โคลนแรนซัมแวร์
ในยุคที่ภัยคุกคามจากแรนซัมแวร์มีความซับซ้อนเพิ่มมากขึ้น บทความนี้จะกล่าวถึง Clone Ransomware ผลกระทบ และกลยุทธ์สำคัญในการเสริมสร้างการป้องกันความปลอดภัยทางไซเบอร์
สารบัญ
Clone Ransomware คืออะไร?
Clone Ransomware เป็นโปรแกรมคุกคามที่ออกแบบมาเพื่อเข้ารหัสไฟล์ของผู้ใช้และเรียกค่าไถ่เพื่อกู้คืน เมื่อติดตั้งลงในระบบแล้ว Clone จะเข้ารหัสไฟล์และผนวกชื่อไฟล์ด้วย ID เฉพาะ ที่อยู่อีเมลของผู้โจมตี และนามสกุล '.Clone' ตัวอย่างเช่น ไฟล์ชื่อ 'photo.jpg' จะถูกเปลี่ยนชื่อเป็น 'photo.jpg.id-9ECFA74E.[CloneDrive@mailum.com].Clone'
นอกจากนี้แรนซัมแวร์ยังสร้างบันทึกเรียกค่าไถ่ในสองรูปแบบ ได้แก่ ไฟล์ข้อความชื่อ "clone_info.txt" และข้อความป็อปอัป บันทึกเหล่านี้จะแจ้งให้เหยื่อทราบถึงการเข้ารหัสและให้คำแนะนำในการติดต่อผู้โจมตีทางอีเมล แม้ว่าข้อความจะรับรองว่าเหยื่อสามารถกู้คืนไฟล์ได้ แต่ก็ไม่แนะนำให้ขอความช่วยเหลือจากบุคคลที่สาม ซึ่งเพิ่มแรงกดดันให้เหยื่อปฏิบัติตาม
การทำงานของโคลนแรนซัมแวร์
เช่นเดียวกับสมาชิกรายอื่นๆ ในตระกูล Dharma Clone Ransomware มุ่งเป้าไปที่ไฟล์ที่แชร์ในเครื่องและในเครือข่ายเป็นหลัก แม้ว่าจะมีการเข้ารหัสข้อมูลอย่างละเอียด แต่ไฟล์สำคัญของระบบยังคงไม่ได้รับการแตะต้อง ทำให้มั่นใจได้ว่าอุปกรณ์ยังคงทำงานได้
เพื่อเพิ่มผลกระทบสูงสุด Clone Ransomware จะยุติกระบวนการที่เกี่ยวข้องกับไฟล์ที่ใช้งานอยู่ (เช่น ฐานข้อมูลหรือเอกสารที่ใช้งาน) และป้องกันการเข้ารหัสซ้ำโดยการรักษารายการยกเว้นไว้ นอกจากนี้ ยังรักษาความปลอดภัยการคงอยู่โดยการคัดลอกตัวเองลงในไดเร็กทอรีระบบเฉพาะและลงทะเบียนด้วยคีย์เริ่มต้นเพื่อเปิดใช้งานหลังจากรีบูต
จุดเด่นอีกประการของแรนซัมแวร์นี้คือความสามารถในการลบสำเนาของ Shadow Volume ซึ่งจะช่วยขจัดวิธีการกู้คืนที่สำคัญสำหรับเหยื่อ นอกจากนี้ Clone ยังสามารถใช้ข้อมูลตำแหน่งทางภูมิศาสตร์เพื่อตัดสินใจว่าจะดำเนินการโจมตีหรือไม่ โดยมักจะกำหนดเป้าหมายไปที่ภูมิภาคเฉพาะหรือหลีกเลี่ยงพื้นที่ที่ด้อยโอกาสทางเศรษฐกิจ
เหตุใดการจ่ายค่าไถ่จึงไม่ใช่ทางออก
ในกรณีของแรนซัมแวร์ เหยื่อมักต้องเผชิญกับทางเลือกที่ยากลำบาก: จ่ายค่าไถ่หรือสูญเสียการเข้าถึงไฟล์ของตนเอง อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำอย่างยิ่งว่าไม่ควรปฏิบัติตามคำขอเรียกค่าไถ่
ไม่มีการรับประกันว่าผู้โจมตีจะให้เครื่องมือถอดรหัสตามที่สัญญาไว้แม้จะชำระเงินแล้วก็ตาม ยิ่งไปกว่านั้น การจ่ายค่าไถ่ยังสนับสนุนและส่งเสริมกิจกรรมที่ผิดกฎหมาย ทำให้เกิดการโจมตีในอนาคต แนวทางที่ดีที่สุดคือเน้นไปที่การป้องกันการติดเชื้อและรักษาข้อมูลสำรองที่แข็งแกร่ง
Clone Ransomware แพร่กระจายได้อย่างไร?
