Cipher (Proton) Ransomware
การโจมตีด้วยแรนซัมแวร์ที่ซับซ้อนมากขึ้นทำให้การปกป้องอุปกรณ์ของคุณจากภัยคุกคามจากมัลแวร์กลายเป็นสิ่งสำคัญกว่าที่เคย แรนซัมแวร์ซึ่งเป็นมัลแวร์ประเภททำลายล้างสูงจะล็อกข้อมูลสำคัญโดยการเข้ารหัสข้อมูลแล้วเรียกค่าไถ่เพื่อแลกกับซอฟต์แวร์ถอดรหัส แรนซัมแวร์สายพันธุ์ใหม่ที่เพิ่งค้นพบที่เรียกว่า Cipher (Proton) ได้ปรากฏขึ้น ทำให้แรนซัมแวร์ที่คุกคามทั้งบุคคลและองค์กรเพิ่มจำนวนขึ้นอีก การทำความเข้าใจถึงการทำงานของแรนซัมแวร์นี้และการนำมาตรการรักษาความปลอดภัยที่เข้มแข็งมาใช้ถือเป็นสิ่งสำคัญในการรักษาระบบของคุณให้ปลอดภัย
สารบัญ
Cipher (Proton) Ransomware คืออะไร?
Cipher (Proton) Ransomware เป็นแรนซัมแวร์สายพันธุ์ใหม่ที่อยู่ในตระกูล Proton Ransomware ที่มีชื่อเสียง ไม่ควรสับสนกับแรนซัมแวร์รุ่นเก่าที่เรียกกันว่า Cipher เนื่องจากเป็นภัยคุกคามที่แยกจากกันและใหม่กว่า เช่นเดียวกับแรนซัมแวร์สายพันธุ์อื่นๆ Cipher (Proton) จะเข้ารหัสข้อมูลในระบบของเหยื่อ ทำให้ไม่สามารถเข้าถึงไฟล์ได้ เหยื่อจะถูกบังคับให้จ่ายค่าไถ่เพื่อแลกกับโอกาสในการกู้คืนไฟล์ แม้ว่าจะไม่มีการรับประกันว่าจะกู้คืนได้แม้จะชำระเงินแล้วก็ตาม
เมื่อแรนซัมแวร์ถูกนำไปใช้งานบนระบบที่ถูกบุกรุกแล้ว แรนซัมแวร์จะเริ่มเข้ารหัสไฟล์และผนวกชื่อไฟล์ด้วยตัวระบุเฉพาะ โดยทั่วไป ตัวระบุนี้จะมีที่อยู่อีเมลของผู้โจมตีตามด้วยนามสกุล ".cipher" ไฟล์ที่เดิมมีชื่อว่า 1.png จะปรากฏเป็น 1.png.[watchdogs20@tuta.io].cipher หลังจากเข้ารหัสแล้ว
บันทึกการเรียกค่าไถ่และการสื่อสาร
หลังจากเสร็จสิ้นกระบวนการเข้ารหัส Cipher (Proton) Ransomware จะแสดงบันทึกเรียกค่าไถ่ในรูปแบบต่างๆ:
- ข้อความเต็มหน้าจอจะปรากฏก่อนหน้าจอเข้าสู่ระบบ เพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงอุปกรณ์ของตนได้จนกว่าจะชำระค่าไถ่เสร็จสิ้น
- เปลี่ยนวอลล์เปเปอร์เดสก์ท็อปเป็นข้อความเรียกค่าไถ่
- ไฟล์ข้อความที่ชื่อ '#Read-for-recovery.txt' จะถูกวางไว้ในไดเร็กทอรีต่างๆ ทั่วทั้งระบบ
ข้อความเหล่านี้แตกต่างจากข้อความของแรนซัมแวร์ทั่วไปที่อธิบายกระบวนการเข้ารหัสและถอดรหัสอย่างชัดเจน ในทางกลับกัน คำแนะนำนั้นเรียบง่ายและแนะนำให้เหยื่อติดต่อผู้โจมตีโดยใช้ที่อยู่อีเมลที่ให้ไว้เท่านั้น อย่างไรก็ตาม การขาดรายละเอียดนี้ไม่ได้ลดความรุนแรงของการโจมตี เนื่องจากคาดว่าเหยื่อยังคงต้องเจรจากับอาชญากรไซเบอร์เพื่อเข้าถึงข้อมูลของตนอีกครั้ง
อันตรายของการจ่ายค่าไถ่
