คลังเก็บป้ายกำกับ: RANSOMWARE

ผลวิจัยจาก แคสเปอร์สกี้ ระบุว่า ปี 2016 เป็นปีแห่งแรนซัมแวร์ที่มากับสแปม

จากรายงานของแคสเปอร์สกี้ แลป หัวข้อ “Spam and phishing in 2016” พบว่าประมาณ 20% ของสแปมอีเมล์ทั้งหมดในไตรมาส 4 ปี 2016 กระจายเชื้อแรนซัมแวร์โทรจัน

หัวข้อฮอตโดนใจสแปมใช้เป็นตัวล่อ: สปอร์ตและการก่อการร้าย
ผู้ก่อกวนโดยใช้ฟิชชิ่ง (Phishers) อดใจไม่อยู่ ทุกครั้งที่เห็นโอกาสอย่างเช่นอีเว้นท์ดังๆ แห่งปี เช่น โอลิมปิกเกมส์ที่บราซิล เป็นต้น สแปมล่อลวงเหล่านี้ยังคอยอาศัยเกมส์กีฬาใหญ่ๆ เช่น การแข่งขันฟุตบอลยูโรเปียน หรือฟุตบอลโลกที่กำลังจะจัดในปี 2018 และ 2022 อีกด้วย สแปมเมอร์ส่งข้อความหลอกออกไปแจ้งว่าคุณเป็นผู้โชคดีถูกรางวัลเกี่ยวกับเกมส์กีฬาเหล่านี้ โดยลอตตารี่ชิงโชคนี้จะดูเสมือนมาจากองค์กรทางการ โดยที่ชื่อที่อยู่ผู้รับจะถูกสุ่มเลือกจากรายชื่อเป็นล้านๆ คน ซึ่งเป็นกลยุทธ์เดียวกับของสแปม ในกรณีนี้ อีเมล์จะมีซิปไฟล์แนบมาด้วย ในนั้นจะมีตัวดาวน์โหลดจาวาสคริปท์ที่ถูกตรวจพบแคสเปอร์สกี้ แลป ว่าเป็นโทรจัน Trojan-Downloader.Script.Generic มัลแวร์ชนิดนี้จะทำหน้าที่ดาวน์โหลดซอฟท์แวร์ชั่วร้ายตัวอื่นมายังเครื่องที่เป็นเหยื่อ

ด้านการก่อการร้ายซึ่งเป็นหัวข้อสำคัญระดับโลกในช่วงหลายปีมานี้ โดยเฉพาะอย่างยิ่ง เกี่ยวกับสถานการณ์ในประเทศซีเรีย ก็ถูกนำมาใช้ในอีเมล์สแปมด้วยเช่นกัน จดหมายมากมายหลั่งไหลมาจากทั้งชาวไนจีเรียและองค์กรให้ความช่วยเหลือที่พรรณาปัญหาทุกข์ยากของผู้ลี้ภัยและการก่อการร้าย รายละเอียดอาจแตกต่างกัน แต่จุดมุ่งหมายของผู้ส่งยังคงเหมือนกัน นั่นคือ เรียกร้องความสนใจจาอผู้รับเพื่อให้ได้เงินและสร้างบทสนทนาพูดคุยกับผู้รับ

ผู้ประกอบการจากจีนผงาด จำนวนและขยายตลาด
สแปมโฆษณาเป็นที่นิยมแพร่หลายมากขึ้นในหมู่ผู้ประกอบธุรกิจขนาดย่อมถึงกลางในประเทศจีนในปี 2016 เนื้อความของสแปมโดยทั่วไปจะเริ่มต้นการทำทายแบบไม่เฉพาะเจาะจง ตามด้วยชื่อและนามสกุลของผู้จัดการโรงงาน บางครั้งก็จะร่ายยาวมาด้วยเรื่องราวของบริษัท เกียรติประวัติ ความสำเร็จ หรือใบรับรองต่างๆ

ธุรกิจชาวจีนมิได้เริ่มใช้แพลตฟอร์มโฆษณาใหม่ที่สะดวก ตรงเป้าหมาย สะดวก และจุ้นจ้านน้อยกว่า เช่นพวกโซเชียลมีเดียไซต์ทั้งหลาย และนักวิจัยของแคสเปอร์สกี้ แลปเชื่อว่าอาจเป็นเพราะในจีนส่วนใหญ่ใช้โซเชียลเน็ตเวิร์กภายในประเทศ โดยที่ยักษ์ใหญ่อย่างเฟซบุ๊กยังไม่ได้รับอนุญาตให้เข้าไป ผลก็คือ ผู้ประกอบการชาวจีนยังขาดเครื่องมือการตลาดที่ถูกกฎหมายในบุกตลาดต่างประเทศ แม้ว่ารัฐจะมีกฎหมายต่อต้านสแปมซึ่งเป็นกฎหมายที่มีความเข้มงวดที่สุดในโลกก็ตาม

