ออร์บิท แรนซัมแวร์
Orbit Ransomware เป็นซอฟต์แวร์คุกคามที่ได้รับความสนใจจากนักวิจัยด้านความปลอดภัยทางไซเบอร์เมื่อเร็วๆ นี้ แรนซัมแวร์ประเภทนี้ก่อให้เกิดภัยคุกคามที่สำคัญต่อบุคคลและองค์กรโดยการเข้ารหัสไฟล์และเรียกร้องค่าไถ่สำหรับการถอดรหัส เนื่องจากข้อมูลที่ได้รับผลกระทบมีมากมาย ภัยคุกคามแรนซัมแวร์จึงเป็นหนึ่งในมัลแวร์ที่คุกคามมากที่สุด การโจมตีประเภทนี้อาจทำให้เกิดการหยุดชะงักในการปฏิบัติงานอย่างมีนัยสำคัญและการสูญเสียทางการเงินจำนวนมหาศาล
สารบัญ
Orbit Ransomware ทำงานอย่างไร?
- การเข้ารหัสและการเปลี่ยนชื่อไฟล์ : Orbit Ransomware ทำงานโดยการแทรกซึมเข้าไปในคอมพิวเตอร์ของเหยื่อและเข้ารหัสไฟล์อย่างเป็นระบบ โดยจะเปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยการต่อท้ายชุดอักขระแบบสุ่ม ซึ่งน่าจะเป็น ID เฉพาะของเหยื่อ พร้อมด้วยนามสกุล '.orbit' การเปลี่ยนแปลงนี้ทำให้เห็นได้ชัดว่าไฟล์ถูกบุกรุกและไม่สามารถเข้าถึงได้ในรูปแบบดั้งเดิมอีกต่อไป
- หมายเหตุค่าไถ่ : หลังจากเข้ารหัสไฟล์แล้ว Orbit Ransomware จะสร้างบันทึกค่าไถ่ ซึ่งโดยทั่วไปจะมีชื่อว่า 'README.TXT' บันทึกนี้ถูกวางไว้ในไดเร็กทอรีที่มีไฟล์ที่เข้ารหัสและทำหน้าที่เป็นสื่อในการสื่อสารระหว่างผู้โจมตีและเหยื่อ หมายเหตุเรียกค่าไถ่เตือนเหยื่อว่าไฟล์ของพวกเขาถูกเข้ารหัสและสามารถกู้คืนได้โดยการซื้อเครื่องมือถอดรหัสจากผู้โจมตีเท่านั้น โดยจะให้ Tox ID สำหรับการสื่อสารเพิ่มเติม และเสนอให้ถอดรหัสหนึ่งไฟล์ได้ฟรี เพื่อเป็นหลักฐานยืนยันความสามารถในการกู้คืนข้อมูล
คำแนะนำและภัยคุกคามในบันทึกค่าไถ่
บันทึกค่าไถ่จาก Orbit มีคำแนะนำหลายประการที่มุ่งป้องกันเหยื่อจากการดำเนินการที่อาจเป็นอันตรายต่อข้อมูลของพวกเขาต่อไป คำแนะนำอย่างชัดเจนต่อ:
- การเปลี่ยนชื่อหรือแก้ไขไฟล์ที่เข้ารหัส
- การใช้ซอฟต์แวร์บุคคลที่สามเพื่อถอดรหัส
- การติดต่อบุคคลที่สามเพื่อขอความช่วยเหลือ
คำเตือนเหล่านี้มีจุดมุ่งหมายเพื่อห้ามไม่ให้เหยื่อพยายามกู้คืนไฟล์ของตนด้วยวิธีอื่น ซึ่งผู้โจมตีอ้างว่าอาจทำให้ข้อมูลสูญหายหรือมีกลวิธีเพิ่มเติม
ภัยคุกคามการเข้าถึงเครือข่ายและการเปิดเผยข้อมูล
นอกเหนือจากคำแนะนำแล้ว ข้อความเรียกค่าไถ่จาก Orbit Ransomware ยังรวมถึงภัยคุกคามที่รุนแรงยิ่งขึ้น: ผู้โจมตีอ้างว่าสามารถเข้าถึงเครือข่ายของเหยื่อได้ พวกเขาขู่ว่าจะขายหรือเปิดเผยข้อมูลของเหยื่อหากไม่ติดต่อภายใน 24 ชั่วโมง กลยุทธ์นี้เพิ่มแรงกดดันให้กับเหยื่อ ทำให้พวกเขามีแนวโน้มที่จะปฏิบัติตามข้อเรียกร้องค่าไถ่มากขึ้น โดยไม่ต้องกลัวว่าข้อมูลจะรั่วไหลและเกิดภาวะแทรกซ้อนตามมา
ความท้าทายในการถอดรหัสไฟล์ที่เข้ารหัสโดย Ransomware
ในกรณีส่วนใหญ่ การถอดรหัสไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ เช่น Orbit สามารถทำได้ด้วยเครื่องมือถอดรหัสเฉพาะที่อาชญากรไซเบอร์ครอบครองอยู่เบื้องหลังการโจมตีเท่านั้น ข้อยกเว้นที่ไม่ค่อยเกิดขึ้นเกี่ยวข้องกับภัยคุกคามที่มีช่องโหว่ร้ายแรงในแรนซัมแวร์หรือความพร้อมของเครื่องมือถอดรหัสของบุคคลที่สามที่อาจช่วยให้สามารถกู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่
ความเสี่ยงของการจ่ายค่าไถ่
โดยทั่วไปไม่แนะนำให้จ่ายค่าไถ่ตามที่อาชญากรไซเบอร์เรียกร้อง ไม่มีทางรู้ได้เลยว่าอาชญากรไซเบอร์จะให้เครื่องมือถอดรหัสแม้หลังจากชำระเงินแล้ว ยิ่งไปกว่านั้น การปฏิบัติตามข้อเรียกร้องค่าไถ่เป็นเพียงการส่งเสริมให้กิจกรรมที่เป็นอันตรายดังกล่าวดำเนินต่อไป ซึ่งอาจสนับสนุนเงินทุนในการโจมตีเหยื่อรายอื่นเพิ่มเติม
