Ior Ransomware

เนื่องจากการโจมตีด้วยแรนซัมแวร์มีความซับซ้อนและทำลายล้างมากขึ้น การปกป้องอุปกรณ์ของคุณจากภัยคุกคามที่เป็นอันตรายจึงมีความสำคัญมากขึ้นกว่าที่เคย การโจมตีเหล่านี้สามารถเข้ารหัสข้อมูลของคุณ ขัดขวางการดำเนินธุรกิจ และรีดไถเงินจากเหยื่อ โดยมักไม่มีการรับประกันการกู้คืนข้อมูล การค้นพบ Ior Ransomware เมื่อไม่นานมานี้เน้นย้ำถึงภัยคุกคามที่ต่อเนื่องที่ตระกูลแรนซัมแวร์สมัยใหม่ก่อขึ้น การทำความเข้าใจว่า Ior Ransomware ทำงานอย่างไรและดำเนินการรักษาความปลอดภัยที่เข้มงวดสามารถลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีดังกล่าวได้อย่างมาก

Ransomware Ior: ภัยคุกคามใหม่ในกลุ่มธรรมะ

Ior Ransomware เป็นแรนซัมแวร์ในกลุ่ม Dharma Ransomware ที่มีชื่อเสียงโด่งดังในการโจมตีทั้งธุรกิจและบุคคล เมื่อ Ior ติดเชื้อในระบบแล้ว มันจะเข้ารหัสไฟล์และเปลี่ยนชื่อไฟล์โดยใช้รูปแบบ filename.id-[ID STRING].[อีเมลของผู้โจมตี].ior ตัวอย่างเช่น 'document.pdf' จะถูกเปลี่ยนชื่อเป็น 'document.pdf.id-9ECFA74E.[jasalivan@420blaze.it].ior' ซึ่งจะล็อกไฟล์และทำให้ผู้ใช้ไม่สามารถเข้าถึงได้

Ransomware Ior ทิ้งบันทึกเรียกค่าไถ่ไว้สองประเภท:

• หน้าต่างป๊อปอัปที่จะแจ้งให้เหยื่อทราบถึงการโจมตีทันที
• ไฟล์ชื่อ 'manual.txt' ซึ่งให้คำแนะนำโดยละเอียดเกี่ยวกับวิธีการคืนค่าข้อมูลที่เข้ารหัส

บันทึกเรียกค่าไถ่เหล่านี้แนะนำให้เหยื่อติดต่อผู้โจมตีผ่านที่อยู่อีเมลที่ให้ไว้—jasalivan@420blaze.it หรือ ja.salivan@keemail.me—ภายใน 12 ชั่วโมง บันทึกดังกล่าวยังเสนอให้ถอดรหัสไฟล์ได้สูงสุด 3 ไฟล์ (ขนาดเล็กกว่า 3 MB) เพื่อเป็นหลักฐานว่าสามารถถอดรหัสได้ อย่างไรก็ตาม ผู้โจมตีเตือนไม่ให้พยายามเปลี่ยนชื่อไฟล์ที่เข้ารหัสหรือใช้เครื่องมือถอดรหัสของบุคคลที่สาม โดยขู่ว่าจะสูญเสียข้อมูลถาวรหรือมีค่าใช้จ่ายในการถอดรหัสที่สูงขึ้นหากดำเนินการดังกล่าว

วิธีการโจมตี: Ransomware Ior ติดเชื้อระบบได้อย่างไร

Ransomware Ior เป็นภัยคุกคามอย่างยิ่งไม่เพียงแต่เพราะความสามารถในการเข้ารหัสไฟล์เท่านั้น แต่ยังรวมถึงวิธีการที่เข้มงวดในการปิดการใช้งานคุณสมบัติความปลอดภัยและรับประกันการคงอยู่ของมัลแวร์ด้วย

• เข้ารหัสทั้งไฟล์ในเครื่องและในเครือข่าย ซึ่งไม่เพียงแต่ส่งผลต่อคอมพิวเตอร์ที่ติดไวรัสเท่านั้น แต่ยังรวมถึงอุปกรณ์จัดเก็บข้อมูลหรือระบบที่เชื่อมต่ออีกด้วย
• ปิดใช้งานไฟร์วอลล์ของระบบ ทำให้อุปกรณ์เสี่ยงต่อการโจมตีมากขึ้น
• ลบ Shadow Volume Copies ซึ่งป้องกันไม่ให้ผู้ใช้กู้คืนไฟล์โดยใช้จุดคืนค่าในตัวของ Windows
• คัดลอกตัวเองไปยังไดเร็กทอรี %LOCALAPPDATA% และลงทะเบียนด้วยคีย์ Run ของ Windows ช่วยให้รีสตาร์ทโดยอัตโนมัติเมื่อระบบรีบูต