แรนซัมคือราชา
ในปี 2016 บันทึกจำนวนสแปมได้มหาศาล ผู้นำของสแปมคือ โทรจันดาวน์โหลดเดอร์ (Trojan downloaders) ที่ทำหน้าที่ดาวน์โหลดแรนซัมแวร์ลงมาบนเครื่องของเหยื่อ ที่นิยมที่สุดคือ การหว่านส่งอีเมล์สแปมจำนวนมหาศาลออกไปยังเครื่องที่เป็นเหยื่อด้วย Locky encryptor อย่างไรก็ตามแรนซัมแวร์อื่น เช่น Petya, Cryakl และ Shade ก็แพร่กระจายทั่วไปเช่นกัน

ransomware Quantity of malicious spam emails, 2016

โปรแกรมชั่วร้ายที่เริ่มจะเพิ่มจำนวนเมื่อธันวาคม 2015 ได้ขยายตัวเป็นช่วงๆ ตลอดปีที่ผ่านมา ส่วนการที่จำนวนดิ่งลงนั้น มาจากอาชญากรไซเบอร์ยกเลิกการใช้บ็อตเน็ต Necurs ชั่วคราว อันเป็นตัวที่รับผิดชอบต่อการแพร่กระจายของ Locky

“เมื่อปี 2016 เราได้เห็นการเปลี่ยนแปลงหลายรูปแบบในส่วนของสแปม มีการเพิ่มจำนวนในการส่งหว่านอีเมล์แพร่เชื้อแรนซัมแวร์ออกไป ซึ่งน่าจะมาจากมัลแวร์ประเภทแรนซัมแวร์นี้หาซื้อได้ไม่ยากตามตลาดมืด ปัจจุบัน อาชญากรไซเบอร์เพียงเช่าบ็อตเน็ตก็ส่งสแปมได้ และยังสามารถใช้บริการ Ransomware-as-a-Service ได้ตามต้องการ หมายความว่า ผู้ร้ายก็ไม่จำเป็นจะต้องเป็นแฮคเกอร์ตามที่เราเคยรู้จักกันมาแต่เดิม และอาจจะไม่ต้องรู้โค้ดด้วยซ้ำไป แม้ในปี 2017 ปริมาณสแปมก็ไม่มีทีท่าว่าจะลดน้อยลงแต่อย่างใด” ดาร์ย่า กูดโคว่า ผู้เชี่ยวชาญด้านวิเคราะห์สแปม แคสเปอร์สกี้ แลป

from:https://www.enterpriseitpro.net/?p=6034

Advertisements

บทสรุปงาน RSA กับ 5 แนวทางสำคัญในการรับมือกับ Ransomware

ด้วยการผสานแนวทางทั้งจากสามัญสำนึกในการใช้งานตามปกติ (ที่คนปกติควรทำกัน), การสำรองข้อมูล, การวางแนวป้องกันเชิงรุก, และการใช้ทูลกำจัดแรนซั่มแวร์แบบอัตโนมัติ ถือเป็นหัวใจหลักในการสู้รบปรบมือกับการเติบโตอย่างรุนแรงของภัยแรนซั่มแวร์

ดังนั้น ในงานประชุมความปลอดภัย RSA ที่ซานฟรานที่ผ่านมา จึงมีการจัดเสวนาเกี่ยวกับแรนซั่มแวร์อย่างเข้มข้น ซึ่งสรุปออกมาเป็นกลยุทธ์ในการรับมือกับภัยร้ายดังกล่าว ฉบับย่อและเรียบบง่ายที่สุดดังต่อไปนี้

1. เข้าใจความต่างของศัตรู อย่างมีสไตล์ ด้วยการเตรียมพร้อมไม่ว่าจะเป็น การอัพเดตเป็นประจำ การใช้เธิร์ดปาร์ตี้สำหรับไฟร์วอลล์และแอนติมัลแวร์แทนที่จะพึ่งแต่ของฟรีที่มากับวินโดวส์ที่มักไม่ค่อยได้เรื่อง พยายามปิดแฟลชเวลาท่องเน็ต ปิดมาโครโดยดีฟอลต์ มีสติก่อนคลิกลิงค์ต่างๆ ออกห่างจากมุมมืดที่มักล่อหลอกคุณไปยังอบายมุขอบายภูมิและนรกกินหัวต่างๆ (เช่น เว็บอย่างว่า) มีการแนะนำโซลูชั่นแอนติมัลแวร์ที่สำคัญ ทั้งแบบฟรีและไม่ฟรี เช่น Malwarebytes 3.0, RansomFree, หรือ Anti-Ransomware Tool ของ Bitdefender เป็นต้น

