Bash 2.0 Ransomware
แรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามที่สร้างความเสียหายมากที่สุดที่บุคคลและองค์กรต้องเผชิญ การบุกรุกที่ประสบความสำเร็จเพียงครั้งเดียวสามารถถอดรหัสไฟล์ของคุณ หยุดชะงักการดำเนินธุรกิจ และนำข้อมูลสำคัญไปตกอยู่ภายใต้การควบคุมของนักรีดไถ การป้องกันเชิงรุก การควบคุมความปลอดภัยแบบหลายชั้น การเฝ้าระวังของผู้ใช้ และการสำรองข้อมูลที่เชื่อถือได้ ย่อมมีค่าใช้จ่ายน้อยกว่าการจ่ายเงินให้อาชญากร (แต่ก็ยังไม่ได้รับข้อมูลของคุณกลับคืนมา) แรนซัมแวร์ Bash 2.0 หรือที่รู้จักกันในชื่อ Bash Red เป็นเครื่องเตือนใจที่ทันท่วงทีว่าครอบครัวที่กำลังเติบโตยังคงพัฒนาโค้ดโจมตีที่ผ่านการพิสูจน์แล้ว พร้อมกับพัฒนากลยุทธ์กดดันเหยื่ออย่างต่อเนื่อง
สารบัญ
พบกับ BASH 2.0 (BASH RED)
นักวิจัยค้นพบ Bash 2.0 ระหว่างการสำรวจกิจกรรมมัลแวร์ใหม่ๆ ภัยคุกคามนี้สร้างขึ้นบนฐานโค้ดแรนซัมแวร์ Chaos ซึ่งเป็นเฟรมเวิร์กที่ถูกนำมาใช้ซ้ำในมัลแวร์หลายตัว การใช้ประโยชน์จาก Chaos ช่วยให้ผู้โจมตีได้เปรียบ: การเข้ารหัสหลัก การจัดการไฟล์ และรูทีนบันทึกค่าไถ่มีอยู่แล้ว และสามารถปรับแต่งสำหรับแคมเปญใหม่ๆ ได้ Bash 2.0 ใช้ความสามารถที่สืบทอดมาเหล่านี้เพื่อล็อกข้อมูลและเรียกค่าไถ่
สิ่งที่เกิดขึ้นกับไฟล์ของคุณ
เมื่อ Bash 2.0 รันบนระบบ ระบบจะพยายามเข้ารหัสข้อมูลที่เข้าถึงได้ ไฟล์ที่ได้รับผลกระทบแต่ละไฟล์จะมีนามสกุลไฟล์พิเศษที่ประกอบด้วยอักขระสุ่มสี่ตัว เปลี่ยนจาก '1.png' เป็น '1.png.2rf9' (ส่วนต่อท้ายแบบสุ่มจะแตกต่างกันไปในแต่ละการติดเชื้อ) หลักการเปลี่ยนชื่อนี้ช่วยให้ผู้โจมตี (และเครื่องมืออัตโนมัติ) ติดตามสิ่งที่ถูกล็อก พร้อมกับส่งสัญญาณไปยังเหยื่อทันทีว่าข้อมูลของพวกเขาไม่สามารถใช้งานได้อีกต่อไป แรนซัมแวร์ยังปรับเปลี่ยนวอลเปเปอร์เดสก์ท็อปเพื่อเน้นย้ำข้อความขู่กรรโชกให้เห็นชัดเจนยิ่งขึ้น
ข้อความเรียกค่าไถ่: BASHRED-README.TXT
หลังจากเข้ารหัสเสร็จสิ้น Bash 2.0 จะปล่อยข้อความชื่อ 'bashred-reAdmE.txt' ข้อความดังกล่าวจะแจ้งให้เหยื่อทราบว่าไฟล์ถูกเข้ารหัส และอ้างว่าเส้นทางการกู้คืนเดียวที่ใช้งานได้คือการขอคีย์และซอฟต์แวร์ถอดรหัสเฉพาะจากผู้โจมตี เหยื่อจะได้รับคำสั่งให้ติดต่อและชำระเงิน ข้อความแจ้งเตือนดังกล่าวเตือนว่าการเปลี่ยนชื่อ แก้ไข หรือพยายามถอดรหัสข้อมูลที่ถูกล็อกด้วยตนเองอาจทำให้ข้อมูลเสียหายอย่างถาวร การเปลี่ยนแปลงวอลเปเปอร์มักจะสะท้อนถึงธีมเดียวกัน ซึ่งเพิ่มความเร่งด่วนมากขึ้น
การกู้คืนข้อมูลมีจริงแค่ไหน?
