ฟอร์ซแรนซัมแวร์

ในระหว่างการตรวจสอบภัยคุกคามมัลแวร์ที่อาจเกิดขึ้น นักวิจัยได้ค้นพบ FORCE Ransomware เมื่อแทรกซึมเข้าไปในอุปกรณ์ FORCE จะเริ่มการเข้ารหัสในไฟล์ประเภทต่างๆ ครอบคลุมรูปภาพ เอกสาร สเปรดชีต และอื่นๆ วัตถุประสงค์ของผู้โจมตีคือเพื่อจับข้อมูลที่เข้ารหัสไว้เป็นตัวประกัน และบังคับเหยื่อที่ได้รับผลกระทบให้จ่ายเงินสำหรับการถอดรหัส เพื่อระบุเหยื่อและสร้างการสื่อสาร แรนซัมแวร์จะเพิ่มตัวระบุเฉพาะ ที่อยู่อีเมลของอาชญากรไซเบอร์ และนามสกุล '.FORCE' ต่อท้ายชื่อไฟล์ของไฟล์ที่เข้ารหัส ตัวอย่างเช่น ไฟล์ที่เริ่มแรกชื่อ '1.png' จะถูกแปลงเป็น '1.png.id[9ECFA74E-3545].[data199@mailum.com].FORCE'

เมื่อเสร็จสิ้นกระบวนการเข้ารหัส ระบบจะแสดงบันทึกค่าไถ่ที่เหมือนกันในสองรูปแบบ: หน้าต่างป๊อปอัป ('info.hta') และไฟล์ข้อความ ('info.txt') ข้อความเหล่านี้ปรากฏบนเดสก์ท็อปและภายในไดเร็กทอรีทั้งหมดที่มีไฟล์ที่เข้ารหัส การวิเคราะห์เพิ่มเติมพบว่า FORCE เป็นของตระกูล Phobos Ransomware

FORCE Ransomware รีดไถเหยื่อเพื่อเงิน

บันทึกค่าไถ่ที่ออกโดย FORCE เน้นย้ำว่าไฟล์ของเหยื่อได้รับการเข้ารหัสและข้อมูลที่ละเอียดอ่อนถูกบุกรุก เพื่อให้สามารถเข้าถึงไฟล์ของตนได้อีกครั้ง เหยื่อจะได้รับคำสั่งให้จ่ายค่าไถ่โดยใช้สกุลเงินดิจิทัล Bitcoin เท่านั้น การไม่ปฏิบัติตามข้อเรียกร้องที่ระบุไว้จะส่งผลให้มีการขายข้อมูลที่ถูกขโมย ก่อนที่จะชำระเงิน เหยื่อจะได้รับตัวเลือกให้ทดสอบกระบวนการถอดรหัสได้ฟรี แม้ว่าจะมีข้อจำกัดบางประการก็ตาม

ข้อความดังกล่าวเตือนไม่ให้มีการแก้ไขไฟล์ที่เข้ารหัสหรือการใช้เครื่องมือการกู้คืนของบุคคลที่สาม เนื่องจากการกระทำดังกล่าวอาจทำให้ข้อมูลไม่สามารถเรียกคืนได้ นอกจากนี้ เหยื่อยังได้รับคำเตือนว่าการขอความช่วยเหลือจากบุคคลที่สามอาจทำให้ความสูญเสียทางการเงินบานปลายได้