2. อย่างน้อยก็ต้องแบ๊กอัพ เช่น ใช้สตอเรจบนคลาวด์อย่าง Box, OneDrive, หรือ Google Drive เป็นต้น รวมทั้งต้องรักษาความถี่ในการสำรองข้อมูลให้เหมาะสม (แล้วระวังด้วยว่า อาจจะเผลออัพไฟล์ที่ติดเชื้อขึ้นคลาวด์ไปด้วยโดยไม่รู้ตัว ถ้าไม่รีบจัดการแต่เนิ่นๆ) นอกจากนี้ก็อาจจะลงทุนกับเอ็กซ์เทอนอล ซึ่งเดี๋ยวนี้ราคาถูกลงมาก ความจุก็เพิ่มขึ้นมากเป็นระดับเทอราไบต์ แล้วอย่าลืมถอดเก็บออกไม่เชื่อมต่อตลอดจนไวรัสแพร่เข้าไปในส่วนแบ๊กอัพไปด้วย มีคำแนะนำจาก Avast อีกว่า ถ้าคุณไม่รีบมากที่จะใช้ไฟล์ที่โดนล็อกอยู่นั้น ให้ปล่อยรอเวลาที่ในอนาคตจะมีโซลูชั่นจากพวกแอนติไวรัสในท้องตลาดที่มักขยันพัฒนาทูลไขรหัสไฟล์ของแรนซั่มแวร์ใหม่ๆ ออกมาอยู่เสมอ

3. รู้วิธีจัดการเมื่อโดนแรนซั่มแวร์เล่นซะแล้ว เมื่อเครื่องคุณถูกพาไปยังหน้าแจ้งเตือน ที่สร้างความหวาดกลัวให้เสมือนคุณเป็นอาชญากรเสียเอง เช่น ฉันเป็นเจ้าหน้าที่ FBI ที่ตรวจพบว่าเครื่องของคุณเกี่ยวข้องกับภาพอนาจารของเด็กเยาวชน ก็อย่าเพิ่งตื่นเต้นหวาดกลัวจนสติกระเจิง อย่างน้อยถ้ากลัวมากก็ติดต่อหน่วยงานโดยตรงแบบทางการไปก่อน ไม่ว่าจะเป็นตำรวจ หรือศูนย์รับเรื่องร้องเรียนเกี่ยวกับอาชญากรรมทางอินเทอร์เน็ตของ FBI

จากนั้นจึงค่อยๆ ตีกรอบจำกัดบริเวณของปัญหา ด้วยการสำรวจเบื้องต้นว่ามีไฟล์หรือไดเรกทอรีใดที่โดนเข้ารหัสไปแล้ว (ถ้าพบการเปลี่ยนชื่อไฟล์ให้ดูเหมือนโดนของไปแล้ว ลองพยายามเปลี่ยนชื่อกลับ เพราะมีแรนซั่มแวร์บางตัวหลอกสตรอเบอรี่ว่าชั้นเข้ารหัสเธอแล้วนะจ๊ะ แต่แค่เปลี่ยนชื่อเปลี่ยนสกุลไฟล์ให้ดูน่าตกใจเท่านั้น) เมื่อรู้ขอบเขตความเสียหายแล้ว จากนั้นก็ระบุหาตัวตนของแรนซั่มแวร์และวิธีกำจัดออก ถ้าคุณมีโซลูชั่นแอนติมัลแวร์อยู่แล้ว ให้เปิดการสแกนฮาร์ดไดรฟ์ แล้วติดต่อผู้จำหน่ายเพื่อหาทางแก้ไข นอกจากนี้อาจจะลองสำรวจหาทูลกำจัดแรนซั่มแวร์จากเว็บ https://www.nomoreransom.org/crypto-sheriff.php หรือเว็บอย่าง Intel, Interpol, หรือแม้แต่ Kaspersky Lab เป็นต้น

4. ถ้าทุกวิธีใช้ไม่ได้ผล ลองเจรจาด้วยภาษาเซลล์ ถ้าสุดท้ายก็โดนเล่นงานซะแล้ว ทำให้ตกอยู่ในที่นั่งที่ไม่มีตัวเลือกให้มากนัก ได้แค่ จ่าย หรือยอมเสียทุกอย่างไป นั่นคือถ้าคุณไม่สามารถกำจัดแรนซั่มแวร์ดังกล่าวได้แล้ว ก็ต้องมานั่งประเมินว่ามูลค่าความเสียหายที่เกิดจากการสูญเสียข้อมูลดังกล่าวคุ้มขนาดไหน รวมถึงคุณต้องการใช้ข้อมูลดังกล่าวเร็วมากน้อยขนาดไหน แม้ผลการสำรวจเมื่อปีที่แล้วโดย Datto พบว่ากว่า 42 เปอร์เซ็นต์ของกลุ่มธุรกิจขนาดเล็ก ยอมจ่ายเพื่อแลกกับการได้ข้อมูลกลับคืนมา แต่ก็อย่าลืมว่าเจ้าของการโจมตีแรนซั่มแวร์นั้นมักจะมีตัวตน มีจิตใจความเป็นมนุษย์ปุถุชน ที่มักเปิดใจยอมรับการพูดคุยการเจรจาบ้างไม่มากก็น้อย

