Prey Ransomware
การปกป้องอุปกรณ์ส่วนบุคคลและองค์กรจากมัลแวร์ไม่ใช่ทางเลือกอีกต่อไป แต่เป็นสิ่งจำเป็น อาชญากรไซเบอร์พัฒนาเครื่องมือขั้นสูงอย่างต่อเนื่องเพื่อเจาะข้อมูล และแรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามที่สร้างความเสียหายร้ายแรงที่สุด หนึ่งในตัวอย่างล่าสุดของมัลแวร์ประเภทนี้คือ Prey Ransomware ซึ่งเป็นโปรแกรมอันตรายที่ถูกระบุว่าเป็นสายพันธุ์ย่อยของตระกูล MedusaLocker ที่มีชื่อเสียง ภัยคุกคามนี้ออกแบบมาโดยเฉพาะเพื่อเข้ารหัสไฟล์ เรียกค่าไถ่จากเหยื่อ และอาจรั่วไหลของข้อมูลที่ถูกขโมยหากไม่ปฏิบัติตามคำเรียกร้อง
สารบัญ
การโจมตีข้อมูลอย่างไม่ลดละ
เมื่อรันบนระบบเป้าหมายแล้ว Prey Ransomware จะเริ่มเข้ารหัสไฟล์โดยใช้อัลกอริทึมการเข้ารหัส RSA และ AES ร่วมกัน ซึ่งแทบจะเป็นไปไม่ได้เลยที่จะถอดรหัสได้หากไม่มีคีย์ถอดรหัสของผู้โจมตี มัลแวร์จะเพิ่มนามสกุลไฟล์ '.prey35' ลงในไฟล์ที่เข้ารหัสแต่ละไฟล์ โดยเปลี่ยนชื่อไฟล์ เช่น 'photo.png' เป็น 'photo.png.prey35'
หลังจากกระบวนการเข้ารหัส แรนซัมแวร์จะเปลี่ยนแปลงวอลเปเปอร์เดสก์ท็อปและปล่อยข้อความเรียกค่าไถ่ชื่อ 'HOW_TO_RECOVER_DATA.html' ข้อความดังกล่าวแจ้งให้เหยื่อทราบว่าเครือข่ายของบริษัทถูกบุกรุก ไฟล์ถูกเข้ารหัส และข้อมูลสำคัญถูกขโมยไป เหยื่อได้รับคำสั่งให้ติดต่อผู้โจมตีภายใน 72 ชั่วโมง มิฉะนั้นจะต้องเผชิญกับการเรียกร้องค่าไถ่ที่เพิ่มขึ้นและการเปิดเผยข้อมูลที่ถูกขโมยต่อสาธารณะ
คำสัญญาการถอดรหัสที่หลอกลวง
บันทึกค่าไถ่ระบุว่าเหยื่อสามารถทดสอบการถอดรหัสไฟล์ที่ไม่จำเป็นได้สูงสุดสามไฟล์ก่อนชำระเงิน อย่างไรก็ตาม การเรียกร้องดังกล่าวมีจุดประสงค์เพื่อสร้างความน่าเชื่อถือที่เป็นเท็จ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ย้ำว่าการจ่ายค่าไถ่ไม่ได้รับประกันการกู้คืนไฟล์ ในหลายกรณี ผู้โจมตีไม่เคยให้คีย์หรือเครื่องมือถอดรหัสตามที่สัญญาไว้ ยิ่งไปกว่านั้น การจ่ายเงินจะยิ่งกระตุ้นให้เกิดการก่ออาชญากรรมมากขึ้น และกระตุ้นให้เกิดการโจมตีใหม่ๆ
โดยทั่วไปแล้ว การถอดรหัสโดยปราศจากการมีส่วนร่วมของผู้โจมตีนั้นเป็นไปไม่ได้ เว้นแต่แรนซัมแวร์จะมีโค้ดที่ผิดพลาดหรือถูกถอดรหัสโดยนักวิจัยแล้ว สำหรับเหยื่อส่วนใหญ่ การกู้คืนจะขึ้นอยู่กับการสำรองข้อมูลที่ปลอดภัยที่มีอยู่แล้วเท่านั้น
วิธีการแพร่กระจายและพาหะนำโรค
เช่นเดียวกับแรนซัมแวร์ส่วนใหญ่ Prey แพร่กระจายผ่านฟิชชิ่ง วิศวกรรมสังคม และการดาวน์โหลดที่เป็นอันตราย การติดเชื้อมักเริ่มต้นเมื่อผู้ใช้ที่ไม่ทันระวังเปิดไฟล์แนบหรือลิงก์ที่หลอกลวง ไฟล์เหล่านี้อาจมีหลายรูปแบบ เช่น ZIP, RAR, PDF, EXE หรือเอกสาร Microsoft Office ที่มีมาโครที่เป็นอันตราย เพียงแค่เปิดไฟล์เหล่านี้ก็สามารถเริ่มต้นการแพร่เชื้อแบบลูกโซ่ได้
ภัยคุกคามอาจแพร่กระจายผ่าน:
- โทรจันและโหลดเดอร์ที่ติดตั้งแรนซัมแวร์ในเบื้องหลัง
- การดาวน์โหลดแบบไดรฟ์บายหรือแคมเปญโฆษณาแฝง
- อีเมลขยะที่มีไฟล์แนบหรือลิงก์ที่ติดไวรัส