โดยทั่วไปแล้ว Clone Ransomware จะแพร่กระจายผ่านการเชื่อมต่อ Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย ผู้โจมตีใช้ประโยชน์จากข้อมูลประจำตัวที่อ่อนแอผ่านการโจมตีแบบบรูทฟอร์ซหรือพจนานุกรมเพื่อเข้าถึงโดยไม่ได้รับอนุญาต เมื่อเข้าไปข้างในแล้ว พวกเขาจะปิดการใช้งานไฟร์วอลล์และใช้แรนซัมแวร์
นอกจากนี้ Ransomware ยังแพร่กระจายผ่านอีเมลฟิชชิ่ง การดาวน์โหลดที่เป็นอันตราย หรือแผนการออนไลน์ที่หลอกลวง ไฟล์แนบในอีเมลขยะ การอัปเดตซอฟต์แวร์ปลอม และซอฟต์แวร์ที่ถอดรหัสได้ เป็นเพียงกลวิธีบางส่วนที่อาชญากรไซเบอร์ใช้เพื่อปกปิดเพย์โหลดที่เป็นอันตราย Clone Ransomware ยังแพร่กระจายผ่านอุปกรณ์จัดเก็บข้อมูลแบบถอดได้หรือเครือข่ายที่ใช้ร่วมกัน
เสริมสร้างการป้องกันของคุณต่อแรนซัมแวร์
หากต้องการปกป้องตัวเองจากภัยคุกคามจากแรนซัมแวร์ เช่น Clone จำเป็นต้องใช้กลยุทธ์ความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง ต่อไปนี้คือแนวทางปฏิบัติที่ดีที่สุดบางประการในการเสริมสร้างการป้องกันของคุณ:
- สำรองข้อมูลเป็นประจำ: สำรองข้อมูลของคุณเป็นประจำไปยังตำแหน่งที่ปลอดภัยหลายแห่ง เช่น อุปกรณ์จัดเก็บข้อมูลภายนอกหรือบริการบนคลาวด์ ตรวจ สอบให้แน่ใจว่าได้ตัดการเชื่อมต่อข้อมูลสำรองจากเครือข่ายของคุณเพื่อป้องกันไม่ให้แรนซัมแวร์เข้าถึงข้อมูลเหล่านั้นได้
- เสริมความปลอดภัยให้กับ RDP : ปิดใช้งาน RDP หากไม่ได้ใช้งาน สำหรับบริการ RDP ที่จำเป็น ให้บังคับใช้รหัสผ่านที่แข็งแกร่ง ใช้การตรวจสอบสิทธิ์สองขั้นตอน (2FA) และจำกัดการเข้าถึงเฉพาะที่อยู่ IP ที่เชื่อถือได้
- ระวังการพยายามฟิชชิ่ง : ควรใช้ความระมัดระวังเมื่อได้รับอีเมลที่ไม่พึงประสงค์ โดยเฉพาะอีเมลที่มีไฟล์แนบหรือลิงก์ ตรวจสอบตัวตนของผู้ส่งก่อนที่จะโต้ตอบกับเนื้อหาที่น่าสงสัยใดๆ
- อัปเดตซอฟต์แวร์เป็นประจำ : อัปเดตระบบปฏิบัติการ เครื่องมือป้องกันไวรัส และซอฟต์แวร์อื่นๆ ของคุณอยู่เสมอ แพตช์ความปลอดภัยมักจะแก้ไขช่องโหว่ที่แรนซัมแวร์ใช้ประโยชน์
- ติดตั้งไฟร์วอลล์ที่เชื่อถือได้ : ไฟร์วอลล์ที่แข็งแกร่งสามารถช่วยตรวจจับและบล็อกความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต ช่วยให้เพิ่มชั้นการป้องกันอีกชั้นหนึ่ง
- ควรใช้ความระมัดระวังในการดาวน์โหลด : หลีกเลี่ยงการดาวน์โหลดไฟล์หรือซอฟต์แวร์จากแหล่งที่ไม่ผ่านการตรวจสอบ เช่น เว็บไซต์ฟรีแวร์ เครือข่ายเพียร์ทูเพียร์ และร้านแอปที่ไม่เป็นทางการ
- ให้ความรู้แก่ตัวคุณเองและทีมของคุณ : หากคุณเป็นส่วนหนึ่งขององค์กร ควรดำเนินการฝึกอบรมด้านความปลอดภัยทางไซเบอร์เป็นประจำเพื่อให้แน่ใจว่าผู้ใช้ทุกคนเข้าใจความเสี่ยงและสามารถระบุภัยคุกคามที่อาจเกิดขึ้นได้
Clone Ransomware เป็นตัวอย่างกลยุทธ์ที่พัฒนาขึ้นซึ่งใช้โดยอาชญากรไซเบอร์เพื่อแสวงหาประโยชน์จากช่องโหว่ แม้ว่าวิธีการของ Clone Ransomware จะซับซ้อน แต่ผู้ใช้สามารถลดความเสี่ยงได้อย่างมากโดยใช้มาตรการรักษาความปลอดภัยเชิงรุก การเฝ้าระวัง รักษาการสำรองข้อมูลที่แข็งแกร่ง และส่งเสริมวัฒนธรรมของการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์เป็นกุญแจสำคัญในการรับรองว่าโลกดิจิทัลของคุณยังคงปลอดภัยจากแรนซัมแวร์และภัยคุกคามออนไลน์อื่นๆ
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ โคลนแรนซัมแวร์:
|
CLONE YOUR FILES ARE ENCRYPTED Don't worry, you can return all your files! If you want to restore them, write to the mail: CloneDrive@mailum.com YOUR ID - If you have not answered by mail within 24 hours, write to us by another mail:CloneDrive@tuta.io ATTENTION CloneDrive does not recommend contacting agent to help decode the data |
|
You want to return? write email CloneDrive@mailum.com or CloneDrive@tuta.io |