แน่นอนว่าจะไปขอร้องโอดโอยขอคีย์ถอดรหัสฟรีๆ คงเป็นไปได้ยาก แต่คุณก็อาจใช้ทักษะการพูดจาภาษาเซลล์เพื่อลดความเสียหายลงได้ เช่น ลดค่าไถ่ หรือแม้แต่การขอให้อาชญากรแสดงความมั่นใจหรือหลักฐานว่า สามารถถอดรหัสคืนข้อมูลให้คุณได้จริง (ซึ่งจากผลสำรวจอีกเช่นกันที่พบว่า มีถึง 1 ใน 4 ของผู้ที่ยอมจ่ายค่าไถ่ ที่ไม่ได้ข้อมูลกลับคืนมา) อย่าลืมการตระหนักว่า การวางระบบป้องกัน, คัดลอกทำซ้ำ, และเก็บสำรองข้อมูลนั้น เป็นสิ่งสำคัญมากที่ทำให้คุณไม่ต้องจนตรอกจนถึงขนาดนี้ อย่างน้อยถ้าคุณมีแบ๊กอัพไว้ สิ่งที่คุณต้องทำก็เพียงแค่รีเซ็ตพีซีใหม่ทั้งหมด ติดตั้งแอพใหม่ แล้วกู้ข้อมูลกลับคืนจากที่สำรองไว้เท่านั้น

5. การป้องกันไว้ก่อนคือสิ่งที่ดีที่สุด จากการที่แรนซั่มแวร์สามารถติดเชื้อบนพีซีของคุณได้หลายช่องทางมาก แม้แต่จากแอพใหม่ๆ, เว็บเล่นเกมที่ใช้แฟลช, หรือการเผลอคลิกแอดโฆษณาอันตราย ภัยร้ายของแรนซั่มแวร์ทำให้เราตระหนักได้ว่า ผู้คนภายนอกอาจไม่ประสงค์ดีกับเราได้ตลอด (เช่น แกล้งแนะนำเว็บโหลดคูปองลดราคา ที่ล่อให้โหลดไวรัสแทน) และภัยร้ายมักเข้ามาหาได้ทุกเวลา ถ้าคุณให้ความสำคัญกับพีซีหรืออุปกรณ์ไอทีเสมือนเป็นส่วนหนึ่งของบ้าน ของทรัพย์สินสุดที่รัก ที่ต้องหมั่นทำความสะอาด, บำรุงรักษา, และตรวจตราลงกลอนรักษาความปลอดภัยอยู่เสมอ คุณก็สามารถมั่นใจได้ระดับหนึ่งทีเดียวว่าได้เตรียมรับมือกับกรณีภัยร้ายที่อาจเกิดขึ้นได้อย่างสุดความสามารถแล้ว

ที่มา : http://www.networkworld.com/article/3180066/security/how-to-remove-ransomware-use-this-battle-plan-to-fight-back.html

from:https://www.enterpriseitpro.net/?p=6003

เช็คให้ดีก่อนซื้อ !! พบ Adware/Ransomware ถูกติดตั้งบนสมาร์ทโฟน Android

Check Point ผู้ให้บริการโซลูชันความมั่นคงปลอดภัยยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนองค์กรทั่วไปถึงการสั่งซื้อสมาร์ทโฟน Android มาใช้งาน หลังพบว่ามีสมาร์ทโฟน 38 เครื่องของ 2 บริษัทขนาดใหญ่ถูกแอบติดตั้ง Adware และ Ransomware มาจากการสั่งซื้อ

Check Point ระบุว่า มัลแวร์ที่พบบนสมาร์ทโฟนส่วนใหญ่คือ Loki Adware/Infostealer และมีบางส่วนที่เป็น Slocker Ransomware โดยมัลแวร์ Loki ช่วยให้แฮ็คเกอร์สามารถเข้าถึงอุปกรณ์สมาร์ทโฟนโดยมีสิทธิ์เป็น Root และเข้าควบคุมได้แม้แต่ Zygote ซึ่งเป็นหนึ่งในโปรเซสหลักของระบบปฏิบัติการ Android ในขณะที่ Slocker จะทำการล็อกอุปกรณ์โดยใช้อัลกอริธึมการเข้ารหัสแบบ AES และติดต่อกับ C&C Server ผ่านเครือข่าย Tor

