FileCoder macOS Ransomware
อาชญากรไซเบอร์กำลังพัฒนาวิธีการใหม่ๆ อย่างต่อเนื่องเพื่อแสวงหาผลประโยชน์จากผู้ใช้ที่ไม่ทันระวัง และแรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามที่สร้างความเสียหายมากที่สุด ในบรรดาผู้ใช้ macOS แรนซัมแวร์ FileCoder หรือที่รู้จักกันในชื่อ Patcher หรือ Findzip ถือเป็นตัวอย่างที่โด่งดัง เมื่อเปิดใช้งานแล้ว มันจะเข้ารหัสไฟล์ส่วนตัวของคุณและเรียกเก็บเงินสำหรับการปล่อยไฟล์ น่าเสียดายที่โค้ดของ FileCoder ที่ไม่ดีหมายความว่าแม้แต่การจ่ายเงินก็ไม่สามารถกู้คืนข้อมูลของคุณได้ ดังนั้นกลยุทธ์การป้องกันที่แข็งแกร่งจึงเป็นสิ่งจำเป็น
สารบัญ
FileCoder Ransomware คืออะไร?
FileCoder เป็นแรนซัมแวร์เข้ารหัสไฟล์ที่พุ่งเป้าโจมตีระบบ macOS มักปลอมตัวเป็นเครื่องมือแพตช์สำหรับซอฟต์แวร์ยอดนิยมอย่าง Adobe Premiere Pro CC และ Microsoft Office 2016 นักวิจัยสังเกตเห็นว่ามันแพร่กระจายผ่านแพลตฟอร์ม BitTorrent เป็นครั้งแรก ทำให้ผู้ใช้ที่แสวงหาซอฟต์แวร์ละเมิดลิขสิทธิ์กลายเป็นเหยื่อหลัก
มัลแวร์นี้ส่งผลกระทบต่อระบบที่ใช้ระบบปฏิบัติการ OS X 10.11.x (El Capitan) และ macOS 10.12.x เป็นหลัก แม้ว่าเวอร์ชันเก่าและใหม่กว่าก็อาจได้รับผลกระทบได้เช่นกัน ไฟล์ปฏิบัติการของมัลแวร์นี้ไม่ได้ลงนามโดย Apple ซึ่งถือเป็นสัญญาณเตือนสำหรับผู้ใช้ที่ระมัดระวัง
FileCoder ติดเชื้ออุปกรณ์ได้อย่างไร?
กระบวนการติดไวรัสเริ่มต้นขึ้นเมื่อผู้ใช้ดาวน์โหลดสิ่งที่ดูเหมือน 'โปรแกรมแก้ไข' หรือ 'แคร็กเกอร์' สำหรับซอฟต์แวร์พรีเมียมจากเว็บไซต์ทอร์เรนต์ เมื่อเปิดใช้งาน โปรแกรมแก้ไขปลอมจะแสดงหน้าต่างความคืบหน้าที่มีสามขั้นตอน แต่นี่เป็นเพียงการรบกวนเท่านั้น กระบวนการเข้ารหัสจะเริ่มต้นทันทีหลังจากที่ผู้ใช้คลิก 'เริ่ม' เมื่ออินเทอร์เฟซแสดงขั้นตอนที่ 2/3 ความเสียหายก็เกิดขึ้นแล้ว
FileCoder เข้ารหัสทุกอย่างในโฟลเดอร์ Users โดยปล่อยให้ไฟล์ระบบและแอปพลิเคชันไม่ถูกแตะต้อง ไดรฟ์ภายนอกและไดรฟ์เครือข่ายที่เชื่อมต่อขณะดำเนินการก็ตกเป็นเป้าหมายเช่นกัน มัลแวร์สร้างคีย์เข้ารหัสแบบสุ่ม 25 อักขระภายในเครื่องและลบไฟล์ต้นฉบับโดยใช้คำสั่ง rm มัลแวร์ยังพยายามล้างพื้นที่ว่างด้วย diskutil แต่ล้มเหลวเนื่องจากเส้นทางไฟล์ไม่ถูกต้อง ซึ่งเป็นข้อผิดพลาดที่ทำให้มีโอกาสกู้คืนข้อมูลได้เพียงบางส่วนเท่านั้น
เกิดอะไรขึ้นหลังการเข้ารหัส?
