เอ็มไพร์แรนซัมแวร์
ในกระบวนการตรวจสอบภัยคุกคามมัลแวร์ที่อาจเกิดขึ้น นักวิเคราะห์ความปลอดภัยทางไซเบอร์ได้ระบุตัวแปรแรนซัมแวร์ชื่อ Empire แรนซัมแวร์สายพันธุ์เฉพาะนี้ใช้วิธีการทำให้ไฟล์ของเหยื่อไม่สามารถเข้าถึงได้โดยการเข้ารหัสไฟล์เหล่านั้น ดังนั้นจึงเป็นการจำกัดการเข้าถึงของเหยื่อ โดยเฉพาะอย่างยิ่ง Empire เปลี่ยนชื่อไฟล์โดยการต่อท้ายนามสกุล '.emp' ในแต่ละไฟล์ที่ได้รับผลกระทบ ตัวอย่างเช่น ไฟล์ที่เดิมชื่อ '1.png' จะถูกแปลงเป็น '1.png.emp' และ '2.doc' จะกลายเป็น '2.doc.emp' และอื่นๆ
ยิ่งไปกว่านั้น Empire ยังทิ้งร่องรอยอันโดดเด่นไว้ด้วยการสร้างไฟล์ชื่อ 'HOW-TO-DECRYPT.txt' ไฟล์ข้อความนี้ทำหน้าที่เป็นบันทึกเรียกค่าไถ่ โดยให้คำแนะนำแก่เหยื่อเกี่ยวกับวิธีการดำเนินการตามกระบวนการถอดรหัส
Empire Ransomware ขู่กรรโชกเหยื่อโดยยึดข้อมูลเป็นตัวประกัน
ผู้โจมตีอ้างว่าได้เข้ารหัสไฟล์ทั้งหมดบนคอมพิวเตอร์ของเหยื่ออย่างปลอดภัย พวกเขายืนยันว่าการกู้คืนไฟล์เหล่านี้ขึ้นอยู่กับการจ่ายค่าไถ่สำหรับตัวถอดรหัสที่มีเพียงผู้โจมตีเท่านั้นที่ครอบครอง เพื่อเริ่มกระบวนการกู้คืน เหยื่อจะได้รับคำสั่งให้รับตัวถอดรหัสโดยติดต่อบอท Telegram ซึ่งสามารถเข้าถึงได้ผ่านลิงก์ที่ให้ไว้
ในกรณีที่ไม่สามารถเข้าถึงบอต Telegram ได้ จะมีการระบุวิธีการสื่อสารอื่นผ่านทางอีเมล (howtodecryptreserve@proton.me) หมายเหตุค่าไถ่จะออกคำเตือนไม่ให้พยายามกู้คืนไฟล์โดยอิสระ โดยเน้นถึงความเป็นไปได้ที่จะเกิดความเสียหายที่ไม่สามารถย้อนกลับได้ ผู้ที่ตกเป็นเหยื่อจะได้รับคำเตือนเพิ่มเติมว่าอย่าปิดคอมพิวเตอร์จนกว่ากระบวนการถอดรหัสจะเสร็จสิ้น ซึ่งบ่งบอกถึงความละเอียดอ่อนของขั้นตอนการกู้คืน
ผู้ที่ได้รับผลกระทบจากแรนซัมแวร์ไม่ควรยอมจำนนต่อความต้องการของผู้คุกคามด้วยการชำระเงิน เนื่องจากไม่มีการรับประกันว่าจะได้รับเครื่องมือถอดรหัสเป็นการตอบแทน น่าเสียดายที่การถอดรหัสไฟล์โดยไม่เกี่ยวข้องกับอาชญากรไซเบอร์นั้นแทบจะเป็นไปไม่ได้เลย เว้นแต่ว่าแรนซัมแวร์จะมีช่องโหว่หรือข้อบกพร่องโดยธรรมชาติ หรือหากเหยื่อสามารถเข้าถึงการสำรองข้อมูลที่ไม่ได้รับผลกระทบ
สิ่งสำคัญที่สุดคือเน้นการลบแรนซัมแวร์ออกจากระบบปฏิบัติการทันที ในขณะที่คอมพิวเตอร์ยังคงติดไวรัส แรนซัมแวร์ก็มีความเสี่ยงที่จะทำให้เกิดการเข้ารหัสเพิ่มเติม และอาจแพร่กระจายไปทั่วเครือข่ายท้องถิ่น ส่งผลให้ผลกระทบของการโจมตีรุนแรงขึ้น ดังนั้นการตอบสนองอย่างรวดเร็วและทั่วถึงเพื่อกำจัดแรนซัมแวร์จึงเป็นสิ่งจำเป็นในการบรรเทาความเสียหายเพิ่มเติม
รักษาความปลอดภัยอุปกรณ์ทั้งหมดจากการบุกรุกของมัลแวร์ที่อาจเกิดขึ้น
การรักษาความปลอดภัยอุปกรณ์จากการบุกรุกของมัลแวร์ที่อาจเกิดขึ้นเป็นพื้นฐานในการปกป้องข้อมูลที่ละเอียดอ่อนและรักษาความสมบูรณ์ของระบบ คำแนะนำที่ครอบคลุมเกี่ยวกับวิธีที่ผู้ใช้สามารถเสริมการรักษาความปลอดภัยของอุปกรณ์ของตนได้มีดังนี้
- ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ที่เชื่อถือได้ : เลือกซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงจากผู้ขายที่เชื่อถือได้ อัปเดตซอฟต์แวร์ความปลอดภัยอยู่เสมอเพื่อให้แน่ใจว่าสามารถตรวจจับและต่อต้านภัยคุกคามล่าสุดได้
- อัปเดตระบบปฏิบัติการและซอฟต์แวร์เป็นประจำ : เปิดใช้งานการอัปเดตอัตโนมัติสำหรับระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ การอัปเดตเป็นประจำจะแก้ไขช่องโหว่ที่มัลแวร์มักโจมตี
- ใช้ไฟร์วอลล์ : เปิดใช้งานและกำหนดค่าไฟร์วอลล์บนเราเตอร์เครือข่ายและอุปกรณ์แต่ละเครื่อง ไฟร์วอลล์ทำหน้าที่เป็นอุปสรรคในการบล็อกการเข้าถึงโดยไม่ได้รับอนุญาตและมัลแวร์ที่อาจเกิดขึ้น
- ใช้ความระมัดระวังกับอีเมล : หลีกเลี่ยงการเข้าถึงไฟล์แนบอีเมลหรือลิงก์จากแหล่งที่ไม่รู้จักหรือน่าสงสัย ใช้เครื่องมือกรองอีเมลเพื่อตรวจจับและกักกันอีเมลที่อาจเป็นอันตราย
- ใช้แนวทางปฏิบัติในการท่องเว็บอย่างปลอดภัย : ใช้เว็บเบราว์เซอร์ที่ปลอดภัยและอัปเดต ติดตั้งส่วนขยายหรือส่วนเสริมของเบราว์เซอร์ที่บล็อกสคริปต์และโฆษณาที่ไม่ปลอดภัย
- ให้ความรู้แก่ตนเองและปรับใช้พฤติกรรมออนไลน์อย่างปลอดภัย : รับข่าวสารเกี่ยวกับภัยคุกคามออนไลน์ทั่วไปและกลวิธีฟิชชิ่ง โปรดใช้ความระมัดระวังเมื่อเยี่ยมชมเว็บไซต์ที่ไม่คุ้นเคย และหลีกเลี่ยงการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ
- สำรองข้อมูลเป็นประจำ : สำรองข้อมูลสำคัญเป็นประจำไปยังอุปกรณ์อิสระหรือบริการคลาวด์ที่ปลอดภัย ตรวจสอบให้แน่ใจว่าข้อมูลสำรองไม่สามารถเข้าถึงได้โดยตรงจากเครือข่าย เพื่อป้องกันมัลแวร์จากการบุกรุกข้อมูลเหล่านั้น
ด้วยการบูรณาการแนวปฏิบัติด้านความปลอดภัยเหล่านี้เข้ากับกิจวัตรประจำวัน ผู้ใช้สามารถสร้างการป้องกันที่แข็งแกร่งต่อการบุกรุกของมัลแวร์ที่อาจเกิดขึ้น ซึ่งลดความเสี่ยงในการโจมตีอุปกรณ์และข้อมูลของตน การเฝ้าระวัง การให้ความรู้ และมาตรการเชิงรุกเป็นประจำเป็นองค์ประกอบสำคัญของกลยุทธ์การรักษาความปลอดภัยที่ครอบคลุม
บันทึกค่าไถ่ที่ตกโดย Empire Ransomware อ่านว่า:
'Empire welcomes you!
All your files are securely encrypted by our software.
Unfortunately, nothing will be restored without our key and decryptor.
In this regard, we suggest you buy our decryptor to recover your information.
To communicate, use the Telegram bot at this linkhxxps://t.me/how_to_decrypt_bot
If the bot is unavailable, then write to the reserve email address: HowToDecryptReserve@proton.me
There you will receive an up-to-date contact for personal communication.
อย่าพยายามกู้คืนไฟล์ด้วยตัวเอง เพราะไฟล์อาจเสียหายและเราจะไม่สามารถส่งคืนได้ และพยายามอย่าปิดคอมพิวเตอร์ของคุณจนกว่าจะถอดรหัส
ID ของคุณคือ [-]'