เหยื่อของการโจมตีด้วยแรนซัมแวร์ รวมถึงเหยื่อที่โดน Cipher (Proton) Ransomware ควรทราบว่าการจ่ายค่าไถ่ไม่ได้รับประกันการกู้คืนไฟล์ ผู้ก่ออาชญากรรมทางไซเบอร์มักไม่ให้คีย์การถอดรหัสแม้ว่าจะได้รับการชำระเงินแล้วก็ตาม ในหลายกรณี เหยื่อถูกทิ้งไว้โดยไม่มีไฟล์และเพียงแค่นำเงินไปใช้ในการก่ออาชญากรรมอื่นๆ
ยิ่งไปกว่านั้น การจ่ายค่าไถ่ยังส่งเสริมให้อาชญากรไซเบอร์ดำเนินการผิดกฎหมายต่อไป โดยกำหนดเป้าหมายเหยื่อรายต่อไปและปรับปรุงกลวิธีของตน แม้ว่าแรนซัมแวร์บางตัวอาจมีการเข้ารหัสที่บกพร่องซึ่งสามารถหลบเลี่ยงได้ แต่กรณีนี้เกิดขึ้นได้ยาก และโดยทั่วไปแล้ว จำเป็นต้องมีการแทรกแซงจากภายนอกโดยผู้โจมตีเพื่อถอดรหัส ดังนั้น ขอแนะนำไม่ให้ปฏิบัติตามคำสั่งเรียกค่าไถ่ เนื่องจากการดำเนินการดังกล่าวอาจไม่สามารถแก้ไขปัญหาได้และจะทำให้วงจรของอาชญากรรมไซเบอร์ดำเนินต่อไป
แนวทางปฏิบัติรักษาความปลอดภัยที่ดีที่สุดเพื่อป้องกัน Ransomware
เพื่อป้องกันแรนซัมแวร์เช่น Cipher (Proton) ผู้ใช้จะต้องใช้แนวทางปฏิบัติด้านความปลอดภัยที่เข้มงวดเพื่อลดโอกาสในการติดเชื้อและลดความเสียหายในกรณีที่ถูกโจมตี ด้านล่างนี้คือกลยุทธ์ที่มีประสิทธิภาพสูงสุดบางส่วน:
- การสำรองข้อมูลเป็นประจำ: การสำรองข้อมูลที่สำคัญเป็นประจำถือเป็นสิ่งสำคัญในการลดความเสียหายที่เกิดจากแรนซัมแวร์ โดยการรักษาการสำรองข้อมูลแบบออฟไลน์หรือบนคลาวด์ คุณจะมั่นใจได้ว่าสามารถกู้คืนไฟล์ที่เข้ารหัสได้โดยไม่ต้องจ่ายค่าไถ่ ตรวจสอบให้แน่ใจว่าสำรองข้อมูลไว้ในตำแหน่งที่ปลอดภัยและแยกจากกันเพื่อป้องกันไม่ให้ข้อมูลเหล่านั้นตกเป็นเป้าหมายของแรนซัมแวร์เอง
- อัปเดตซอฟต์แวร์และระบบปฏิบัติการอยู่เสมอ : แรนซัมแวร์มักจะใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์และระบบปฏิบัติการที่ล้าสมัย การอัปเดตและการจัดการแพตช์เป็นประจำจะช่วยปกป้องคุณจากข้อบกพร่องด้านความปลอดภัยที่ทราบกันดี การอัปเดตเฟิร์มแวร์ ระบบปฏิบัติการ และแอปพลิเคชันของคุณให้ทันสมัยอยู่เสมอสามารถป้องกันไม่ให้แรนซัมแวร์ใช้ประโยชน์จากจุดอ่อนในระบบของคุณได้
- ใช้โซลูชันแอนตี้มัลแวร์ที่แข็งแกร่งและทันสมัย : โซลูชันแอนตี้มัลแวร์ที่ทันสมัยสามารถตรวจจับและบล็อกแรนซัมแวร์ได้ก่อนที่จะมีโอกาสดำเนินการ เครื่องมือแอนตี้มัลแวร์สมัยใหม่มีการสแกนแบบเรียลไทม์และการป้องกันแรนซัมแวร์ที่สามารถแยกและกำจัดภัยคุกคามได้ก่อนที่จะแพร่กระจาย สแกนระบบของคุณเป็นประจำเพื่อระบุความเสี่ยงที่อาจเกิดขึ้นและตรวจสอบว่าซอฟต์แวร์มีคำจำกัดความไวรัสล่าสุด
- จำกัดสิทธิ์ผู้ใช้ : การจำกัดสิทธิ์ผู้ใช้เป็นสิ่งสำคัญในการลดความเสี่ยงของการติดไวรัส ให้แน่ใจว่าผู้ใช้มีสิทธิ์เข้าถึงในระดับที่จำเป็นเท่านั้นในการดำเนินการตามภารกิจของตน บังคับใช้กฎสิทธิ์ขั้นต่ำเพื่อป้องกันไม่ให้แรนซัมแวร์เข้ามาควบคุมระบบของคุณ ซึ่งสามารถจำกัดขอบเขตความเสียหายได้อย่างมากในกรณีที่ติดไวรัส