เมื่อการเข้ารหัสเสร็จสิ้น เดสก์ท็อปของผู้ใช้จะเต็มไปด้วยบันทึกเรียกค่าไถ่ เช่น README.txt และ DECRYPT!.txt เหยื่อจะได้รับคำสั่งให้จ่ายเงิน 280 ดอลลาร์สหรัฐฯ เป็น Bitcoin เพื่อปลดล็อกไฟล์ภายใน 24 ชั่วโมง หรือ 500 ดอลลาร์สหรัฐฯ สำหรับการถอดรหัสที่รวดเร็วขึ้น อย่างไรก็ตาม คำสั่งนี้ถือเป็นการหลอกลวง เนื่องจาก FileCoder ไม่มีความสามารถในการสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ หรือส่งคีย์ถอดรหัส กล่าวอีกนัยหนึ่ง การจ่ายค่าไถ่จะไม่สามารถกู้คืนการเข้าถึงไฟล์ของคุณได้
นอกจากนี้ แรนซัมแวร์ยังเปลี่ยนวันที่แก้ไขไฟล์ที่เข้ารหัสเป็นวันที่ 13 กุมภาพันธ์ 2553 โดยไม่ทราบสาเหตุ เมื่อรีบูตระบบ จะปรากฏหน้าจอ "ลงชื่อเข้าใช้ iCloud" ซึ่งค่ากำหนดและการตั้งค่าของผู้ใช้จะถูกเข้ารหัสพร้อมกับข้อมูล
จุดอ่อนและทางเลือกในการกู้คืน
แม้ว่าจะมีศักยภาพในการทำลายล้าง แต่ FileCoder ก็ยังมีข้อบกพร่องหลายประการ:
- การเข้ารหัสไฟล์จะช้า ใช้เวลาประมาณ 30 วินาทีสำหรับไฟล์วิดีโอขนาด 250 MB การดำเนินการอย่างรวดเร็วสามารถหยุดการเข้ารหัสได้
- การออกจากแอปพลิเคชันระหว่างกระบวนการจะหยุดการเข้ารหัสไฟล์เพิ่มเติม
- เส้นทาง diskutil ที่ไม่ถูกต้องจะทำให้ไม่สามารถลบข้อมูลอย่างปลอดภัยได้ทั้งหมด จึงทำให้สามารถกู้คืนข้อมูลบางส่วนโดยใช้เครื่องมือเช่น Data Rescue
นักวิจัยยังได้พัฒนาวิธีการถอดรหัสไฟล์ที่เข้ารหัสด้วย FileCoder อีกด้วย กระบวนการนี้ค่อนข้างน่าเบื่อและต้องใช้ความรู้ทางเทคนิค แต่กลับเป็นทางเลือกสุดท้ายสำหรับเหยื่อ
ในการพยายามกู้คืนไฟล์ ผู้เสียหายจะต้องมีทรัพยากรหลายอย่าง ได้แก่ คอมพิวเตอร์ที่ใช้งานได้เครื่องที่สอง สำเนาที่ไม่ได้เข้ารหัสของไฟล์ที่เข้ารหัสอย่างน้อยหนึ่งไฟล์ โปรแกรมแก้ไขข้อความที่เชื่อถือได้ เครื่องมือบรรทัดคำสั่งของ Xcode และ pkcrack ซึ่งเป็นยูทิลิตี้ที่ดำเนินการโจมตีข้อความธรรมดาที่รู้จักกับการเข้ารหัสไฟล์ ZIP
อย่างไรก็ตาม การมีไฟล์ต้นฉบับที่ไม่ได้เข้ารหัสนั้นไม่ได้เป็นสิ่งจำเป็นเสมอไป หากไม่มีไฟล์ดังกล่าว ผู้ใช้อาจใช้ประโยชน์จากแรนซัมแวร์เพื่อโจมตีตัวเอง ในกรณีที่แอปพลิเคชัน FileCoder ถูกเรียกใช้งานจากภายในโฟลเดอร์ของผู้ใช้ เช่น ไดเรกทอรีดาวน์โหลด มัลแวร์อาจเข้ารหัสไฟล์ปฏิบัติการของตัวเอง ผู้ที่ตกเป็นเหยื่อสามารถดาวน์โหลดสำเนาใหม่ของแอปพลิเคชันที่ติดไวรัสมาช่วยในกระบวนการถอดรหัสได้
นักวิจัยเตือนว่าวิธีนี้ค่อนข้างช้าและต้องใช้แรงงานมาก เนื่องจากไม่สามารถถอดรหัสข้อมูลจำนวนมากได้ อย่างไรก็ตาม สำหรับผู้ที่มุ่งมั่นที่จะเข้าถึงข้อมูลของตนอีกครั้ง วิธีนี้ถือเป็นทางเลือกสุดท้ายที่ใช้งานได้
แนวทางปฏิบัติด้านความปลอดภัยที่ได้รับการพิสูจน์แล้วเพื่อป้องกันการติดเชื้อ
การป้องกันการติดแรนซัมแวร์อย่าง FileCoder นั้นง่ายกว่าการกู้คืนจากแรนซัมแวร์มาก ปฏิบัติตามมาตรการรักษาความปลอดภัยเหล่านี้เพื่อปกป้องระบบของคุณ:
1. นิสัยการใช้คอมพิวเตอร์อย่างปลอดภัย
- หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์หรือแพตช์จากเว็บไซต์ทอร์เรนต์หรือแหล่งอื่นๆ ที่ไม่ผ่านการตรวจสอบ
- ตรวจสอบลายเซ็นแอปพลิเคชันเสมอและติดตั้งเฉพาะแอปจากนักพัฒนาที่เชื่อถือได้หรือ Mac App Store อย่างเป็นทางการเท่านั้น
- ติดตามข้อมูลเกี่ยวกับภัยคุกคามและคำแนะนำด้านความปลอดภัยล่าสุด
- การป้องกันระบบที่แข็งแกร่ง
- เปิดใช้งานโซลูชันป้องกันมัลแวร์ที่มีชื่อเสียงและคอยอัปเดตอยู่เสมอ
การผสมผสานแนวทางปฏิบัตินี้จะช่วยลดความเสี่ยงในการถูกคุกคามจากแรนซัมแวร์ได้อย่างมาก และมั่นใจได้ว่าแม้ในสถานการณ์เลวร้ายที่สุด ข้อมูลของคุณก็ยังคงปลอดภัยและกู้คืนได้
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ FileCoder macOS Ransomware:
|
NOT YOUR LANGUAGE? USE https://translate.google.com What happened to your files ? All of your files were protected by a strong encryption method. What do I do ? So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT FOLLOW THESE STEPS: 1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version) 2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb 3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com 4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes) KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME! |