- การอัปเดตซอฟต์แวร์ปลอมหรือตัวเปิดใช้งานซอฟต์แวร์ละเมิดลิขสิทธิ์ ('แคร็ก')
- เครือข่ายเพียร์ทูเพียร์ (P2P) และไซต์ฟรีแวร์ที่ไม่น่าเชื่อถือ
- การแพร่กระจายเครือข่าย โดยที่แรนซัมแวร์จะเคลื่อนที่ในแนวขวางผ่านระบบที่เชื่อมต่อหรืออุปกรณ์จัดเก็บข้อมูลภายนอก
การกำจัดภัยคุกคามและการกู้คืนไฟล์
หาก Prey Ransomware ติดเชื้อในระบบ จำเป็นต้องดำเนินการทันที ต้องกำจัดมัลแวร์ออกให้หมดเพื่อป้องกันการเข้ารหัสเพิ่มเติม แม้ว่าการกำจัดจะช่วยป้องกันความเสียหายเพิ่มเติมได้ แต่จะไม่สามารถถอดรหัสไฟล์ที่ได้รับผลกระทบได้ วิธีการกู้คืนที่ปลอดภัยที่สุดคือการกู้คืนข้อมูลจากการสำรองข้อมูลแบบออฟไลน์ที่สะอาดซึ่งสร้างไว้ก่อนการติดเชื้อ
เหยื่อควรหลีกเลี่ยงการโต้ตอบกับบันทึกเรียกค่าไถ่ และควรขอความช่วยเหลือจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงหรือทีมรับมือเหตุการณ์แทน นอกจากนี้ การรายงานเหตุการณ์ดังกล่าวต่อหน่วยงานอาชญากรรมทางไซเบอร์ในพื้นที่ก็เป็นสิ่งสำคัญเช่นกัน
การสร้างการป้องกันที่แข็งแกร่ง: แนวทางปฏิบัติด้านความปลอดภัยที่จำเป็น
การป้องกันการติดแรนซัมแวร์อย่าง Prey จำเป็นต้องอาศัยทั้งความตระหนักรู้ สุขอนามัยดิจิทัลที่ดี และการป้องกันทางเทคนิค ผู้ใช้สามารถลดความเสี่ยงได้อย่างมากด้วยการใช้มาตรการรักษาความปลอดภัยต่อไปนี้:
- ขั้นตอนการป้องกันเชิงรุก
- ปรับปรุงระบบปฏิบัติการ ซอฟต์แวร์ และเครื่องมือป้องกันไวรัสให้เป็นปัจจุบัน
- เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ทุกที่ที่ทำได้
- ใช้ชุดความปลอดภัยที่เชื่อถือได้พร้อมการตรวจสอบภัยคุกคามแบบเรียลไทม์
- ปิดใช้งานแมโครใน Microsoft Office และบล็อคการดาวน์โหลดอัตโนมัติ
- หลีกเลี่ยงการเปิดไฟล์แนบที่ไม่คาดคิดหรือคลิกลิงก์จากผู้ส่งที่ไม่รู้จัก
- แนวทางปฏิบัติด้านการสำรองข้อมูลและการจัดการข้อมูล
- รักษาการสำรองข้อมูลหลายชุด ชุดหนึ่งอยู่บนเซิร์ฟเวอร์ระยะไกล (คลาวด์) และอีกชุดอยู่ในอุปกรณ์ทางกายภาพที่ไม่เชื่อมต่อ (ฮาร์ดไดรฟ์ภายนอก, USB)
- ตรวจสอบความสมบูรณ์ของการสำรองข้อมูลเป็นประจำเพื่อให้แน่ใจว่าสามารถกู้คืนไฟล์ได้
- แยกระบบสำรองข้อมูลจากเครือข่ายหลักเพื่อป้องกันการติดไวรัสข้ามเครือข่าย
สรุป: การเฝ้าระวังคือการป้องกันที่ดีที่สุด
การเพิ่มขึ้นของ Prey Ransomware สะท้อนให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของภัยคุกคามทางไซเบอร์และความจำเป็นในการเฝ้าระวังอย่างต่อเนื่อง การจ่ายค่าไถ่ยิ่งทำให้ปัญหารุนแรงขึ้น ขณะที่การป้องกันและการเตรียมพร้อมรับมือยังคงเป็นแนวทางป้องกันที่มีประสิทธิภาพที่สุด การมีนิสัยรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง การสำรองข้อมูลอย่างสม่ำเสมอ และการหลีกเลี่ยงพฤติกรรมออนไลน์ที่มีความเสี่ยง ช่วยให้ผู้ใช้สามารถลดโอกาสการตกเป็นเหยื่อของแรนซัมแวร์อย่าง Prey ได้อย่างมาก
System Messages
The following system messages may be associated with Prey Ransomware:
YOUR COMPANY NETWORK HAS BEEN PENETRATED |