นอกจากนี้ Ransomware Ior ยังสามารถรวบรวมข้อมูลตำแหน่งและยกเว้นไดเร็กทอรีบางส่วนจากการเข้ารหัส แนะนำระดับการปรับแต่งตามกลยุทธ์ของผู้โจมตี

เวกเตอร์การติดเชื้อ: Ransomware Ior ถูกส่งมาได้อย่างไร

เช่นเดียวกับแรนซัมแวร์สายพันธุ์อื่นๆ ในตระกูล Dharma แรนซัมแวร์ Ior มักถูกส่งผ่านบริการ Remote Desktop Protocol (RDP) ที่มีช่องโหว่ ผู้ก่ออาชญากรรมทางไซเบอร์ใช้ประโยชน์จากการกำหนดค่า RDP ที่อ่อนแอ โดยใช้การโจมตีแบบบรูทฟอร์ซหรือพจนานุกรมเพื่อแคร็กข้อมูลรับรองที่จัดการไม่ดี อย่างไรก็ตาม นี่ไม่ใช่หนทางเดียวที่ Ior จะแพร่เชื้อให้กับระบบ:

• ไฟล์แนบหรือลิงค์อีเมลเสียหาย : อีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายหรือมีลิงค์ฝังอยู่เป็นวิธีการส่งที่พบบ่อยสำหรับแรนซัมแวร์
• ช่องโหว่ซอฟต์แวร์ที่ถูกใช้ประโยชน์ : ระบบที่ไม่ได้รับการแก้ไขถือเป็นเป้าหมายหลักของแรนซัมแวร์ เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ที่ทราบในซอฟต์แวร์หรือระบบปฏิบัติการที่ล้าสมัยได้
• ซอฟต์แวร์ละเมิดลิขสิทธิ์ : ซอฟต์แวร์ที่ดาวน์โหลดมาอย่างผิดกฎหมายมักซ่อนมัลแวร์ รวมถึงแรนซัมแวร์ ซึ่งผู้ใช้จะดำเนินการโดยไม่รู้ตัว
• เว็บไซต์ที่ถูกบุกรุก : ผู้ใช้จะถูกหลอกให้ดาวน์โหลดมัลแวร์ผ่านทางโฆษณาที่หลอกลวง การดาวน์โหลดปลอม หรือเว็บไซต์ที่ถูกบุกรุก
• เครือข่ายเพียร์ทูเพียร์ (P2P) และโปรแกรมดาวน์โหลดของบุคคลที่สาม : ไฟล์ที่ไม่ปลอดภัยสามารถแพร่กระจายได้อย่างง่ายดายผ่านแพลตฟอร์มการดาวน์โหลดไฟล์แบบทอร์เรนต์หรือโปรแกรมจัดการดาวน์โหลดของบุคคลที่สามที่ขาดการควบคุมความปลอดภัย

แนวทางปฏิบัติรักษาความปลอดภัยที่ดีที่สุดเพื่อป้องกัน Ransomware

หากต้องการปกป้องตัวเองจากแรนซัมแวร์และภัยคุกคามทางไซเบอร์อื่นๆ จำเป็นต้องปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด การดำเนินการเชิงรุกและใช้มาตรการป้องกันที่ถูกต้องจะช่วยลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีเหล่านี้ได้อย่างมาก ต่อไปนี้เป็นขั้นตอนสำคัญในการเสริมการป้องกันของคุณจากแรนซัมแวร์:

1. สำรองข้อมูลของคุณเป็นประจำ: การสำรองข้อมูลเป็นประจำเป็นแนวทางป้องกันที่แข็งแกร่งที่สุดของคุณจากแรนซัมแวร์ ตรวจสอบให้แน่ใจว่าได้สำรองไฟล์พื้นฐานทั้งหมดไว้ในอุปกรณ์จัดเก็บข้อมูลอิสระหรือบริการคลาวด์ที่ไม่ได้เชื่อมต่อกับระบบหลักของคุณ วิธีนี้ หากข้อมูลของคุณถูกเข้ารหัส คุณสามารถกู้คืนได้โดยไม่ต้องจ่ายค่าไถ่
2. การเข้าถึงระยะไกลที่ปลอดภัย: หากคุณใช้ RDP หรือบริการการเข้าถึงระยะไกลอื่น ๆ โปรดตรวจสอบให้แน่ใจว่าได้รับการกำหนดค่าอย่างปลอดภัย:

ปิดใช้งาน RDP หากไม่ได้ใช้งาน

ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับบัญชีที่มีการเข้าถึงระยะไกล