FORCE Ransomware ใช้มาตรการเพื่อป้องกันการกู้คืนข้อมูลที่ล็อคไว้อย่างง่ายดาย

โปรแกรมคุกคามนี้ ซึ่งเป็นส่วนหนึ่งของตระกูล Phobos Ransomware มีชื่อเสียงในด้านวิธีการเข้ารหัสที่เป็นระบบ แตกต่างจากแรนซัมแวร์บางตัวที่ทำให้เครื่องที่ติดไวรัสไม่สามารถทำงานได้อย่างสมบูรณ์ มัลแวร์ Phobos เลือกกำหนดเป้าหมายไฟล์สำหรับการเข้ารหัส โดยหลีกเลี่ยงไฟล์ระบบที่สำคัญเพื่อให้แน่ใจว่าระบบยังคงทำงานได้ โดยจะเข้ารหัสทั้งไฟล์ที่จัดเก็บไว้ในเครื่องและไฟล์ที่แชร์ผ่านเครือข่าย และยุติกระบวนการที่เกี่ยวข้องกับไฟล์ที่เปิดอยู่ เพื่อป้องกันการยกเว้นตามไฟล์ที่ 'ใช้งานอยู่' เช่น โปรแกรมฐานข้อมูลหรือโปรแกรมอ่านไฟล์ข้อความ

เพื่อป้องกันการเข้ารหัสซ้ำ Phobos Ransomware จะคงรายการยกเว้นของโปรแกรมเรียกค่าไถ่ยอดนิยมไว้ ไฟล์ที่ซอฟต์แวร์ล็อคไว้แล้วในรายการนี้ยังคงไม่ได้รับผลกระทบ นอกจากนี้ Phobos จะลบ Shadow Volume Copies ซึ่งเป็นตัวเลือกการกู้คืนทั่วไป เพื่อป้องกันความพยายามในการกู้คืนข้อมูลเพิ่มเติม

เพื่อให้มั่นใจถึงความคงอยู่บนอุปกรณ์ที่ถูกละเมิด มัลแวร์จะคัดลอกตัวเองไปยังพาธ %LOCALAPPDATA% และลงทะเบียนด้วยคีย์ Run เฉพาะ เพื่อให้แน่ใจว่าจะเริ่มทำงานโดยอัตโนมัติทุกครั้งที่รีบูตระบบ สิ่งที่น่าสนใจคือ Phobos ransomware อาจละเว้นจากการโจมตีอุปกรณ์ตามตำแหน่งทางภูมิศาสตร์ โดยเฉพาะอย่างยิ่งในพื้นที่ที่อ่อนแอทางเศรษฐกิจหรือประเทศที่มีความสอดคล้องกับภูมิรัฐศาสตร์

โดยทั่วไปแล้วการถอดรหัสข้อมูลที่ล็อคโดยแรนซัมแวร์โดยไม่มีการแทรกแซงของอาชญากรไซเบอร์นั้นเป็นไปไม่ได้ แม้ว่าเหยื่อจะปฏิบัติตามข้อเรียกร้องค่าไถ่ แต่ก็ไม่มีการรับประกันว่าพวกเขาจะได้รับคีย์ถอดรหัสหรือซอฟต์แวร์ที่สัญญาไว้ ดังนั้นการจ่ายค่าไถ่ไม่เพียงแต่ล้มเหลวในการรับประกันการกู้คืนข้อมูล แต่ยังทำให้กิจกรรมที่ผิดกฎหมายยืดเยื้ออีกด้วย

แม้ว่าการลบแรนซัมแวร์ออกจากระบบปฏิบัติการจะป้องกันการเข้ารหัสเพิ่มเติม แต่จะไม่กู้คืนไฟล์ที่ถูกบุกรุก ทางออกเดียวที่เชื่อถือได้คือการกู้คืนไฟล์จากข้อมูลสำรองหากมี

อย่าเสี่ยงกับความปลอดภัยของอุปกรณ์และข้อมูลของคุณ

ผู้ใช้สามารถปรับปรุงการป้องกันข้อมูลและอุปกรณ์ของตนจากภัยคุกคามแรนซัมแวร์ได้โดยใช้แนวทางการรักษาความปลอดภัยทางไซเบอร์แบบหลายชั้น ต่อไปนี้เป็นกลยุทธ์ที่มีประสิทธิภาพ:

• อัปเดตซอฟต์แวร์อยู่เสมอ : อัปเดตระบบปฏิบัติการ แอปพลิเคชันซอฟต์แวร์ และโปรแกรมป้องกันไวรัสเป็นประจำเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยและป้องกันการหาประโยชน์ที่ทราบ เปิดใช้งานการอัปเดตอัตโนมัติทุกครั้งที่เป็นไปได้
• ติดตั้งซอฟต์แวร์รักษาความปลอดภัยที่น่าเชื่อถือ : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงเพื่อตรวจจับและลบแรนซัมแวร์และภัยคุกคามที่เป็นอันตรายอื่นๆ ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ป้องกันไวรัสได้รับการอัพเดตเป็นประจำเพื่อจดจำภัยคุกคามล่าสุด
• ระมัดระวังการใช้ไฟล์แนบและลิงก์อีเมล : ระวังอีเมลที่น่าสงสัย โดยเฉพาะอีเมลจากผู้ส่งที่ไม่รู้จักหรือมีไฟล์แนบหรือลิงก์ที่ไม่คาดคิด พยายามอย่าเข้าถึงลิงก์หรือดาวน์โหลดไฟล์แนบจากอีเมลที่ไม่พึงประสงค์ เนื่องจากอาจมีแรนซัมแวร์หรือมัลแวร์อื่นๆ
• สำรองข้อมูลเป็นประจำ : ตั้งค่ากลยุทธ์การสำรองข้อมูลที่มีประสิทธิภาพโดยการสำรองข้อมูลสำคัญไปยังฮาร์ดไดรฟ์ภายนอก บริการจัดเก็บข้อมูลบนคลาวด์ หรืออุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) เป็นประจำ ตรวจสอบให้แน่ใจว่าข้อมูลสำรองถูกเก็บไว้อย่างปลอดภัยและไม่สามารถเข้าถึงได้โดยตรงจากระบบหลัก เพื่อป้องกันไม่ให้ถูกเข้ารหัสโดยแรนซัมแวร์
• ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน : สร้างรหัสผ่านที่รัดกุมและซับซ้อนสำหรับทุกบัญชี และอย่าใช้รหัสผ่านเดียวกันในหลายบัญชี พิจารณาความเป็นไปได้ในการใช้ตัวจัดการรหัสผ่านที่มีชื่อเสียงเพื่อสร้างและจัดเก็บรหัสผ่านอย่างปลอดภัย
• เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) : เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยเพื่อเพิ่มความปลอดภัยให้กับบัญชีของคุณ 2FA กำหนดให้ผู้ใช้รวมการยืนยันรูปแบบที่สอง เช่น รหัสผ่านหรือรหัสที่ส่งไปยังอุปกรณ์มือถือของตน

ด้วยการใช้มาตรการเชิงรุกเหล่านี้ ผู้ใช้สามารถลดโอกาสตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ และปกป้องข้อมูลและอุปกรณ์ได้ดียิ่งขึ้นอย่างมีนัยสำคัญ

ข้อความเรียกค่าไถ่ที่ FORCE Ransomware ตกคือ:

'Your files are encrypted.

AYour data has been compromised, important data has been stolen for the next sale in case of non-payment. But you have the opportunity to return everything.
Write to e-mail: data199@mailum.com
Write this ID in the title of your message -
Or write us to the TOX messenger: F9B62A229F748C0211804208C4229133B1D395CC746C3ACBF80255D2E4484F03306DA0FE3ACB
You can download TOX messenger here hxxps://tox.chat/
Payment for decryption is accepted only in Bitcoin. After payment, I will provide you with the key and complete decryption instructions.

Free decryption as guarantee
Decryption guarantee: you can send to me any 2 files with SIMPLE extensions(jpg,txt,doc, not databases!) and low sizes(max 1 mb), i will decrypt them and send back to you. This is my guarantee.
I don't want to deceive you, I want to earn money. You pay me and continue your work. My honest name is more important than a one-time deception.

How to obtain Bitcoins
Contact me and I will give you instructions on how to purchase bitcoins.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
The intermediary can also convince you that they can restore your data themselves without contacting us, this is not true, any recovery takes place only with my key.'