2 บริษัทที่พบว่าเป็นเหยื่อของการซื้อสมาร์ทโฟนนี้ ได้แก่ บริษัททางด้านโทรคมนาคม และบริษัทเทคโนโลยีนานาชาติ โดยมีสมาร์ทโฟนรวม 38 เครื่องที่มีมัลแวร์แฝงตัวอยู่ ที่สำคัญคือ มัลแวร์ไม่ได้ถูกฝังมากับแอพพลิเคชันประเภทเดียว แต่กระจายมากับแอพพลิเคชันเกือบ 20 แอพ

  • air.fyzb3
  • com.android.deketv
  • com.android.ys.services
  • com.androidhelper.sdk
  • com.armorforandroid.security
  • com.baycode.mop
  • com.changba
  • com.ddev.downloader.v2
  • com.example.loader
  • com.fone.player1
  • com.google.googlesearch
  • com.iflytek.ringdiyclient
  • com.kandian.hdtogoapp
  • com.lu.compass
  • com.mobogenie.daemon
  • com.mojang.minecraftpe
  • com.sds.android.ttpod
  • com.skymobi.mopoplay.appstore
  • com.yongfu.wenjianjiaguanli

นอกจากนี้ มัลแวร์ยังถูกติดตั้งมาบนสมาร์ทโฟนหลายรุ่น หลายยี่ห้อ ไม่ได้พุ่งเป้าที่เครื่องใดเครื่องหนึ่ง ดังนี้

  • Asus Zenfone 2 (5 เครื่อง)
  • Galaxy A5 (2 เครื่อง)
  • Galaxy Note 2 (2 เครื่อง)
  • Galaxy Note 3
  • Galaxy Note 4 (3 เครื่อง)
  • Galaxy Note 5
  • Galaxy Note 8
  • Galaxy Note Edge
  • Galaxy S4 (5 เครื่อง)
  • Galaxy S7
  • Galaxy Tab 2 (2 เครื่อง)
  • Galaxy Tab S2
  • LG G4
  • Lenovo A850
  • LenovoS90 (2 เครื่อง)
  • Nexus 5 (2 เครื่อง)
  • Nexus 5X
  • Oppo N3
  • OppoR7 plus
  • Xiaomi Mi 4i
  • Xiaomi Redmi
  • ZTE x500
  • Vivo X6 plus

อย่างไรก็ตาม ยังไม่ทราบแน่ชัดว่ามัลแวร์ที่แฝงมานี้ ถูกติดตั้งมาจากโรงงานหรือถูกติดตั้งมาระหว่างทางจาก Reseller รวมไปถึงไม่ทราบด้วยว่าแฮ็คเกอร์ตั้งใจโจมตีระบบของ 2 บริษัทนี้โดยตรง หรือเพียงแค่ส่วนหนึ่งของแคมเปญที่ใช้โจมตีหลายๆ บริษัท

ที่มา: https://www.bleepingcomputer.com/news/security/android-adware-and-ransomware-found-preinstalled-on-high-end-smartphones/

from:https://www.techtalkthai.com/malware-found-preinstalled-on-android-smartphones/

รายงานระบุภัยคุกคาม Ransomware และ BEC เป็นภัยที่น่ากลัวมากในปี 2559

ทุกๆ ปี Trend Micro จะมีการวิเคราะห์ข้อมูลอันตรายต่างๆ ในปีที่ผ่านมา โดยรับข้อมูลจากกลุ่มลูกค้าทั่วโลก แล้วเผยแพร่ออกมาในรูปของรายงานที่แสดงถึงแนวโน้มของอันตรายทางไซเบอร์ที่เราจะได้เจอในปีถัดไป ซึ่งสรุปประเด็นสำคัญได้อยู่สองรายการ ได้แก่

แรนซั่มแวร์ ซึ่งถือเป็นอันตรายที่ขึ้นอันดับสูงสุดทั้งด้านปริมาณการโจมตี และเงินที่ทำได้โดยอาชญากรไซเบอร์ทั้งหลายในปี 2559 ที่ผ่านมา โดยปีที่แล้วพบแรนซั่มแวร์ตัวใหม่มากถึง 247 สายพันธุ์ เมื่อเทียบกับแค่ 29 สายพันธุ์ในปี 2558 รวมทั้งแรนซั่มแวร์มีการเปลี่ยนเทคนิคโจมตี ไม่ว่าจะเป็นวิธีการติดเชื้อบนเครื่องผู้ใช้, การเรียกร้องค่าไถ่ที่แปลกออกไป, หรือแม้แต่วิธีรีดเงินจากเหยื่อที่ดูแหวกแนวอย่างไม่เคยมีมาก่อน โดยอีเมล์ยังถือเป็นช่องทางติดเชื้อแรนซั่มแวร์อันดับหนึ่ง (คิดเป็น 79 เปอร์เซ็นต์ของเหยื่อทั้งหมด) แต่เราก็เริ่มเห็นการใช้ Exploit Kit เพื่อนำแรนซั่มแวร์มาอยู่ใน Kit ได้ตลอดเวลา หรือแม้แต่การใช้ URL อันตรายในการแพร่กระจาย นอกจากนี้ค่าไถ่ยังได้เฟ้อขึ้นจาก 1 – 2 บิทคอยน์ ขึ้นมาถึง 100 บิทคอยน์ด้วย