- ดำเนินการแบ่งส่วนเครือข่าย : ในองค์กรหรือสภาพแวดล้อมขนาดใหญ่ การแบ่งส่วนเครือข่ายสามารถลดการแพร่กระจายของแรนซัมแวร์ได้ การแยกระบบที่สำคัญและข้อมูลที่ละเอียดอ่อนออกเป็นกลุ่มเครือข่ายที่แตกต่างกันจะช่วยลดความสามารถของแรนซัมแวร์ในการเคลื่อนตัวในแนวนอนข้ามเครือข่าย
- ปิดใช้งานแมโครและการทำงานของสคริปต์ในไฟล์แนบอีเมล : Ransomware มักแพร่กระจายผ่านไฟล์แนบอีเมลปลอมที่มีแมโครหรือสคริปต์ ปิดใช้งานแมโครตามค่าเริ่มต้นและตรวจสอบให้แน่ใจว่าไคลเอนต์อีเมลได้รับการกำหนดค่าให้บล็อกประเภทไฟล์ที่อาจเป็นอันตราย เช่น .exe และ .js ฝึกให้ผู้ใช้รู้จักอีเมลฟิชชิ่งและหลีกเลี่ยงการเข้าถึงลิงก์ที่น่าสงสัยหรือดาวน์โหลดไฟล์แนบที่ไม่รู้จัก
- เปิดใช้งานการตรวจสอบสิทธิ์หลายปัจจัย (MFA) : MFA เพิ่มชั้นความปลอดภัยเสริมให้กับบัญชีของคุณ ซึ่งจะทำให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาตได้ยากขึ้น แม้ว่าข้อมูลประจำตัวของคุณจะถูกบุกรุก MFA จะรับประกันว่าจำเป็นต้องมีการตรวจสอบรูปแบบที่สอง ซึ่งจะลดโอกาสที่แรนซัมแวร์จะแพร่กระจายผ่านโปรโตคอลเดสก์ท็อประยะไกล (RDP) หรือบริการเครือข่ายอื่นๆ
Ransomware Cipher (Proton) เป็นภัยคุกคามร้ายแรงต่อผู้ที่ตกเป็นเหยื่อ โดยอาจล็อกไฟล์สำคัญและเรียกค่าไถ่ซึ่งไม่มีหลักประกันว่าจะแก้ไขได้ การทำความเข้าใจวิธีการทำงานของ Ransomware นี้และปฏิบัติตามแนวทางรักษาความปลอดภัยที่เข้มงวด จะทำให้ผู้ใช้สามารถลดความเสี่ยงในการติดเชื้อและลดผลกระทบจากการโจมตีได้อย่างมาก
กุญแจสำคัญในการป้องกันแรนซัมแวร์อยู่ที่การป้องกัน การเตรียมการ และการเฝ้าระวัง การสำรองข้อมูลเป็นประจำ ซอฟต์แวร์รักษาความปลอดภัยที่ทันสมัย และการปฏิบัติตนของผู้ใช้อย่างมีสติถือเป็นรากฐานสำคัญของกลยุทธ์การป้องกันที่มีประสิทธิภาพ การดำเนินการตามขั้นตอนที่คล่องตัวจะช่วยให้มั่นใจได้ว่าข้อมูลของคุณยังคงปลอดภัยเมื่อเผชิญกับภัยคุกคามใหม่ๆ เช่น Cipher (Proton) Ransomware
บันทึกค่าไถ่ที่ทิ้งไว้ให้กับเหยื่อของ Cipher (Proton) Ransomware คือ:
'Email 1:
watchdogs20@tuta.ioEmail 2:
watchdogs20@cock.liSend messages to both emails at the same time
So send messages to our emails, check your spam folder every few hours
ID:
If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email'
ข้อความที่แสดงในระหว่างการเข้าสู่ระบบและเป็นรูปพื้นหลังเดสก์ท็อปคือ:
'Email us for recovery: watchdogs20@tuta.io
In case of no answer, send to this email:
watchdogs20@cock.li
Your unqiue ID:'
