Intel Ransomware
นักวิจัยได้ค้นพบแรนซัมแวร์สายพันธุ์ใหม่ที่เรียกว่า Intel Ransomware ซอฟต์แวร์ที่เป็นอันตรายนี้จะแทรกซึมเข้าไปในอุปกรณ์ เข้ารหัสข้อมูลที่เก็บไว้ และเรียกร้องค่าไถ่เพื่อแลกกับการถอดรหัสข้อมูลที่ถูกบุกรุก
โดยเฉพาะอย่างยิ่ง ไฟล์ที่ได้รับผลกระทบจากแรนซัมแวร์ของ Intel จะต้องผ่านกระบวนการเปลี่ยนชื่อ ชื่อไฟล์ดั้งเดิมจะถูกเสริมด้วยตัวระบุเฉพาะที่กำหนดให้กับเหยื่อ ตามด้วย '.[intellent@ai_download_file]' และปิดท้ายด้วยนามสกุล '.intel' ตามภาพประกอบ ไฟล์ที่มีป้ายกำกับเริ่มต้นว่า '1.jpg' จะถูกแปลงเป็น '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel' หลังการเข้ารหัส
เมื่อกระบวนการเข้ารหัสเสร็จสิ้น เหยื่อจะพบบันทึกค่าไถ่ที่แสดงอยู่ในหน้าต่างป๊อปอัปและในรูปแบบไฟล์ข้อความชื่อ 'README!.txt' ไฟล์ข้อความเหล่านี้จะถูกฝากไว้ในแต่ละโฟลเดอร์ที่เข้ารหัสและบนเดสก์ท็อปของระบบ การวิเคราะห์เนื้อหาบันทึกเรียกค่าไถ่เผยให้เห็นว่า Intel Ransomware กำหนดเป้าหมายบริษัทโดยเฉพาะ และใช้กลยุทธ์การขู่กรรโชกซ้ำซ้อน นอกจากนี้ โปรแกรมคุกคามนี้ยังเกี่ยวข้องกับตระกูล Dharma Ransomware
Intel Ransomware ป้องกันไม่ให้เหยื่อเข้าถึงข้อมูลของตนเอง
Intel Ransomware สาธิตวิธีการที่ครอบคลุมโดยการเข้ารหัสทั้งไฟล์ในเครื่องและไฟล์ที่แชร์บนเครือข่าย ในขณะที่ไฟล์ระบบที่สำคัญยังคงไม่ได้รับผลกระทบเพื่อหลีกเลี่ยงไม่ให้ระบบไม่ทำงาน โดยเฉพาะอย่างยิ่งมันใช้กลยุทธ์เพื่อหลีกเลี่ยงการเข้ารหัสซ้ำโดยการยกเว้นไฟล์ที่ถูกล็อคโดยแรนซัมแวร์อื่น ๆ อย่างไรก็ตาม วิธีการนี้ไม่สามารถป้องกันความผิดพลาดได้ เนื่องจากต้องใช้รายการที่กำหนดไว้ล่วงหน้าซึ่งอาจไม่ครอบคลุมถึงตัวแปรแรนซัมแวร์ที่รู้จักทั้งหมด
นอกจากนี้ มัลแวร์ Intel ยังแสดงความซับซ้อนในการทำงานโดยการปิดกระบวนการที่เกี่ยวข้องกับไฟล์ที่สามารถเปิดได้ เช่น โปรแกรมอ่านไฟล์ข้อความและโปรแกรมฐานข้อมูล มาตรการเชิงรุกนี้มีจุดมุ่งหมายเพื่อป้องกันความขัดแย้งสำหรับไฟล์ที่ถือว่า "ใช้งานอยู่" เพื่อให้มั่นใจว่าไฟล์เหล่านั้นจะไม่ได้รับการยกเว้นจากการเข้ารหัส
แรนซัมแวร์ตระกูล Dharma ซึ่งมีมัลแวร์ของ Intel เป็นเจ้าของนั้น ใช้กลยุทธ์เชิงกลยุทธ์สำหรับการแทรกซึมและการคงอยู่ ซึ่งรวมถึงการปิดไฟร์วอลล์เพื่ออำนวยความสะดวกในการแทรกซึมและหลบเลี่ยงการตรวจจับ นอกจากนี้ เทคนิคการสร้างความมั่นใจในการคงอยู่ยังรวมถึง:
-
- กำลังคัดลอกมัลแวร์ไปยังเส้นทาง %LOCALAPPDATA%
-
- การลงทะเบียนด้วยปุ่ม Run เฉพาะ
-
- การกำหนดค่าการเริ่มต้น ransomware โดยอัตโนมัติหลังจากรีบูตระบบแต่ละครั้ง
ลักษณะเด่นของการโจมตีธรรมคือศักยภาพในการดำเนินการตามเป้าหมาย โปรแกรมที่เกี่ยวข้องกับตระกูลนี้สามารถรวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์ ทำให้เกิดข้อยกเว้นในการโจมตี ความสามารถในการปรับตัวนี้บ่งบอกว่าการติดเชื้ออาจมีแรงจูงใจทางการเมืองหรือภูมิรัฐศาสตร์ หรืออาจจงใจหลีกเลี่ยงเหยื่อที่ไม่น่าจะสามารถตอบสนองความต้องการค่าไถ่ได้ โดยเฉพาะในภูมิภาคที่มีภาวะเศรษฐกิจอ่อนแอ
เพื่อเป็นอุปสรรคต่อความพยายามในการกู้คืน Intel Ransomware อาจลบ Shadow Volume Copies ซึ่งเป็นอุปสรรคต่อการกู้คืนไฟล์เวอร์ชันก่อนหน้า จากการวิจัยอย่างกว้างขวางเกี่ยวกับการติดแรนซัมแวร์ เห็นได้ชัดว่าการถอดรหัสโดยปราศจากการแทรกแซงของผู้โจมตีมักเป็นความท้าทายที่ผ่านไม่ได้
Intel Ransomware ใช้กลยุทธ์การขู่กรรโชกสองครั้ง
เนื้อหาในไฟล์ข้อความทำหน้าที่เป็นการแจ้งเตือนสั้นๆ ไปยังเหยื่อ โดยแจ้งว่าข้อมูลของพวกเขาได้รับการเข้ารหัสและรวบรวมแล้ว แจ้งให้เหยื่อสร้างการสื่อสารโดยส่งอีเมลไปยังผู้โจมตี
ในทางตรงกันข้าม ข้อความป๊อปอัปจะให้ข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับการติดไวรัสแรนซัมแวร์ ย้ำถึงแง่มุมด้านการเข้ารหัสและการโจรกรรมข้อมูล โดยเน้นถึงความเร่งด่วนของสถานการณ์ บันทึกค่าไถ่ออกคำเตือนที่เข้มงวดว่าการไม่ติดต่ออาชญากรไซเบอร์ภายใน 24 ชั่วโมงหรือการปฏิเสธที่จะปฏิบัติตามข้อเรียกร้องค่าไถ่จะนำไปสู่การเปิดเผยเนื้อหาที่ถูกขโมยบนเว็บมืดหรือการขายให้กับคู่แข่งของบริษัทของเหยื่อ
เพื่อแสดงให้เห็นถึงความเป็นไปได้ในการกู้คืน ข้อความดังกล่าวจึงเสนอการทดสอบการถอดรหัสฟรีที่จะดำเนินการในไฟล์เดียว เหยื่อยังได้รับแจ้งอย่างชัดเจนว่าการขอความช่วยเหลือจากบริษัทกู้คืนอาจส่งผลให้เกิดความสูญเสียทางการเงินเพิ่มเติม เนื่องจากคนกลางเหล่านี้มักจะเรียกเก็บค่าธรรมเนียมที่บวกกับจำนวนเงินค่าไถ่
