ดีเคคิว แรนซัมแวร์
ภัยคุกคามแรนซัมแวร์มีความซับซ้อนมากขึ้นเรื่อยๆ และก่อให้เกิดความเสี่ยงที่สำคัญต่อความปลอดภัยของข้อมูล ภัยคุกคามอย่างหนึ่งที่ค้นพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์คือโปรแกรมคุกคามชื่อ Dkq
ในการสืบสวนล่าสุดเกี่ยวกับภัยคุกคามมัลแวร์ที่เกิดขึ้นใหม่ นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุ Dkq Ransomware โปรแกรมนี้แทรกซึมระบบและเข้ารหัสไฟล์ แก้ไขชื่อไฟล์ในกระบวนการ ชื่อไฟล์ดั้งเดิมจะต่อท้ายด้วย ID เฉพาะ ที่อยู่อีเมลของผู้โจมตี และนามสกุล '.dkq' ตัวอย่างเช่น ไฟล์ชื่อ '1.doc' จะถูกแปลงเป็น '1.doc.id-9ECFA74E.[dkqcnr@cock.li].dkq' หลังจากการเข้ารหัส บันทึกค่าไถ่จะถูกสร้างขึ้นทั้งในรูปแบบหน้าต่างป๊อปอัปและเป็นไฟล์ข้อความชื่อ 'info.txt' Dkq ถูกจัดประเภทเป็นตัวแปรหนึ่งของตระกูล Dharma Ransomware ซึ่งเป็นที่รู้จักในด้านความสามารถในการทำลายล้างและเทคนิคการเข้ารหัสที่ซับซ้อน
สารบัญ
Dkq Ransomware ทำให้เหยื่อไม่สามารถเข้าถึงข้อมูลและไฟล์ของตนได้
Dkq Ransomware สร้างบันทึกเรียกค่าไถ่เป็นไฟล์ข้อความเพื่อแจ้งให้เหยื่อทราบว่าข้อมูลของพวกเขาถูกล็อค และให้คำแนะนำในการติดต่อผู้โจมตีเพื่อกู้คืนข้อมูล นอกจากนี้ หน้าต่างป๊อปอัปจะปรากฏขึ้น โดยนำเสนอข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับการติดแรนซัมแวร์ โดยระบุอย่างชัดเจนว่าไฟล์ได้รับการเข้ารหัสและไม่สามารถเข้าถึงได้ในขณะนี้
ข้อความระบุว่าการถอดรหัสไฟล์จำเป็นต้องจ่ายค่าไถ่เป็น Bitcoin เพื่อสร้างความไว้วางใจ ผู้โจมตีเสนอโอกาสให้เหยื่อถอดรหัสไฟล์ที่เลือกสามไฟล์ (โดยต้องเป็นไปตามเกณฑ์ที่กำหนด) ได้ฟรีก่อนชำระเงิน
หมายเหตุค่าไถ่ยังรวมถึงคำเตือนที่เข้มงวดต่อการพยายามแก้ไขไฟล์ที่เข้ารหัสหรือการใช้เครื่องมือถอดรหัสของบุคคลที่สาม โดยเตือนว่าการกระทำดังกล่าวอาจทำให้ข้อมูลสูญหายอย่างถาวร
อาชญากรไซเบอร์ยังคงปล่อยแรนซั่มแวร์ Dharma รูปแบบใหม่อย่างต่อเนื่อง
Dkq Ransomware เป็นส่วนหนึ่งของตระกูล Dharma Ransomware ที่โด่งดัง ซึ่งเป็นที่รู้จักในด้านความสามารถในการเข้ารหัสทั้งไฟล์ในเครื่องและไฟล์ที่แชร์บนเครือข่าย โปรแกรมแรนซัมแวร์เหล่านี้จะยุติกระบวนการทำงานที่เกี่ยวข้องกับไฟล์ที่เปิดอยู่ เช่น โปรแกรมฐานข้อมูลและเครื่องอ่านไฟล์ เพื่อให้แน่ใจว่าไม่มีไฟล์ใดได้รับการยกเว้นจากการเข้ารหัสเนื่องจากมีการใช้งานอยู่
Dharma Ransomware หลีกเลี่ยงการทำให้อุปกรณ์ที่ติดไวรัสใช้งานไม่ได้โดยสิ้นเชิง โดยไม่เข้ารหัสไฟล์ระบบที่สำคัญ นอกจากนี้ยังป้องกันการเข้ารหัสสองชั้นโดยการยกเว้นไฟล์ที่ถูกแก้ไขโดยแรนซัมแวร์อื่นแล้ว อย่างไรก็ตาม กระบวนการนี้ไม่สามารถป้องกันความผิดพลาดได้และอาศัยรายการยกเว้นที่อาจไม่รวมแรนซัมแวร์ที่มีอยู่ทั้งหมด
เพื่อให้มั่นใจถึงความคงอยู่ Dharma Ransomware ใช้กลยุทธ์หลายประการ โดยจะคัดลอกตัวเองไปยังไดเร็กทอรี %LOCALAPPDATA% ลงทะเบียนด้วยคีย์ Run เฉพาะ และได้รับการกำหนดค่าให้เริ่มทำงานโดยอัตโนมัติเมื่อรีบูตระบบแต่ละครั้ง
นอกจากนี้ Dharma Ransomware ยังรวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์ ซึ่งช่วยพิจารณาว่าจะดำเนินการเข้ารหัสตามแรงจูงใจทางภูมิรัฐศาสตร์หรือไม่รวมภูมิภาคที่ด้อยโอกาสทางเศรษฐกิจ เพื่อขัดขวางความพยายามในการกู้คืนเพิ่มเติม โปรแกรม Dharma Ransomware จะลบ Shadow Volume Copies และลบตัวเลือกการกู้คืนที่เป็นไปได้สำหรับเหยื่อ
จะดำเนินการต่อหลังจากการโจมตีของ Ransomware ได้อย่างไร?
