DragonForce Ransomware
DragonForce Ransomware เป็นซอฟต์แวร์ที่เป็นอันตราย ได้รับการออกแบบมาเพื่อเข้ารหัสไฟล์บนคอมพิวเตอร์ของเหยื่อ ทำให้เข้าถึงไม่ได้จนกว่าจะจ่ายค่าไถ่ แรนซัมแวร์นี้มีความโดดเด่นเป็นพิเศษในการเพิ่มนามสกุลไฟล์ .'dragonforce_encrypted' ให้กับชื่อของไฟล์ที่เข้ารหัส นอกจากนี้ ยังทิ้งข้อความเรียกค่าไถ่ชื่อ 'readme.txt' เอาไว้ ซึ่งแนะนำเหยื่อเกี่ยวกับวิธีการเข้าถึงไฟล์ของพวกเขาอีกครั้ง
สารบัญ
วิธีการทำงานของ DragonForce Ransomware
- การแทรกซึม : โดยทั่วไปแล้ว DragonForce Ransomware จะแทรกซึมเข้าไปในระบบผ่านอีเมลฟิชชิ่ง การดาวน์โหลดที่ฉ้อโกง หรือการใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ล้าสมัย
- การเข้ารหัส : เมื่อเข้าไปข้างในแล้ว แรนซัมแวร์จะสแกนระบบเพื่อหาไฟล์ที่จะเข้ารหัส มันสามารถส่งผลกระทบต่อไฟล์ได้หลายประเภทเพื่อเพิ่มความเสียหายสูงสุดและรับประกันความร่วมมือของเหยื่อ
- นามสกุลไฟล์ : แต่ละไฟล์ที่ได้รับผลกระทบจะได้รับนามสกุล '.dragonforce_encrypted' หลังจากการเข้ารหัส ตัวอย่างเช่น ไฟล์ชื่อ document.docx จะถูกเปลี่ยนชื่อเป็น document.docx.dragonforce_encrypted
- หมายเหตุค่าไถ่ : แรนซัมแวร์สร้างบันทึกค่าไถ่ชื่อ 'readme.txt' ในไดเร็กทอรีต่างๆ บนระบบที่ติดไวรัส หมายเหตุนี้ให้คำแนะนำเกี่ยวกับวิธีการติดต่อผู้โจมตีและวิธีการชำระค่าไถ่
เนื้อหาของบันทึกค่าไถ่
โดยทั่วไปไฟล์ 'readme.txt' จะมีข้อมูลต่อไปนี้:
- การแจ้งเตือนการเข้ารหัส : ข้อความแจ้งว่าไฟล์ของเหยื่อถูกเข้ารหัสและไม่สามารถเข้าถึงได้
- ความต้องการค่าไถ่ : แม้ว่าบันทึกไม่ได้ระบุจำนวนเงินค่าไถ่ แต่ก็แจ้งให้เหยื่อทราบว่าพวกเขาจะต้องจ่ายค่าไถ่เพื่อถอดรหัสไฟล์ของพวกเขา
- วิธีการติดต่อ : คำแนะนำในการติดต่อผู้โจมตีผ่านทางเว็บไซต์ Tor หรือการแชท Tox สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับจำนวนเงินค่าไถ่และขั้นตอนการชำระเงิน
ขั้นตอนที่แนะนำเมื่อติด Ransomware
การติดแรนซัมแวร์อาจเป็นประสบการณ์ที่ตึงเครียด แต่การตอบสนองอย่างใจเย็นและมีระเบียบวิธีเป็นสิ่งสำคัญ นี่คือขั้นตอนในการดำเนินการ:
- แยกระบบที่ติดไวรัส : ตัดการเชื่อมต่อพีซีที่ติดไวรัสออกจากเครือข่ายทันที (ทั้งแบบมีสายและไร้สาย) เพื่อป้องกันไม่ให้แรนซัมแวร์แพร่กระจายไปยังอุปกรณ์อื่น
- อย่าจ่ายค่าไถ่ : ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์มักไม่แนะนำให้จ่ายค่าไถ่ การจ่ายเงินไม่ได้หมายความว่าผู้โจมตีจะถอดรหัสไฟล์ของคุณ และยังสนับสนุนกิจกรรมทางอาญาเพิ่มเติมอีกด้วย
- ระบุแรนซัมแวร์ : กำหนดสายพันธุ์เฉพาะของแรนซัมแวร์ มีเครื่องมือที่สามารถช่วยระบุแรนซัมแวร์ตามบันทึกค่าไถ่และนามสกุลไฟล์ที่เข้ารหัส
- รายงานการโจมตี : รายงานเหตุการณ์ดังกล่าวต่อหน่วยงานบังคับใช้กฎหมายในพื้นที่และหน่วยงานอาชญากรรมทางไซเบอร์ ในสหรัฐอเมริกา นี่จะเป็นศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (IC3) ของ FBI
- ขอความช่วยเหลือจากผู้เชี่ยวชาญ : ปรึกษากับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่สามารถช่วยในกระบวนการกู้คืนได้ พวกเขาอาจสามารถถอดรหัสไฟล์ของคุณหรือเสนอวิธีแก้ปัญหาอื่น ๆ ได้
