PayForRepair แรนซัมแวร์
ในยุคที่การทำงานแบบดิจิทัลเข้ามาควบคุมชีวิตส่วนตัว ชีวิตการทำงาน และชีวิตทางการเงินของเรา ความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ให้แข็งแกร่งนั้นไม่สามารถมองข้ามได้ โดยเฉพาะอย่างยิ่งแรนซัมแวร์ได้กลายมาเป็นภัยคุกคามที่อันตรายที่สุดอย่างหนึ่งในโลกไซเบอร์ ซึ่งสามารถล็อกผู้ใช้ออกจากข้อมูลและเรียกร้องเงินจำนวนมากเพื่อคืนข้อมูลดังกล่าว ภัยคุกคามล่าสุดที่กำลังสร้างกระแสในวงการรักษาความปลอดภัยทางไซเบอร์คือแรนซัมแวร์ PayForRepair ซึ่งเป็นสายพันธุ์หนึ่งของตระกูล Dharma ที่มีชื่อเสียง นี่คือทุกสิ่งที่คุณจำเป็นต้องรู้เพื่อความปลอดภัย
สารบัญ
ใบหน้าใหม่ในครอบครัวเก่า: PayForRepair Ransomware คืออะไร?
PayForRepair ransomware เป็นโปรแกรมย่อยที่ซับซ้อนของตระกูล Dharma Ransomware โดยมีเป้าหมายหลักคือเข้ารหัสข้อมูลของเหยื่อและเรียกเงินค่าถอดรหัส เมื่อดำเนินการบนอุปกรณ์แล้ว มัลแวร์จะกำหนดเป้าหมายเป็นไฟล์ประเภทต่างๆ มากมาย และผนวกด้วยเครื่องหมายเฉพาะ ได้แก่ ID เฉพาะของเหยื่อ อีเมลติดต่อของผู้โจมตี (เช่น payforrepair@tuta.io) และนามสกุลไฟล์ '.P4R' ตัวอย่างเช่น ไฟล์ที่มีชื่อเดิมว่า '1.jpg' อาจกลายเป็น '1.jpg.id-XXXXXX.[payforrepair@tuta.io].P4R'
นอกจากการเข้ารหัสไฟล์แล้ว มัลแวร์ยังส่งข้อความเรียกค่าไถ่เป็นไฟล์ข้อความชื่อ info.txt ไปทั่วไดเร็กทอรีที่ได้รับผลกระทบทั้งหมด และเปิดข้อความป๊อปอัปพร้อมคำสั่งโดยละเอียดมากขึ้น เหยื่อจะได้รับคำแนะนำให้ติดต่อผู้โจมตีทางอีเมลและจ่ายเป็น Bitcoin เพื่อกู้ไฟล์คืนมา อาชญากรจะเสนอให้ทดสอบการถอดรหัสฟรีสำหรับไฟล์จำนวนจำกัดเพื่อสร้างความน่าเชื่อถือ
กลยุทธ์และพฤติกรรม: PayForRepair ดำเนินงานอย่างไร
PayForRepair แสดงพฤติกรรมหลายประการที่เป็นลักษณะเฉพาะของรูปแบบ Dharma:
- การเข้ารหัสแบบเลือกสรร : หลีกเลี่ยงการดัดแปลงไฟล์ระบบที่สำคัญเพื่อให้ระบบปฏิบัติการทำงานได้ ช่วยให้เหยื่อยังสามารถดูบันทึกค่าไถ่และชำระเงินได้
- การยุติกระบวนการ : จะปิดกระบวนการที่ทำงานอยู่ เช่น ฐานข้อมูลหรือซอฟต์แวร์เอกสาร เพื่อเข้าถึงไฟล์ที่เปิดอยู่
- กลไกการคงอยู่ : แรนซัมแวร์ติดตั้งตัวเองใน '%LOCALAPPDATA%' เพิ่มรายการรีจิสทรีเพื่อการเริ่มต้นอัตโนมัติ และรับรองว่าจะทำงานหลังจากรีบูตระบบทุกครั้ง
- การลบ Shadow Copy : จะลบ Shadow Volume Copies เพื่อป้องกันตัวเลือกการกู้คืนไฟล์แบบง่ายๆ
- การกำหนดเป้าหมายตามการรับรู้ภูมิศาสตร์ : ขึ้นอยู่กับข้อมูลทางภูมิศาสตร์ ระบบอาจข้ามภูมิภาคบางภูมิภาคหรือให้ความสำคัญกับภูมิภาคอื่นๆ ตามการพิจารณาทางเศรษฐกิจหรือการเมือง
การแพร่กระจาย: จุดเข้าและพาหะของการติดเชื้อ
ในขณะที่ Dharma Ransomware แพร่กระจายผ่านการโจมตีแบบบรูทฟอร์ซผ่าน Remote Desktop Protocol (RDP) แบบดั้งเดิม PayForRepair ก็ไม่มีข้อยกเว้น และใช้เทคนิคการกระจายแบบหลายช่องทาง:
- บริการ RDP ที่ถูกใช้ประโยชน์ : จุดปลายทาง RDP ที่ได้รับการรักษาความปลอดภัยไม่ดี มักถูกบังคับโดยการเข้ารหัสเพื่อให้เข้าถึงได้
- อีเมลและลิงค์ฟิชชิ่ง : ไฟล์แนบหรือลิงค์หลอกลวงในอีเมลและ DM ยังคงเป็นช่องทางการแพร่เชื้อที่นิยม
- การดาวน์โหลดแบบผ่านๆ และซอฟต์แวร์ปลอม : การดาวน์โหลดที่หลอกลวงจากเว็บไซต์ของบุคคลที่สาม การโฆษณาแฝงมัลแวร์ และการแคร็กหรืออัปเดตซอฟต์แวร์ปลอม จะช่วยแพร่กระจายมัลแวร์
- การแพร่กระจายเครือข่ายและไดรฟ์แบบถอดได้ : เมื่ออยู่ในเครือข่ายแล้ว แรนซัมแวร์อาจแพร่กระจายไปยังระบบและอุปกรณ์ที่เชื่อมต่ออื่น ๆ
อย่าจ่าย – ป้องกันแทน: แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย
การจ่ายค่าไถ่ไม่ควรถือเป็นวิธีแก้ปัญหาที่เหมาะสม ไม่มีการรับประกันว่าอาชญากรไซเบอร์จะรักษาสัญญาที่ให้ไว้ ดังนั้น ให้เสริมการป้องกันของคุณด้วยแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์เหล่านี้:
- เสริมสร้างความปลอดภัยให้กับอุปกรณ์และเครือข่าย
- ใช้รหัสผ่านที่แข็งแกร่งและสร้างสรรค์สำหรับทุกบัญชี และใช้การตรวจสอบปัจจัยหลายประการ
- ปิดใช้งานบริการการเข้าถึงระยะไกลที่ไม่ได้ใช้งาน เช่น RDP หรือจำกัดการใช้งานผ่าน VPN และ IP ไวท์ลิสต์
- เปิดไฟร์วอลล์ของคุณเอาไว้และกำหนดค่าให้ถูกต้องเพื่อบล็อกกิจกรรมที่น่าสงสัย
- อัปเดตระบบปฏิบัติการและซอฟต์แวร์ของคุณบ่อยๆ เพื่อแก้ไขช่องโหว่ที่ทราบ
- ปฏิบัติตามนิสัยการใช้ไฟล์และเว็บอย่างปลอดภัย
- ระมัดระวังไฟล์แนบและลิงก์ในอีเมล อย่าเปิดอะไรก็ตามจากแหล่งที่ไม่รู้จัก
- ดาวน์โหลดซอฟต์แวร์เฉพาะจากแพลตฟอร์มอย่างเป็นทางการหรือมีชื่อเสียงเท่านั้น
- หลีกเลี่ยงการใช้โปรแกรมละเมิดลิขสิทธิ์ แคร็ก หรือคีย์เจน ซึ่งมักมีมัลแวร์ปะปนอยู่
- ติดตั้งและดูแลรักษาซอฟต์แวร์ป้องกันไวรัส/แอนตี้มัลแวร์ที่แข็งแกร่งพร้อมการป้องกันแบบเรียลไทม์
- สร้างการสำรองข้อมูลแบบออฟไลน์ของไฟล์สำคัญเป็นประจำและจัดเก็บไว้ในอุปกรณ์ที่ไม่ได้เชื่อมต่อหรือแพลตฟอร์มคลาวด์ที่ปลอดภัย
ความคิดสุดท้าย: การป้องกันคือการรักษาที่ดีที่สุด
เนื่องจากการติดเชื้อแรนซัมแวร์ เช่น PayForRepair ได้เข้ามาทำลายระบบของคุณ จึงมีทางเลือกในการกู้คืนข้อมูลน้อยมากและไม่แน่นอน การลบมัลแวร์ออกเป็นสิ่งสำคัญ แต่จะไม่สามารถถอดรหัสไฟล์ได้ มีเพียงการสำรองข้อมูลหรือเครื่องมือถอดรหัสที่มีอยู่แล้ว (หากมี) เท่านั้นที่จะช่วยได้ การป้องกันที่ดีที่สุดคือการป้องกันเชิงรุก: เสริมสร้างมาตรการรักษาความปลอดภัยทางไซเบอร์ของคุณ คอยระวังภัยออนไลน์ และให้ความรู้แก่ผู้อื่นรอบตัวคุณ อาชญากรรมทางไซเบอร์จะไม่หายไป แต่หากเตรียมตัวให้ดีก็ไม่จำเป็นต้องชนะ
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ PayForRepair แรนซัมแวร์:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: payforrepair@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:payforrepair@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email payforrepair@tuta.io or payforrepair@mailum.com |
