บลูแรนซัมแวร์

ในภูมิทัศน์ดิจิทัลของปัจจุบัน การป้องกันภัยคุกคามจากมัลแวร์อย่างเพียงพอถือเป็นสิ่งสำคัญอย่างยิ่ง แรนซัมแวร์ ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่มีแนวโน้มรุนแรงเป็นพิเศษ ก่อให้เกิดความเสี่ยงอย่างมากโดยการเข้ารหัสข้อมูลของผู้ใช้และเรียกร้องค่าไถ่เพื่อแลกกับข้อมูลดังกล่าว ภัยคุกคามประเภทหนึ่งที่เรียกว่า Blue Ransomware เพิ่งปรากฏขึ้นเมื่อไม่นานนี้ โดยมีเป้าหมายเป็นบุคคลและองค์กรต่างๆ การทำความเข้าใจว่าแรนซัมแวร์ทำงานอย่างไรและวิธีป้องกันนั้นถือเป็นสิ่งสำคัญในการรักษาความสมบูรณ์ของข้อมูลและความปลอดภัยของระบบของคุณ

ทำความเข้าใจกับ Blue Ransomware

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุว่า Blue Ransomware เป็นสายพันธุ์ย่อยจากตระกูล Phobos ที่มีชื่อเสียงโด่งดัง ซอฟต์แวร์คุกคามนี้จะเข้ารหัสไฟล์บนอุปกรณ์ที่ติดไวรัส โดยเปลี่ยนชื่อไฟล์โดยเพิ่ม ID ของเหยื่อ ที่อยู่อีเมล givebackdata@mail.ru และนามสกุล '.blue' ตัวอย่างเช่น '1.doc' จะกลายเป็น '1.doc.id[9ECFA84E-2850].[givebackdata@mail.ru].blue' และ '2.pdf' จะเปลี่ยนกลับเป็น '2.pdf.id[9ECFA84E-2850].[givebackdata@mail.ru].blue'

บันทึกการเรียกค่าไถ่จากภัยคุกคาม

เมื่อ Blue Ransomware เข้ารหัสไฟล์แล้ว มันจะสร้างไฟล์ 'info.hta' และ 'info.txt' ที่มีข้อความเรียกค่าไถ่ ข้อความนี้จะแจ้งให้เหยื่อทราบถึงการเข้ารหัสและแนะนำให้ติดต่อกับผู้โจมตีโดยใช้ที่อยู่อีเมลที่ให้ไว้โดยระบุ ID เฉพาะของตนในหัวเรื่อง แนะนำให้เหยื่อจ่ายค่าไถ่เป็น Bitcoin เพื่อรับเครื่องมือถอดรหัส โดยค่าใช้จ่ายจะขึ้นอยู่กับความเร็วในการตอบสนองของเหยื่อ นอกจากนี้ เหยื่อยังต้องระมัดระวังไม่ให้เปลี่ยนชื่อไฟล์ที่เข้ารหัสหรือใช้เครื่องมือถอดรหัสของบุคคลที่สาม เนื่องจากอาจทำให้ข้อมูลสูญหายหรือมีค่าใช้จ่ายในการถอดรหัสเพิ่มขึ้น

Blue Ransomware ทำงานอย่างไร

Blue Ransomware เข้ารหัสไฟล์ที่จัดเก็บทั้งในพื้นที่และบนเครือข่ายที่แชร์ ปิดไฟร์วอลล์ของระบบ และลบสำเนา Shadow Volume เพื่อป้องกันการกู้คืนที่ง่ายดาย โดยจะรับประกันการคงอยู่โดยคัดลอกตัวเองไปยังไดเร็กทอรี '%LOCALAPPDATA%' และลงทะเบียนด้วยคีย์ Run เฉพาะ นอกจากนี้ ยังรวบรวมข้อมูลตำแหน่งและสามารถแยกตำแหน่งที่กำหนดไว้ล่วงหน้าออกจากการโจมตี ทำให้เป็นภัยคุกคามที่มีความยืดหยุ่นและต่อเนื่อง