หนทางในการป้องกันแรนซั่มแวร์ที่ยั่งยืน คือการใช้โซลูชั่นความปลอดภัยที่เริ่มจากการยกระดับความปลอดภัยทั้งการส่งข้อความและการท่องเว็บ รวมทั้งการจัดการพฤติกรรมการใช้งานบนเอนด์พอยต์ และใช้ความสามารถใหม่อย่าง Machine Learning เป็นต้น

อีกหนึ่งอันตรายที่มาแรงไม่แพ้กันคือ การหลอกลวงทางธุรกิจผ่านทางอีเมล์หรือ Business Email Compromise (BEC) ที่เพิ่งบูมเมื่อปีที่ผ่านมา แต่ก็กระจายไปถึง 92 ประเทศทั่วโลกแล้ว BEC เป็นการใช้การส่งอีเมล์อย่างง่ายไปหาพนักงานการเงิน เพื่อร้องขอให้โอนเงินมายังบัญชีของตัวเอง โดยอีเมล์ที่ส่งไปอยู่ในรูปที่น่าเชื่อว่ามาจากผู้มีอำนาจในองค์กร เช่น ซีอีโอ หรือประธานบริษัทเป็นต้น ข้อสังเกตคืออีเมล์ดังกล่าวจะไม่มีไฟล์แนบหรือ URL ฝังมาให้หวาดกลัวแบบแต่ก่อน

ที่มา : http://blog.trendmicro.com/takeaways-2016-threat-landscape/

from:https://www.enterpriseitpro.net/?p=5869

Emsisoft แจกฟรี Decryptor สำหรับ Ransomware ตระกูล CryptON

Fabian Wosar CTO แห่ง Emsisoft ได้ออกมาเปิดเผยถึงตัวถอดรหัส Ransomware ตระกูล CrytpON ให้สามารถโหลดไปใช้งานกันได้ฟรีๆ สำหรับผู้ที่ถูก Ransomware โจมตีและเข้ารหัสไฟล์จนมีนามสกุลดังต่อไปนี้

  • .id-_locked
  • .id-_locked_by_krec
  • .id-_locked_by_perfect
  • .id-_x3m .id-_r9oj
  • .id-_garryweber@protonmail.ch
  • .id-_steaveiwalker@india.com_
  • .id-_julia.crown@india.com_
  • .id-_tom.cruz@india.com_
  • .id-_CarlosBoltehero@india.com_
  • .id-_maria.lopez1@india.com_

 

โดยผู้ที่ติด CryptON Ransomware จะพบกับหน้าจอตัวอย่างดังนี้

Credit: https://www.bleepingcomputer.com/news/security/emsisoft-releases-a-decryptor-for-the-crypton-ransomware/

CryptON นี้เริ่มแพร่ระบาดเมื่อปลายเดือนกุมภาพันธ์ที่ผ่านมา และเริ่มมีสายพันธุ์ที่หลากหลายดังนามสกุลจำนวนมากที่เกิดขึ้นมานั้น

ทั้งนี้ทาง Emsisoft ได้เปิดให้เราโหลด CryptON Decryptor ไปใช้งานกันได้ฟรีๆ ที่ https://decrypter.emsisoft.com/download/crypton ครับ

 

ที่มา: https://www.bleepingcomputer.com/news/security/emsisoft-releases-a-decryptor-for-the-crypton-ransomware/

from:https://www.techtalkthai.com/emsisoft-releases-free-crypton-ransomware-decryptor/

Best Practices สำหรับลดความเสี่ยงของ Ransomware บนฐานข้อมูล

ช่วงต้นปีที่ผ่านมา มีข่าวฐานข้อมูล MongoDB กว่า 27,000 แห่งถูกเจาะ ข้อมูลถูกขโมยออกไปเพื่อเรียกค่าไถ่เป็นเงิน 0.2 Bitcoin (ประมาณ 8,200 บาท) และเมื่อสัปดาห์ที่ผ่านมานี้เอง การโจมตีก็แพร่กระจายมายัง MySQL ด้วยเช่นกัน แสดงให้เห็นว่าแฮ็คเกอร์เริ่มพุ่งเป้าการเจาะระบบฐานข้อมูลแล้วเรียกค่าไถ่มากขึ้น บทความนี้จะได้รวม Best Practices สำหรับปกป้องฐานข้อมูลของตนไม่ให้ตกเป็นเหยื่อของ Ransomware