- กู้คืนจากข้อมูลสำรอง : หากคุณมีข้อมูลสำรองล่าสุดที่ไม่ถูกบุกรุก คุณสามารถกู้คืนไฟล์ได้จากที่นั่น ตรวจสอบให้แน่ใจว่าข้อมูลสำรองสะอาดก่อนทำการกู้คืน
- ใช้เครื่องมือถอดรหัส : บางครั้งมีเครื่องมือถอดรหัสฟรีสำหรับแรนซัมแวร์สายพันธุ์เฉพาะ
- ทำความสะอาดระบบ : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงเพื่อสแกนและทำความสะอาดระบบของคุณจากส่วนประกอบของแรนซัมแวร์ที่เหลืออยู่ ขั้นตอนนี้จำเป็นเพื่อป้องกันการติดเชื้อซ้ำ
- อัปเดตและแพทช์ : ตรวจสอบให้แน่ใจว่าซอฟต์แวร์และระบบปฏิบัติการของคุณทันสมัยด้วยแพตช์ความปลอดภัยล่าสุด ซึ่งจะช่วยป้องกันการติดเชื้อในอนาคต
- ใช้แนวทางปฏิบัติด้านความปลอดภัยที่เข้มงวด :
- ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกันสำหรับทุกบัญชี
- เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยหากเป็นไปได้
- สำรองข้อมูลของคุณไปยังไดรฟ์อิสระหรือที่เก็บข้อมูลบนคลาวด์เป็นประจำ
- โปรดใส่ใจกับไฟล์แนบอีเมลและลิงก์จากแหล่งที่ไม่รู้จัก
- ให้ความรู้แก่ตัวเองและพนักงานของคุณเกี่ยวกับฟิชชิ่งและการโจมตีทางวิศวกรรมสังคมอื่นๆ
DragonForce Ransomware เป็นภัยคุกคามที่ทรงพลังซึ่งสามารถทำให้เกิดการหยุดชะงักและการสูญเสียข้อมูลได้อย่างมาก การทำความเข้าใจวิธีดำเนินการและการทราบขั้นตอนที่ถูกต้องในการดำเนินการเมื่อติดไวรัสสามารถลดความเสียหายและเพิ่มโอกาสในการกู้คืนข้อมูลของคุณได้ จัดลำดับความสำคัญของมาตรการป้องกันและสำรองข้อมูลอย่างสม่ำเสมอเพื่อป้องกันการโจมตีดังกล่าว
ด้านล่างนี้คุณจะพบกับข้อความสุ่มของ DragonForce Ransomware:
'Your files have been stolen from your network and encrypted with a strong algorithm. We work for money and are not associated with politics. All you need to do is contact us and pay.
--- Our communication process:
1. You contact us.
2. We send you a list of files that were stolen.
3. We decrypt 1 file to confirm that our decryptor works.
4. We agree on the amount, which must be paid using BTC.
5. We delete your files, we give you a decryptor.
6. We give you a detailed report on how we compromised your company, and recommendations on how to avoid such situations in the future.
--- Client area (use this site to contact us):Link for Tor Browser: -
>>> Use this ID: 5259BC46FA73563564AA07A84EC63608 to begin the recovery process.* In order to access the site, you will need Tor Browser,
you can download it from this link: hxxps://www.torproject.org/--- Additional contacts:
Support Tox: 1C054B722BCBF41A918EF3C485712742088F5C3E81B2FDD91ADEA6BA55F4A856D90A65E99D20
--- Recommendations:
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.--- Important:
If you refuse to pay or do not get in touch with us, we start publishing your files.
12/07/2024 00:00 UTC the decryptor will be destroyed and the files will be published on our blog.Blog: -
Sincerely, 01000100 01110010 01100001 01100111 01101111 01101110 01000110 01101111 01110010 01100011 01100101'
