3AM Ransomware
3AM Ransomware โดดเด่นในฐานะภัยคุกคามที่ชั่วร้ายและเป็นอันตรายเป็นพิเศษ แรนซั่มแวร์นี้เป็นที่รู้จักในด้านวิธีการทำงานที่โดดเด่น และสร้างความหายนะให้กับบุคคลและองค์กรจำนวนนับไม่ถ้วน
3AM Ransomware มีชื่อเสียงในด้านความสามารถในการเข้ารหัส เมื่อแทรกซึมเข้าไปในระบบของเหยื่อ มันจะเข้ารหัสไฟล์จำนวนมากอย่างลับๆ ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงได้ เพื่อทำเครื่องหมายการแสดงตนและยืนยันการควบคุมข้อมูลของเหยื่อ มันจะเพิ่มนามสกุลไฟล์ ".threeamtime" ต่อท้ายไฟล์ที่เข้ารหัส ตัวอย่างเช่น ไฟล์เดิมชื่อ "document.docx" จะถูกแปลงเป็น "document.docx.threeamtime" ส่วนขยายที่โดดเด่นนี้ส่งสัญญาณไปยังเหยื่อว่าไฟล์ของพวกเขาอยู่ภายใต้การควบคุมของผู้ให้บริการแรนซัมแวร์
หมายเหตุค่าไถ่: RECOVER-FILES.txt
เพื่อให้แน่ใจว่าเหยื่อตระหนักดีถึงสถานการณ์เลวร้าย 3AM Ransomware จึงส่งข้อความเรียกค่าไถ่ไปยังระบบที่ถูกบุกรุก หมายเหตุนี้ ซึ่งโดยทั่วไปมีชื่อว่า "RECOVER-FILES.txt" ทำหน้าที่เป็นเครื่องเตือนใจอันน่าสยดสยองเกี่ยวกับสถานการณ์ตัวประกันข้อมูล ในหมายเหตุ ผู้กระทำผิดเรียกร้องค่าไถ่เพื่อรับคีย์ถอดรหัสที่จำเป็นในการเข้าถึงไฟล์ที่เข้ารหัสอีกครั้ง
เพื่อรักษาความเป็นนิรนามและหลีกเลี่ยงการบังคับใช้กฎหมาย 3AM Ransomware จะมอบที่อยู่เว็บไซต์ Tor ให้กับเหยื่อในบันทึกค่าไถ่ Tor ย่อมาจาก "The Onion Router" เป็นเครือข่ายที่ออกแบบมาเพื่อไม่ให้ระบุชื่อการเข้าชมเว็บ ทำให้ยากอย่างยิ่งในการติดตามตำแหน่งและตัวตนของผู้ใช้ เหยื่อจะได้รับคำสั่งให้เข้าถึงเว็บไซต์นี้โดยใช้เบราว์เซอร์ของ Tor ซึ่งพวกเขาสามารถค้นหาคำแนะนำเพิ่มเติมเกี่ยวกับวิธีการชำระค่าไถ่และรับรหัสถอดรหัส การใช้ทอร์เพื่อการสื่อสารเน้นย้ำถึงลักษณะที่ซับซ้อนของภัยคุกคามและอาชญากรไซเบอร์เต็มใจที่จะรักษาความเป็นส่วนตัวของตนไว้เป็นเวลานานเพียงใด
ความท้าทายในการกู้คืนข้อมูล: การลบ Shadow Volume Copy และการยกเลิกกระบวนการ
ลักษณะที่ร้ายกาจที่สุดประการหนึ่งของ 3AM Ransomware คือความพยายามที่จะทำให้การกู้คืนข้อมูลมีความท้าทายอย่างยิ่งสำหรับผู้ที่ตกเป็นเหยื่อ เพื่อให้บรรลุเป้าหมายนี้ ต้องใช้เทคนิคสำคัญ 2 ประการ:
ก. การลบ Shadow Volume Copy: ระบบปฏิบัติการ Windows จะรักษาสำเนาของไฟล์และข้อมูลในลักษณะที่เรียกว่า Shadow Volume Copy สำเนาเหล่านี้สามารถใช้เพื่อกู้คืนไฟล์ในกรณีที่ข้อมูลสูญหาย อย่างไรก็ตาม 3AM Ransomware พยายามลบสำเนาเหล่านี้อย่างจริงจัง เพื่อให้มั่นใจว่าเหยื่อจะไม่มีทางกู้คืนข้อมูลโดยไม่ต้องจ่ายค่าไถ่
ข. การยุติกระบวนการ: นอกเหนือจากการลบ Shadow Volume Copies แล้ว แรนซัมแวร์ยังใช้มาตรการเพื่อหยุดกระบวนการที่สำคัญบางอย่างอีกด้วย การหยุดกระบวนการเหล่านี้ทำให้เหยื่อเข้าถึงเครื่องมือหรือบริการที่อาจช่วยในการกู้คืนหรือกำจัดแรนซัมแวร์ได้ยากยิ่งขึ้น
3AM Ransomware เป็นภัยคุกคามที่น่าเกรงขามซึ่งผสมผสานเทคนิคการเข้ารหัสขั้นสูงเข้ากับการใช้ Tor เพื่อการสื่อสารแบบไม่เปิดเผยตัวตน มันอาศัยช่องโหว่ของทั้งบุคคลและองค์กร ทำให้เหยื่อมีทางเลือกที่เลวร้าย: จ่ายค่าไถ่หรือเสี่ยงต่อการสูญเสียข้อมูลของพวกเขาตลอดไป นอกจากนี้ ความพยายามในการลบ Shadow Volume Copies และขัดขวางกระบวนการที่สำคัญยังขยายขอบเขตความท้าทายที่เหยื่อต้องเผชิญในการกู้คืนไฟล์ของพวกเขา
เนื่องจากการโจมตีของแรนซัมแวร์ยังคงพัฒนาอย่างต่อเนื่อง บุคคลและองค์กรจึงจำเป็นต้องจัดลำดับความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง รวมถึงการสำรองข้อมูลปกติ การแพตช์ระบบ และการฝึกอบรมพนักงาน เพื่อรับรู้และบรรเทาภัยคุกคามเหล่านี้ ท้ายที่สุดแล้ว มาตรการเชิงรุกยังคงเป็นการป้องกันที่ดีที่สุดต่อโลกแห่งความมืดของแรนซัมแวร์ รวมถึง 3AM Ransomware ที่ร้ายกาจด้วย
บันทึกค่าไถ่ที่ 3AM Ransomware ส่งถึงเหยื่อมีข้อความว่า:
'Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of life", the backups disappeared. But we can correct this very quickly and return all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their damage and the impossibility of recovery. We are not recommended to you to do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive data from your local network: financial documents; personal information of your employees, customers, partners; work documentation, postal correspondence and much more.
We prefer to keep it secret, we have no goal to destroy your business. Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how they will be used.
Please contact us as soon as possible, using Tor-browser:
-
Access key:'