Credit: Vector3D/ShutterStock

รู้จักวิธีโจมตีก่อน

การโจมตีฐานข้อมูลเรียกค่าไถ่มักเกิดจาก 2 กรณี คือ

  • แฮ็คเกอร์โจมตีที่เครื่อง Client ซึ่งเปราะบางที่สุดในระบบ โดยใช้การส่งอีเมล Phishing เพื่อหลอกให้ผู้ใช้เปิดไฟล์แนบหรือเข้าถึงเว็บไซต์ที่มีมัลแวร์แฝงอยู่ เมื่อเข้ายึดเครื่อง Client ได้แล้ว แฮ็คเกอร์จะค่อยๆ แทรกซึมเข้าไปในเครือข่ายจนกว่าจะยกระดับสิทธิ์ตัวเองให้เข้าถึงระบบฐานข้อมูลได้ จากนั้นจึงเข้ารหัส ขโมย หรือลบข้อมูลเพื่อเรียกค่าไถ่
  • แฮ็คเกอร์โจมตีเซิร์ฟเวอร์ฐานข้อมูลโดยตรง โดยอาจผ่านทางเว็บแอพพลิเคชันที่เชื่อมต่ออินเทอร์เน็ต เช่น SQL Injection หรือในกรณีที่เว็บและฐานข้อมูลอยู่บนเซิร์ฟเวอร์เครื่องเดียวกันยิ่งทำให้สามารถโจมตีได้ง่ายกว่าเดิม เพียงแค่หาช่องโหว่ของเซิร์ฟเวอร์เจอก็อาจจะยึดระบบฐานข้อมูลได้ทันที

ป้องกันและรับมือกับการโจมตีได้อย่างไร

การปกป้องระบบฐานข้อมูลให้มั่นคงปลอดภัยสามารถทำได้ไม่ยากนัก โดยอาศัยอุปกรณ์และโซลูชันบนระบบเครือข่ายที่มีอยู่ก็สามารถลดความเสี่ยงลงได้ ดังนี้

ปกป้องผู้ใช้

  • จัดอบรมเพื่อสร้างความตระหนักด้านความมั่นคงปลอดภัย โดยเฉพาะอย่างยิ่งการตรวจสอบและรับมือกับการโจมตีแบบ Phishing
  • ยกเลิกการอนุญาตให้แชร์ข้อมูลระหว่างผู้ใช้แบบ Peer-to-peer
  • วางแผนการสำรองข้อมูลไปเก็บไว้ใน External Drives หรือ Virtual Drives
  • ติดตั้งโปรแกรม Antivirus ที่เชื่อถือได้ลงบนเครื่อง Client เพื่อป้องกัน Ransowmare

ปกป้องเว็บไซต์

  • ไม่ติดตั้งเซิร์ฟเวอร์ที่ต้องเชื่อมต่อกับภายนอกและระบบฐานข้อมูลหรือระบบจัดเก็บข้อมูลไว้ในเครื่องเดียวกัน
  • ทำ Segmentation ระหว่างเซิร์ฟเวอร์ที่ให้บริการเว็บและเซิร์ฟเวอร์ฐานข้อมูลอย่างเหมาะสม
  • คอยติดตามและอัปเดตแพทช์บนเซิร์ฟเวอร์ฐานข้อมูลและเซิร์ฟเวอร์ที่ใช้จัดเก็บข้อมูลอย่างสม่ำเสมอ
  • หมั่นตรวจสอบว่าฝ่าย IT มีแผนการสำรองข้อมูลสำหรับระบบฐานข้อมูลและระบบแชร์ไฟล์หรือไม่
  • พิจารณาการสำรองข้อมูลหรือไฟล์สำคัญบนระบบ Cloud หรือ DR-as-a-Service