ในเหตุการณ์แรนซัมแวร์ส่วนใหญ่ การถอดรหัสโดยไม่ได้รับความร่วมมือจากผู้โจมตีนั้นเป็นไปไม่ได้ในทางเทคนิค เนื่องจากการเข้ารหัสได้รับการออกแบบมาให้มีความแข็งแกร่งทางการเข้ารหัส มีเพียงบางกรณีที่หายาก ซึ่งมักเกิดขึ้นเมื่อผู้สร้างมัลแวร์ทำผิดพลาดร้ายแรงในการนำไปใช้งาน จึงจะสามารถถอดรหัสได้โดยไม่ต้องมีส่วนร่วม แม้แต่การจ่ายเงินก็ไม่ได้รับประกันว่าเหยื่อมักรายงานว่าไม่เคยได้รับเครื่องมือที่ใช้งานได้ ได้รับตัวถอดรหัสบางส่วน หรือพบคีย์ที่เสียหาย การจ่ายเงินยังเป็นการสนับสนุนการดำเนินการทางอาญาเพิ่มเติม ซึ่งอาจทำให้คุณเป็นเป้าหมายซ้ำ ด้วยเหตุผลเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยจึงไม่สนับสนุนอย่างยิ่งที่จะปฏิบัติตามข้อเรียกร้องค่าไถ่
หยุดเลือด: การกำจัดและการกักเก็บ
การกำจัด Bash 2.0 ออกจากสภาพแวดล้อมที่ติดไวรัสเป็นสิ่งสำคัญอย่างยิ่ง เพื่อป้องกันไม่ให้ไฟล์เพิ่มเติมถูกเข้ารหัสและป้องกันภัยคุกคามไม่ให้แพร่กระจายไปยังระบบที่เชื่อมต่อ อย่างไรก็ตาม การกำจัดมัลแวร์ไม่ได้ถอดรหัสข้อมูลที่ถูกล็อกไว้แล้ว การกู้คืนระบบที่แท้จริงขึ้นอยู่กับการสำรองข้อมูลที่ปลอดภัย ออฟไลน์ และไม่ถูกบุกรุก ก่อนการกู้คืนระบบ ให้แยกเครื่องที่ได้รับผลกระทบออกจากเครือข่าย ดำเนินการสแกนมัลแวร์ทั้งหมดด้วยเครื่องมือที่อัปเดต และสร้างใหม่หรือสร้างอิมเมจใหม่ในกรณีที่ไม่สามารถรับประกันความน่าเชื่อถือได้ ให้เชื่อมต่อระบบที่กู้คืนระบบแล้วอีกครั้งหลังจากตรวจสอบว่าระบบสะอาดแล้วเท่านั้น
BASH 2.0 แพร่กระจายไปทั่วโลกอย่างไร
ผู้โจมตีได้แผ่ขยายเครือข่ายออกไปอย่างกว้างขวาง ช่องทางการแพร่กระจายทั่วไปที่เชื่อมโยงกับแคมเปญแรนซัมแวร์ และเกี่ยวข้องกับ Bash 2.0 ได้แก่:
- ไฟล์แนบหรือลิงก์ที่เป็นอันตรายที่ส่งผ่านสแปม สเปียร์ฟิชชิง หรือแพลตฟอร์มการส่งข้อความโซเชียล
- โปรแกรมติดตั้งแบบรวมหรือแบบโทรจันที่แอบอ้างว่าเป็นซอฟต์แวร์ เกม โคเดกสื่อ หรือเครื่องมือเพิ่มประสิทธิภาพการทำงานที่ถูกต้องตามกฎหมาย
- การดาวน์โหลดแบบไดรฟ์บายที่เกิดขึ้นผ่านไซต์ที่ถูกบุกรุกหรือเป็นอันตราย มักเข้าถึงได้ผ่านการโฆษณาแฝงมัลแวร์