อย่างไรก็ตาม มีการสังเกตบ่อยครั้งว่าเหยื่อแม้จะปฏิบัติตามข้อเรียกร้องค่าไถ่แล้ว แต่ยังไม่ได้รับคีย์ถอดรหัสหรือซอฟต์แวร์ที่สัญญาไว้ แม้จะปฏิบัติตามข้อกำหนดค่าไถ่แล้ว แต่ก็ไม่มีการรับประกันว่าจะกู้คืนไฟล์ได้ ด้วยเหตุนี้ นักวิจัยจึงไม่สนับสนุนอย่างยิ่งที่จะจ่ายค่าไถ่ เนื่องจากไม่เพียงแต่ล้มเหลวในการรับประกันการเรียกค้นไฟล์เท่านั้น แต่ยังทำให้คงอยู่และสนับสนุนกิจกรรมทางอาญาอีกด้วย นอกจากนี้ สิ่งสำคัญคือต้องเข้าใจว่าในขณะที่การลบแรนซัมแวร์สามารถหยุดการเข้ารหัสข้อมูลเพิ่มเติมได้ แต่กระบวนการลบจะไม่กู้คืนไฟล์ที่ถูกบุกรุกก่อนหน้านี้โดยอัตโนมัติ
Intel Ransomware จะแสดงข้อความเรียกค่าไถ่ต่อไปนี้เป็นหน้าต่างป๊อปอัป:
'intellent.ai We downloaded to our servers and encrypted all your databases and personal information!
หากคุณไม่เขียนถึงเราภายใน 24 ชั่วโมง เราจะเริ่มเผยแพร่และขายข้อมูลของคุณบน darknet บนไซต์แฮ็กเกอร์ และนำเสนอข้อมูลให้กับคู่แข่งของคุณ
ส่งอีเมลถึงเรา: intellent.ai@onionmail.org ID ของคุณ -
หากคุณไม่ได้รับการติดต่อกลับภายใน 24 ชั่วโมง โปรดเขียนถึงอีเมลนี้:intellent.ai@onionmail.orgข้อมูลสำคัญ!
โปรดทราบว่าเมื่อข้อมูลของคุณปรากฏบนไซต์ที่รั่วไหลของเรา คู่แข่งของคุณสามารถซื้อข้อมูลนั้นได้ทุกวินาที ดังนั้นอย่าลังเลเป็นเวลานาน ยิ่งคุณจ่ายค่าไถ่เร็วเท่าไร บริษัทของคุณก็จะปลอดภัยเร็วขึ้นเท่านั้น..
เราได้ดูรายงานทั้งหมดของคุณและรายได้ของบริษัทของคุณแล้ว
การรับประกัน: หากเราไม่ให้คุณถอดรหัสหรือลบข้อมูลของคุณหลังจากที่คุณชำระเงิน จะไม่มีใครจ่ายเงินให้เราในอนาคต เราให้ความสำคัญกับชื่อเสียงของเรา
รหัสรับประกัน:เพื่อพิสูจน์ว่ามีรหัสถอดรหัสอยู่ เราสามารถทดสอบไฟล์ (ไม่ใช่ฐานข้อมูลและข้อมูลสำรอง) ได้ฟรี
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์บุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
อย่าไปที่บริษัทกู้คืน - พวกเขาเป็นเพียงคนกลาง การถอดรหัสไฟล์ของคุณโดยความช่วยเหลือของบุคคลที่สามอาจทำให้ราคาเพิ่มขึ้น (พวกเขาเพิ่มค่าธรรมเนียมให้กับเรา) เราเป็นคนเดียวที่มีคีย์ถอดรหัสไฟล์ข้อความที่สร้างโดย Intel Ransomware มีข้อความต่อไปนี้:
ข้อมูลของคุณถูกขโมยและเข้ารหัส!
ส่งอีเมลถึงเรา
Intellent.ai@onionmail.org'