โดยทั่วไปแล้ว การกู้คืนข้อมูลที่เข้ารหัสโดยแรนซัมแวร์ เช่น Dkq นั้นเป็นไปไม่ได้หากไม่มีเครื่องมือถอดรหัสของผู้โจมตี ข้อยกเว้นเพียงอย่างเดียวเกิดขึ้นเมื่อตัวแรนซัมแวร์มีข้อบกพร่องร้ายแรงที่สามารถนำไปใช้ประโยชน์ได้
อย่างไรก็ตาม การจ่ายค่าไถ่ไม่ได้รับประกันว่าคุณจะสามารถเข้าถึงไฟล์ของคุณได้อีกครั้ง อาชญากรไซเบอร์มักไม่สามารถจัดหาคีย์ถอดรหัสหรือซอฟต์แวร์ที่จำเป็นได้แม้ว่าจะได้รับการชำระเงินแล้วก็ตาม ดังนั้นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จึงแนะนำอย่างยิ่งว่าอย่าจ่ายค่าไถ่ การสนับสนุนทางการเงินแก่อาชญากรเหล่านี้จะทำให้กิจกรรมที่ผิดกฎหมายของพวกเขาคงอยู่ต่อไปเท่านั้น
เพื่อป้องกันการเข้ารหัสเพิ่มเติมโดย Dkq Ransomware การลบมัลแวร์ออกจากระบบปฏิบัติการถือเป็นพื้นฐาน ขออภัย กระบวนการลบนี้จะไม่สามารถกู้คืนไฟล์ที่เข้ารหัสไว้แล้วได้
ใช้มาตรการต่อต้านการติดมัลแวร์และแรนซัมแวร์
เพื่อป้องกันการติดเชื้อมัลแวร์และแรนซัมแวร์ ผู้ใช้สามารถใช้มาตรการป้องกัน การเฝ้าระวัง และกลยุทธ์การตอบสนองร่วมกัน ขั้นตอนสำคัญมีดังนี้:
- การสำรองข้อมูลปกติ : การสำรองข้อมูลอัตโนมัติ: กำหนดเวลาการสำรองข้อมูลสำคัญไปยังไดรฟ์ภายนอกหรือบริการคลาวด์เป็นประจำ ที่เก็บข้อมูลออฟไลน์: ตัดการสำรองข้อมูลออกจากเครือข่ายเพื่อป้องกันไม่ให้ถูกบุกรุกระหว่างการโจมตี
- ระบบอัปเดตและแพตช์ : ระบบปฏิบัติการ: ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการของคุณได้รับการอัปเกรดด้วยแพตช์ความปลอดภัยล่าสุด แอปพลิเคชันซอฟต์แวร์: อัปเดตแอปพลิเคชันซอฟต์แวร์ทั้งหมดเป็นเวอร์ชันล่าสุดเป็นประจำเพื่อแก้ไขช่องโหว่ที่ทราบ
- ใช้ซอฟต์แวร์รักษาความปลอดภัยที่แข็งแกร่งและทันสมัย : โปรแกรมป้องกันมัลแวร์: ติดตั้งและบำรุงรักษาซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียง ไฟร์วอลล์: เปิดใช้งานและกำหนดค่าไฟร์วอลล์เพื่อป้องกันการเข้าถึงเครือข่ายของคุณโดยไม่ได้รับอนุญาต
- ใช้อีเมลและความปลอดภัยทางเว็บ : ตัวกรองอีเมล: ใช้โซลูชันการกรองอีเมลเพื่อบล็อกฟิชชิ่งและอีเมลที่เป็นอันตราย การท่องเว็บ: หลีกเลี่ยงการเยี่ยมชมเว็บไซต์ที่น่าสงสัยและเข้าถึงลิงก์ที่ไม่รู้จักหรือดาวน์โหลดไฟล์แนบจากแหล่งที่ไม่ได้ตรวจสอบ
การใช้มาตรการที่ครอบคลุมเหล่านี้ทำให้ผู้ใช้สามารถลดความเสี่ยงของการติดมัลแวร์และแรนซัมแวร์ได้อย่างมาก เพิ่มมาตรการรักษาความปลอดภัยโดยรวมให้สูงสุด และเตรียมพร้อมรับมือกับภัยคุกคามที่อาจเกิดขึ้นได้ดียิ่งขึ้น
บันทึกค่าไถ่ที่ Dkq Ransomware ส่งมามีดังนี้:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: dkqcnr@cock.li YOUR ID 9ECFA84E
If you have not answered by mail within 12 hours, write to us by another mail:d.hanry@tutamail.comFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)How to obtain Bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.The message contained in the text file of Dkq Ransomware is:
all your data has been locked us
You want to return?
write email dkqcnr@cock.li or d.hanry@tutamail.com'