- ช่องทางการดาวน์โหลดของบุคคลที่สาม ฟรีแวร์ และแบบเพียร์ทูเพียร์ที่มีการควบคุมความสมบูรณ์ที่อ่อนแอ
- ซอฟต์แวร์ผิดกฎหมาย "แคร็ก" คีย์เจน และยูทิลิตี้การเปิดใช้งานปลอมที่ส่งมอบเพย์โหลดอย่างเงียบๆ
- การแจ้งเตือนการอัปเดตปลอม (เบราว์เซอร์ ปลั๊กอิน ระบบปฏิบัติการ หรือแอปพลิเคชัน) ที่ติดตั้งมัลแวร์แทนแพตช์
ภัยคุกคามบางประเภทมีความสามารถในการเคลื่อนที่ในแนวขวางหรือแพร่กระจายตัวเอง โดยพยายามเคลื่อนที่ผ่านเครือข่ายท้องถิ่นหรือคัดลอกตัวเองไปยังสื่อที่ถอดออกได้ เช่น แฟลชไดรฟ์ USB และดิสก์ภายนอก
แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดเพื่อเพิ่มการป้องกันของคุณ
- ดูแลรักษาข้อมูลสำรองแบบมีเวอร์ชัน ออฟไลน์ และผ่านการทดสอบอย่างสม่ำเสมอ จัดเก็บชุดข้อมูลสำรองอย่างน้อยหนึ่งชุดไว้นอกเครือข่าย (แนะนำให้ใช้พื้นที่เก็บข้อมูลที่ไม่เปลี่ยนแปลงหรือสื่อแบบเขียนครั้งเดียว)
- อัปเดตระบบปฏิบัติการ แอปพลิเคชัน ชุดโปรแกรมรักษาความปลอดภัย และเฟิร์มแวร์ให้สมบูรณ์ด้วยแพทช์ เปิดใช้งานการอัปเดตอัตโนมัติหากทำได้
- ปรับใช้โซลูชันป้องกันมัลแวร์/EDR ที่มีชื่อเสียงพร้อมความสามารถในการตรวจจับและย้อนกลับแรนซัมแวร์ตามพฤติกรรม
- ใช้การกรองอีเมล การแซนด์บ็อกซ์ไฟล์แนบ และเกตเวย์การสแกนลิงก์เพื่อลดความเสี่ยงในการฟิชชิ่ง ฝึกอบรมผู้ใช้ให้สามารถระบุผู้ส่งปลอมและไฟล์แนบที่ไม่คาดคิด
ความคิดปิดท้าย
Bash 2.0 Ransomware แสดงให้เห็นว่าผู้ก่อภัยคุกคามสามารถนำโค้ดเบสที่มีอยู่มาปรับใช้เป็นเครื่องมือรีดไถแบบใหม่ได้อย่างรวดเร็วเพียงใด ผู้ป้องกันที่พึ่งพาการตรวจจับโดยใช้ลายเซ็นหรือการตอบสนองในนาทีสุดท้ายเพียงอย่างเดียวจะยังคงเสียเปรียบ การผสมผสานกลยุทธ์การสำรองข้อมูลอย่างมีวินัย การดูแลแพตช์อย่างเข้มงวด การป้องกันอุปกรณ์ปลายทางและอีเมลแบบหลายชั้น การออกแบบสิทธิ์ขั้นต่ำ และคู่มือการรับมือที่ฝึกฝนมาอย่างดี จะช่วยลดทั้งโอกาสและผลกระทบของเหตุการณ์แรนซัมแวร์ได้อย่างมาก
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ Bash 2.0 Ransomware:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