เพิ่มการป้องกันระดับสูง

  • มีการจัดทำแผนตอบสนองต่อสถานการณ์ผิดปกติ เพื่อเตรียมรับมือกับเหตุการณ์ไม่พึงประสงค์ที่อาจจะเกิดขึ้นในอนาคต ซึ่งช่วยให้ผู้ที่เกี่ยวข้องสามารถตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและเป็นระบบ
  • ศึกษาและหาข้อมูล NoMoreRansom.org ซึ่งเป็นเว็บที่บริษัทซอฟต์แวร์ Antivirus หน่วยงานบังคับใช้กฏหมาย และนักวิจัยด้านความมั่นคงปลอดภัยร่วมกันจัดตั้งขึ้นเพื่ออัปเดตข่าวสาร วิธีรับมือกับ Ransomware และรวมเครื่องมือสำหรับใช้ปลดรหัส
  • จ่ายหรือไม่จ่ายค่าไถ่ ? เป็นคำถามที่ตอบได้ยาก ผู้เชี่ยวชาญหลายคนให้ความเห็นตรงกันว่าอย่าจ่ายค่าไถ่ เพราะเหมือนเป็นการสนับสนุนแฮ็คเกอร์ให้ได้ใจ และมีเงินทุนสำหรับพัฒนามัลแวร์ให้แข็งแกร่งยิ่งขึ้น อย่างไรก็ตาม ถ้าเราตกเป็นเหยื่อของ Ransomware จริงๆ คงตอบได้ยาก แต่พึงระลึกไว้เสมอว่า ไม่มีอะไรการันตีได้ว่าพอจ่ายค่าไถ่แล้วจะได้ข้อมูลคืน

ดังนั้น วิธีการที่ดึที่สุดในการรับมือกับ Ransomware คือ การป้องกันไว้ก่อน โดยเฉพาะการสำรองข้อมูลอย่างสม่ำเสมอ

ที่มา: http://www.darkreading.com/attacks-breaches/best-practices-for-lowering-ransomware-risk/a/d-id/1328294

from:https://www.techtalkthai.com/best-practices-for-lowering-ransomare-risk/

ESET เผย 8 แนวโน้มสำคัญสำหรับ Ransomware บน Android

ESET ผู้ให้บริการซอฟต์แวร์​ Anti-malware ชื่อดัง ออกมาเปิดเผยถึงรายงาน Trends in Android Ransomware ความยาว 18 หน้า ซึ่งระบุถึงวิวัฒนาการของ Ransomware ตลอดทั้งปี 2016 ที่ผ่านมาบนระบบปฏิบัติการ Android เพื่อให้ผู้ดูแลระบบนำไปศึกษาเพื่อให้สามารถหาวิธีรับมือได้อย่างมีประสิทธิภาพ

เนื้อหาสำคัญของรายงานสรุปได้ ดังนี้

  • ปี 2016 Android Ransomware เริ่มเปลี่ยนเป้าหมายจากการโจมตีในสหรัฐฯ ไปเป็นภูมิภาคเอเชีย และมีอัตราการเติบโตเพิ่มขึ้นถึง 50% เมื่อเทียบกับปี 2015
  • Android Ransomware มีแนวโน้มที่จะแพร่กระจายตัวผ่านทางลิงค์อันตรายที่ฝังมากับอีเมลสแปม
  • เกือบทุก Android Ransomware ที่พบในปีที่ผ่านมา ถูกติดตั้งจากแอพพลิเคชันเถื่อนที่ไม่ได้มาจาก Google Play Store ยกเว้นเพียงแค่ Charger Ransomware ตัวเดียวเท่านั้น
  • แฮ็คเกอร์ผู้พัฒนา Ransomware เริ่มเข้ารหัส Payload เพื่อหลีกเลี่ยงการตรวจจับ และซ่อน Payload ดังกล่าวไว้ใน Asset Folder ของแอพพลิเคชัน
  • นอกจากจะเข้ารหัสไฟล์และล็อกหน้าจอมือถือแล้ว Android Ransowmare ยังเริ่มรองรับการทำงานอย่างอื่น เช่น ลบข้อมูลบนอุปกรณ์, รีเซ็ตรหัส PIN, เปิด URL บนเบราเซอร์, ติดตาม GPS และขโมยข้อมูลออกมา
  • ส่วนใหญ่ Android Ransomware ติดต่อกับ C&C Server ผ่าน HTTP แต่ก็มีบางกรณีที่ติดต่อผ่านทาง Google Cloud Messaging, Baidu Cloud Push, Tor และ XMPP
  • แฮ็คเกอร์นิยมซ่อน Ransomware ไว้ในแอพพลิเคชันจำพวก Adult Apps, Antivirus Apps หรือ Afobe Flash Player
  • Android Ransomware ชื่อ Jisut มีอัตราการเติบโตเพิ่มขึ้นถึง 2 เท่าในปี 2016 หลังจากที่ Jisut เริ่มแพร่กระจายเข้าสู่ภูมิภาคเอเชีย โดยเฉพาะประเทศจีน

นอกจากนี้ ESET ยังเขียนบรรยายสรุปการทำงานของ Android Ransomware ยอดนิยมในปัจจุบัน ไม่ว่าจะเป็น
Android Defender, Simplelocker, Lockerpin, Jisut, Koler and Locker (หรือ Police ransomware) และ Charger

ดาวน์โหลดรายงานฉบับเต็ม [PDF]

ที่มา: https://www.bleepingcomputer.com/news/security/8-trends-in-android-ransomware-according-to-eset/

from:https://www.techtalkthai.com/8-trends-in-android-ransomware-by-eset/