วิธีการจัดส่งสินค้า

Ransomware จากตระกูล Phobos รวมถึง Blue มักถูกส่งผ่านบริการ Remote Desktop Protocol (RDP) ที่มีช่องโหว่ ผู้โจมตีมักใช้การโจมตีแบบบรูทฟอร์ซและพจนานุกรมกับข้อมูลรับรองบัญชีที่จัดการไม่ดี วิธีการส่งทั่วไปอื่นๆ ได้แก่ อีเมลหลอกลวงที่มีไฟล์แนบหรือลิงก์ที่ติดไวรัส กลยุทธ์การสนับสนุนทางเทคนิค และการใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ล้าสมัย นอกจากนี้ ผู้ก่ออาชญากรรมทางไซเบอร์สามารถแพร่กระจาย ransomware ผ่านโฆษณาที่เป็นอันตราย เว็บไซต์ที่ถูกบุกรุกหรือหลอกลวง เครือข่ายเพียร์ทูเพียร์ (P2P) โปรแกรมดาวน์โหลดของบุคคลที่สาม และไดรฟ์ USB ที่ติดไวรัส

การเสริมความปลอดภัยของคุณ: วิธีการป้องกันแรนซัมแวร์

• การสำรองข้อมูลเป็นประจำ : การสำรองข้อมูลเป็นประจำถือเป็นวิธีป้องกันแรนซัมแวร์ที่มีประสิทธิภาพที่สุดวิธีหนึ่ง ตรวจสอบให้แน่ใจว่าข้อมูลสำรองถูกจัดเก็บแบบออฟไลน์หรือบนเครือข่ายแยกต่างหาก เพื่อป้องกันความเสี่ยงที่ข้อมูลจะถูกบุกรุกระหว่างการโจมตี
• รหัสผ่านที่แข็งแกร่งและการพิสูจน์ตัวตนแบบหลายปัจจัย : สร้างรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับบัญชีของคุณทั้งหมด เปิดใช้งานการพิสูจน์ตัวตนแบบหลายปัจจัย (MFA) ทุกที่ที่เป็นไปได้ การทำเช่นนี้จะช่วยลดความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาตผ่านการโจมตีแบบบรูทฟอร์ซหรือพจนานุกรมได้อย่างมาก
• อัป เดต ซอฟต์แวร์เป็นประจำ รวมไปถึงโปรแกรมและระบบปฏิบัติการ เพื่อแก้ไขช่องโหว่ที่อาชญากรไซเบอร์อาจใช้ประโยชน์ได้ เปิดใช้งานการอัปเดตอัตโนมัติเพื่อรับประกันว่าคุณจะได้รับการปกป้องด้วยแพตช์ความปลอดภัยล่าสุดอยู่เสมอ
• ปิดใช้งานบริการที่ไม่จำเป็น : ปิดใช้งานหรือจำกัดการใช้ RDP และบริการระยะไกลอื่นๆ หากไม่จำเป็น หากจำเป็นต้องใช้ RDP ให้รักษาความปลอดภัยด้วยรหัสผ่านที่แข็งแกร่ง MFA และจำกัดการเข้าถึงที่อยู่ IP เฉพาะ
• อบรมและให้ความรู้แก่ผู้ใช้ : อบรมให้ความรู้แก่ผู้ใช้เกี่ยวกับอันตรายของอีเมลฟิชชิ่ง ไฟล์แนบที่เป็นอันตราย และลิงก์หลอกลวง การอบรมเป็นประจำจะช่วยให้ผู้ใช้สามารถจดจำและหลีกเลี่ยงภัยคุกคามที่อาจเกิดขึ้นได้
• ใช้โซลูชันความปลอดภัยที่แข็งแกร่ง : ใช้โซลูชันความปลอดภัยที่ครอบคลุม รวมถึงการป้องกันมัลแวร์และไฟร์วอลล์ อุปกรณ์เหล่านี้สามารถตรวจจับและบล็อกกิจกรรมที่เป็นอันตรายก่อนที่จะก่อให้เกิดอันตรายต่อระบบของคุณ

บทสรุป: ความระมัดระวังเป็นสิ่งสำคัญ

การเกิดขึ้นของ Blue Ransomware แสดงให้เห็นถึงภัยคุกคามที่เปลี่ยนแปลงและต่อเนื่องของการโจมตีด้วยแรนซัมแวร์ ผู้ใช้สามารถลดความเสี่ยงในการตกเป็นเหยื่อของแผนการอันตรายเหล่านี้ได้อย่างมากด้วยการทำความเข้าใจว่ามัลแวร์เหล่านี้ทำงานอย่างไรและนำมาตรการรักษาความปลอดภัยที่แข็งแกร่งมาใช้ คอยระวัง อัปเดตระบบของคุณอยู่เสมอ และสำรองข้อมูลของคุณไว้เสมอเพื่อป้องกันตัวเองจากภัยคุกคามจากแรนซัมแวร์

ข้อความเรียกค่าไถ่ที่ส่งโดย Blue Ransomware ระบุว่า:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail givebackdata@mail.ru
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:getmydata@inbox.ru
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'