้น ความสามารถในการแพร่กระจายของ EternalRocks นี่ทำให้ WannaCry ถึงกับต้องเรียกว่าขุ่นแม่กันเลยทีเดียว แม้ล่าสุดจะยังไม่พบส่วนของโค้ดอันตรายที่ใช้ล็อกหรือเข้ารหัสไฟล์ หรือเข้าควบคุมเครื่องเป้าหมายด้วยบอทเน็ต แต่ที่ร้ายกว่ามากคือ มัลแวร์ตัวนี้จะสร้างช่องโหว่บนคอมพิวเตอร์ที่ติดเชื้อให้เปิดรับคำสั่งจากภายนอก ที่อาจเปิดโอกาสให้สร้างความเสียหายอย่างมหาศาลได้ในอนาคต

ร้ายยิ่งกว่านั้นอีกก็คือ ไม่มีจุดอ่อนจำพวกสวิตช์สั่งปิดการทำงานแบบ WannaCry ที่นักวิจัยฟลุ๊กเจอก่อนหน้าเสียด้วย นอกจากนั้นยังมีพฤติกรรมล่อหลอกปั่นหัวระบบตรวจจับ ทั้งการดีเลย์ 24 ชั่วโมงก่อนออกฤทธิ์ หรือแม้แต่การใช้ชื่อไฟล์แบบเดียวกับ WannaCry เป็นต้น
ที่มา : http://fortune.com/2017/05/21/wannacry-successor-eternalrocks

from:https://www.enterpriseitpro.net/archives/6749

VDO ! ดูกันจะๆ วิธีการแก้ไขเครื่องที่โดนเข้ารหัสไฟล์ ด้วยโปรแกรม Wanakiwi.exe

ผู้ใช้เฟสบุ๊กนามว่า Phitchayaphong Tantikul ได้ทำการทดลองการถอดรหัสไฟล์ที่ถูกแรนซั่มแวร์ WannaCry โจมตี โดยใช้โปรแกรมที่ชื่อว่า Wanakiwi.exe ในการรันงานผ่านทางระบบคอมมานด์พรอมพ์ ที่ท้ายสุดก็สามารถถอดรหัสไฟล์ที่โดนล็อกได้ เราไปดูวิธีการกันเลย

//////////////////////////////////

ทดลองถอดรหัส WannaCry ด้วยเครื่องมือ WanaKiwi

วิธีใช้
1. ก๊อป public key ที่มีชื่อไฟล์ 00000000.pky (จาก C:\intel\ชื่อมั่วๆ\00000000.pky) ไว้ที่เดียวกันกับตัวโปรแกรม
2. หา process id ของ tasksche.exe
3. เปิด cmd เพื่อสั่งโปรแกรมทำงาน ตามด้วย process id ที่หาได้



from:https://www.enterpriseitpro.net/?p=6747