Hype Ransomware
Hype Ransomware เป็นตัวอย่างทั่วไปของมัลแวร์เข้ารหัสไฟล์สมัยใหม่ โดยจะถอดรหัสข้อมูลของเหยื่อ ทิ้งข้อความเรียกค่าไถ่ และใส่นามสกุลไฟล์และรหัสประจำตัวเฉพาะลงในไฟล์ที่เข้ารหัส การปกป้องอุปกรณ์จากภัยคุกคามอย่าง Hype เป็นสิ่งสำคัญอย่างยิ่ง เพราะเมื่อการเข้ารหัสเสร็จสิ้น ไฟล์มักจะไม่สามารถกู้คืนได้หากไม่มีคีย์ส่วนตัวของผู้โจมตี และการจ่ายเงินให้ผู้โจมตีก็ไม่ได้รับประกันว่าจะกู้คืนได้ ขณะเดียวกันก็ส่งเสริมให้เกิดอาชญากรรมเพิ่มขึ้นอีกด้วย
สารบัญ
Hype ทำอะไร — สรุปพฤติกรรม
การวิเคราะห์แสดงให้เห็นว่า Hype กำหนดเป้าหมายไฟล์ของผู้ใช้และเปลี่ยนชื่อไฟล์โดยเพิ่มข้อมูลติดต่อของผู้โจมตีและรหัสเฉพาะของเหยื่อ จากนั้นจึงเพิ่มนามสกุลไฟล์ใหม่ ในตัวอย่างที่วิเคราะห์ ไฟล์จะถูกเปลี่ยนชื่อเป็นรูปแบบที่คล้ายกับ:
'ชื่อต้นฉบับ.EXT' → 'ชื่อต้นฉบับ.EXT.EMAIL=[ranshype@gmail.com
]ID=[000C91DC347DF549].ไฮป์'
จดหมายเรียกค่าไถ่ที่ชื่อประมาณว่า 'hype Ransmoware.txt' ถูกทิ้ง โดยอ้างว่าระบบ 'ไม่มีการป้องกัน' เสนอ 'แก้ไข' สถานการณ์ และแนะนำให้เหยื่อส่งไฟล์ทดสอบเพื่อพิสูจน์การถอดรหัส จดหมายดังกล่าวมีที่อยู่อีเมลสองแห่งที่ 'ranshype@gmail.com'
และ 'ranshype@tuta.io' และ Telegram handle (@hype20233) เป็นช่องทางการติดต่อ
การโจมตีทำงานอย่างไร — ภาพรวมทางเทคนิค
Hype ดำเนินตามวงจรชีวิตของแรนซัมแวร์ทั่วไป หลังจากการดำเนินการครั้งแรก (มักผ่านไฟล์แนบที่เป็นอันตราย โปรแกรมดาวน์โหลด โปรแกรมโจมตี หรือซอฟต์แวร์ที่ถอดรหัสได้) มันจะสแกนพื้นที่จัดเก็บที่เข้าถึงได้เพื่อค้นหาประเภทไฟล์เป้าหมาย เข้ารหัสด้วยคีย์แบบสมมาตร จากนั้นโดยทั่วไปจะเข้ารหัสหรือป้องกันคีย์นั้นโดยใช้กลไกที่สองที่ผู้โจมตีถือครอง ไฟล์ที่เข้ารหัสจะถูกเปลี่ยนชื่อเพื่อระบุความเป็นเจ้าของและนำเหยื่อไปยังบันทึกเรียกค่าไถ่ เนื่องจากการถอดรหัสจำเป็นต้องใช้คีย์ของผู้โจมตีหรือการสำรองข้อมูลที่เตรียมไว้ล่วงหน้า เหยื่อที่ไม่มีการสำรองข้อมูลที่เชื่อถือได้จึงเหลือตัวเลือกในการกู้คืนน้อยมาก
ผลกระทบและการฟื้นฟู
แรนซัมแวร์อย่าง Hype ก่อให้เกิดการสูญเสียข้อมูล การหยุดชะงักในการดำเนินงาน และอาจเกิดการสูญเสียทางธุรกิจขั้นปลาย หรือความเสี่ยงด้านกฎระเบียบ การกู้คืนโดยไม่มีการสำรองข้อมูลนั้นมีโอกาสเกิดขึ้นได้ยาก เนื่องจากไฟล์ที่เข้ารหัสส่วนใหญ่ไม่สามารถกู้คืนได้หากไม่มีเครื่องมือถอดรหัสของผู้โจมตี ขอแนะนำอย่างยิ่งให้เหยื่ออย่าคิดว่าการชำระเงินจะรับประกันการส่งคืนไฟล์ ผู้โจมตีอาจไม่สามารถถอดรหัสได้ เรียกร้องให้ชำระเงินเพิ่ม หรือนำข้อมูลที่ขโมยมากลับมาใช้ซ้ำ เส้นทางการกู้คืนที่ถูกต้องมักประกอบด้วย: การแยกระบบที่ติดไวรัส การล้างข้อมูลและกู้คืนจากการสำรองข้อมูลที่ทราบว่าใช้งานได้ และการเพิ่มความแข็งแกร่งให้กับโครงสร้างพื้นฐานเพื่อป้องกันการติดไวรัสซ้ำ
แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดเพื่อลดความเสี่ยง
การสำรองข้อมูลและการกู้คืนข้อมูลที่ผ่านการทดสอบเป็นประจำ : เก็บสำเนาข้อมูลสำคัญอย่างน้อยสองชุด หนึ่งชุดในเครื่องเพื่อการกู้คืนอย่างรวดเร็ว และอีกหนึ่งชุดนอกสถานที่หรือในบริการคลาวด์ และตรวจสอบให้แน่ใจว่าการสำรองข้อมูลถูกแยกไว้ต่างหาก เพื่อไม่ให้แรนซัมแวร์เข้าถึงได้ ทดสอบการกู้คืนข้อมูลบ่อยๆ
การจัดการแพตช์และสินค้าคงคลัง : รักษาซอฟต์แวร์และสินทรัพย์ให้ทันสมัยอยู่เสมอ และใช้แพตช์ความปลอดภัยกับระบบปฏิบัติการ แอปพลิเคชัน และอุปกรณ์เครือข่ายทันที
หลักการของสิทธิ์ขั้นต่ำและการแบ่งส่วนเครือข่าย : จำกัดสิทธิ์ของผู้ใช้เพื่อให้เฉพาะผู้ที่จำเป็นต้องเข้าถึงเท่านั้นที่มีสิทธิ์ แบ่งส่วนเครือข่ายเพื่อให้จุดสิ้นสุดที่ติดไวรัสไม่สามารถเข้าถึงการสำรองข้อมูล เซิร์ฟเวอร์ หรือส่วนอื่นๆ ได้อย่างอิสระ
การตรวจจับและตอบสนองปลายทาง (EDR) + แอนตี้มัลแวร์ : ปรับใช้ EDR/แอนตี้ไวรัสสมัยใหม่พร้อมการตรวจจับพฤติกรรมที่สามารถบล็อกหรือแจ้งเตือนกิจกรรมการเข้ารหัสที่น่าสงสัย ปรับแต่งการแจ้งเตือนเพื่อลดสัญญาณรบกวนและรับรองการตรวจสอบโดยมนุษย์อย่างทันท่วงที
ความปลอดภัยอีเมลและเว็บ : ใช้การกรองอีเมลขั้นสูง บล็อกไฟล์แนบที่น่าสงสัยและเอกสารที่เปิดใช้งานแมโคร และใช้การกรองเว็บเพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงไซต์อันตรายที่รู้จัก
การยืนยันตัวตนแบบหลายปัจจัย (MFA) : ต้องใช้ MFA สำหรับการเข้าถึงระยะไกล บัญชีผู้ดูแลระบบ และบริการคลาวด์ เพื่อลดความเสี่ยงในการเข้าควบคุมบัญชี
การหลีกเลี่ยงการชำระเงินและการก้าวไปข้างหน้า
การจ่ายค่าไถ่เป็นทางเลือกที่มีความเสี่ยงสูงและมักไม่ได้ผล ไม่ได้รับประกันว่าจะได้ไฟล์คืน และยังเป็นการระดมทุนเพิ่มเติมให้กับปฏิบัติการทางอาญาอีกด้วย ควรมุ่งเน้นทรัพยากรไปที่การควบคุม การกู้คืนข้อมูลจากการสำรองข้อมูลที่ปลอดภัย และการปรับปรุงมาตรการรักษาความปลอดภัยของคุณ เพื่อไม่ให้การโจมตีแบบเดียวกันนี้ประสบความสำเร็จอีก หากคุณขาดศักยภาพภายในองค์กร ควรจ้างบริษัทรับมือเหตุการณ์และนิติวิทยาศาสตร์ที่มีชื่อเสียงมาช่วยเหลือ การดำเนินการอย่างรวดเร็วและเชี่ยวชาญจะช่วยลดความเสียหายและเพิ่มโอกาสในการกู้คืนได้อย่างสมบูรณ์
System Messages
The following system messages may be associated with Hype Ransomware:
hype Ransmoware |