มาตรการรักษาความปลอดภัยที่จำเป็นในการป้องกันแรนซัมแวร์
- การสำรองข้อมูลเป็นประจำ : หนึ่งในการป้องกันที่มีประสิทธิภาพสูงสุดต่อแรนซัมแวร์คือการสำรองข้อมูลที่จำเป็นเป็นประจำ ข้อมูลสำรองควรเก็บไว้แบบออฟไลน์หรือบนบริการคลาวด์ที่ปลอดภัย เพื่อให้แน่ใจว่าจะไม่สามารถเข้าถึงแรนซัมแวร์ได้ ในกรณีที่มีการติดไวรัสแรนซัมแวร์ การสำรองข้อมูลที่ทันสมัยจะช่วยให้สามารถกู้คืนข้อมูลได้โดยไม่จำเป็นต้องจ่ายค่าไถ่
- ซอฟต์แวร์ป้องกันมัลแวร์และความปลอดภัย : การติดตั้งและอัปเดตซอฟต์แวร์ป้องกันมัลแวร์และความปลอดภัยเป็นประจำสามารถช่วยตรวจจับและป้องกันการติดแรนซัมแวร์ได้ เครื่องมือเหล่านี้สามารถให้การป้องกันแบบเรียลไทม์และลบซอฟต์แวร์ที่เป็นอันตรายก่อนที่จะมีโอกาสเข้ารหัสไฟล์
- การให้ความรู้และการรับรู้แก่ผู้ใช้ : การให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงของแรนซัมแวร์และแนวทางปฏิบัติที่ดีที่สุดในการหลีกเลี่ยงการติดไวรัสถือเป็นสิ่งสำคัญ ซึ่งรวมถึงการใช้ความระมัดระวังกับไฟล์แนบในอีเมล การไม่ดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ และการรับรู้ถึงความพยายามในการฟิชชิ่ง
- มาตรการรักษาความปลอดภัยเครือข่าย : การใช้มาตรการรักษาความปลอดภัยเครือข่ายที่แข็งแกร่ง เช่น ไฟร์วอลล์ ระบบตรวจจับการบุกรุก และการตรวจสอบความปลอดภัยเป็นประจำ สามารถช่วยป้องกันการโจมตีแรนซัมแวร์ได้ การตรวจสอบให้แน่ใจว่าระบบและซอฟต์แวร์ทั้งหมดมีแพตช์รักษาความปลอดภัยล่าสุดยังช่วยลดช่องโหว่ที่แรนซัมแวร์สามารถใช้ประโยชน์ได้อีกด้วย
โดยสรุป แม้ว่า Orbit Ransomware จะเป็นภัยคุกคามที่สำคัญต่อความปลอดภัยของข้อมูล แต่การใช้มาตรการรักษาความปลอดภัยที่ครอบคลุมสามารถลดความเสี่ยงและผลกระทบของการโจมตีดังกล่าวได้ การสำรองข้อมูลเป็นประจำ ซอฟต์แวร์รักษาความปลอดภัยที่แข็งแกร่ง การให้ความรู้แก่ผู้ใช้ และแผนการตอบสนองต่อเหตุการณ์ที่กำหนดไว้อย่างดี ล้วนเป็นองค์ประกอบที่สำคัญของการป้องกันที่แข็งแกร่งต่อแรนซัมแวร์
หมายเหตุค่าไถ่ที่ตกบนอุปกรณ์ที่ติดไวรัส Orbit Ransomware คือ:
'YOUR FILES ARE ENCRYPTED!
Your files, documents, photos, databases and other important files are encrypted.
If you found this document in a zip, do not modify the contents of that archive! Do not edit, add or remove files from it!
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique decryptor.
Only we can give you this decryptor and only we can recover your files.To be sure we have the decryptor and it works you can send an message uTox: 4CEEB4949763512B2B6603DA8CA79291D041B2DEF5A8A39D7F491B1F84A4E85C0BEC17F728A7 and decrypt one file for free.
But this file should be of not valuable!Do you really want to restore your files?
TOX: 4CEEB4949763512B2B6603DA8CA79291D041B2DEF5A8A39D7F491B1F84A4E85C0BEC17F728A7How to use tox:
Download a uTox client: hxxp://utox.org
Run it
Add our TOX id:
4CEEB4949763512B2B6603DA8CA79291D041B2DEF5A8A39D7F491B1F84A4E85C0BEC17F728A7Attention!
Do not rename or edit encrypted files and archives containing encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.
You have 24 hours to contact us.
Otherwise, your data will be sold or made public.'