เปิดใช้งานการตรวจสอบปัจจัยหลายประการ (MFA) เพื่อเพิ่มความปลอดภัย

จำกัดการเข้าถึง RDP ให้กับที่อยู่ IP เฉพาะผ่านไฟร์วอลล์หรือ VPN

1. อัปเดตระบบและซอฟต์แวร์อยู่เสมอ: ซอฟต์แวร์ที่ล้าสมัยมักตกเป็นเป้าหมายของการโจมตีด้วยแรนซัมแวร์ ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ป้องกันมัลแวร์ของคุณได้รับการอัปเกรดด้วยแพตช์ความปลอดภัยล่าสุด อัปเดตโดยอัตโนมัติหากเป็นไปได้เพื่อลดโอกาสเสี่ยงต่อการโจมตี
2. ใช้โซลูชันต่อต้านแรนซัมแวร์: ลงทุนในซอฟต์แวร์ต่อต้านมัลแวร์ที่มีชื่อเสียงซึ่งรวมถึงการป้องกันแรนซัมแวร์ ชุดความปลอดภัยที่ทันสมัยจำนวนมากสามารถตรวจจับพฤติกรรมที่น่าสงสัย เช่น การเข้ารหัสไฟล์หรือการเปลี่ยนแปลงการตั้งค่าระบบโดยไม่ได้รับอนุญาต และหยุดแรนซัมแวร์ก่อนที่จะสร้างความเสียหาย
3. ระมัดระวังอีเมล: อีเมลฟิชชิ่งเป็นหนึ่งในวิธีที่ได้ผลที่สุดที่ผู้โจมตีใช้ในการส่งแรนซัมแวร์ หลีกเลี่ยงการคลิกไฟล์แนบหรือลิงก์ในอีเมลที่ไม่ได้ร้องขอ ตรวจสอบความถูกต้องของอีเมลที่ไม่คาดคิด แม้ว่าจะดูเหมือนว่ามาจากแหล่งที่เชื่อถือได้ก็ตาม
4. ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน: รหัสผ่านที่อ่อนแอถือเป็นช่องโหว่สำคัญในการโจมตีด้วยแรนซัมแวร์ โดยเฉพาะอย่างยิ่งการโจมตีด้วยวิธีการบรูทฟอร์ซใน RDP ให้ใช้รหัสผ่านที่แข็งแกร่งและซับซ้อนและเปลี่ยนรหัสผ่านเป็นประจำ พิจารณาใช้ตัวจัดการรหัสผ่านเพื่อจัดเก็บและสร้างรหัสผ่านเฉพาะสำหรับบัญชีต่างๆ
5. ปิดใช้งานแมโครและจำกัดการทำงานของสคริปต์: การติดไวรัสแรนซัมแวร์ส่วนใหญ่มักเริ่มต้นจากแมโครที่เป็นอันตรายในเอกสารหรือโดยใช้ประโยชน์จากกลไกสคริปต์เช่น PowerShell ปิดใช้งานแมโครตามค่าเริ่มต้นและจำกัดการทำงานของสคริปต์เพื่อลดความเสี่ยงของการติดไวรัส
6. ใช้ไฟร์วอลล์และการแบ่งส่วนเครือข่าย: ไฟร์วอลล์สามารถหยุดการเข้าถึงระบบของคุณโดยไม่ได้รับอนุญาต และการแบ่งส่วนเครือข่ายสามารถลดการแพร่กระจายของแรนซัมแวร์ภายในองค์กรได้ คุณสามารถจำกัดความเสียหายจากการโจมตีได้โดยการแยกระบบที่สำคัญและจำกัดการเข้าถึงเครือข่าย

บทสรุป: คอยติดตามข้อมูลและเตรียมพร้อม

Ransomware Ior เช่นเดียวกับสมาชิกอื่นๆ ในตระกูล Dharma เป็นภัยคุกคามร้ายแรงต่อทั้งบุคคลและองค์กร ความสามารถในการเข้ารหัสข้อมูล ปิดใช้งานคุณสมบัติความปลอดภัย และแพร่กระจายผ่านเครือข่ายที่ถูกบุกรุกทำให้เป็นศัตรูที่น่าเกรงขาม อย่างไรก็ตาม หากใช้แนวทางปฏิบัติที่ดีที่สุดที่ระบุไว้ข้างต้น เช่น การสำรองข้อมูลเป็นประจำ อัปเดตซอฟต์แวร์ การควบคุมการเข้าถึงระยะไกลที่แข็งแกร่ง และรหัสผ่านที่แข็งแกร่ง คุณจะสามารถเสริมความแข็งแกร่งให้กับการป้องกันและลดผลกระทบจากการโจมตีด้วยแรนซัมแวร์ได้ กุญแจสำคัญในการรักษาความปลอดภัยคือการเฝ้าระวังเชิงรุกและมุ่งมั่นในแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์

บันทึกเรียกค่าไถ่ที่แสดงโดย Ior Ransomware เป็นหน้าต่างแบบป๊อปอัป:

'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: jasalivan@420blaze.it YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:ja.salivan@keemail.me
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'

ข้อความจากผู้โจมตีที่ส่งเป็นไฟล์ข้อความ:

'You want to return?

write email jasalivan@420blaze.it or ja.salivan@keemail.me'