REVRAC (Makop) Ransomware
อันตรายจากแรนซัมแวร์นั้นรุนแรงกว่าที่เคยเป็นมา เนื่องด้วยเหตุการณ์ข้อมูลรั่วไหลและการโจมตีจากมัลแวร์ที่เป็นข่าวพาดหัวอยู่เป็นประจำ จึงจำเป็นอย่างยิ่งที่ผู้ใช้จะต้องตื่นตัวและปฏิบัติตามมาตรการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวด หนึ่งในภัยคุกคามล่าสุดที่กำลังแพร่ระบาดคือแรนซัมแวร์สายพันธุ์ใหม่ REVRAC ที่เพิ่งค้นพบ ซึ่งเป็นสายพันธุ์ที่ซับซ้อนและสร้างความเสียหายสูง อยู่ในตระกูลแรนซัมแวร์ Makop การวิเคราะห์นี้จะเจาะลึกกลไกการทำงานของภัยคุกคามนี้ วิธีการแพร่เชื้อ และวิธีป้องกันที่มีประสิทธิภาพที่สุด
สารบัญ
ชื่อที่คุ้นเคยแต่แฝงไปด้วยความอันตราย
แม้ว่าจะเคยพบแรนซัมแวร์ที่มีชื่อว่า REVRAC มาแล้วในอดีต แต่แรนซัมแวร์สายพันธุ์ปัจจุบันถือเป็นวิวัฒนาการที่ใหม่และอันตรายอย่างยิ่ง เวอร์ชันนี้มีความเชื่อมโยงกับแรนซัมแวร์ตระกูล Makop อย่างชัดเจน ซึ่งขึ้นชื่อเรื่องการเข้ารหัสที่ก้าวร้าวและความสามารถในการทำลายล้าง เมื่อรันบนระบบเป้าหมายแล้ว REVRAC จะเริ่มเข้ารหัสไฟล์ของผู้ใช้ทันที ซึ่งรวมถึงเอกสาร รูปภาพ ฐานข้อมูล และข้อมูลสำคัญอื่นๆ
ไฟล์ที่ติดไวรัสจะถูกเปลี่ยนชื่อตามรูปแบบที่ชัดเจน นั่นคือ ชื่อไฟล์เดิมจะถูกแก้ไขเพื่อรวม ID เฉพาะของเหยื่อ ที่อยู่อีเมลของผู้โจมตี และนามสกุลไฟล์ '.REVRAC' ตัวอย่างเช่น ไฟล์อย่าง '1.png' จะถูกเปลี่ยนชื่อเป็น '1.png.[2AF20FA3].[OnlyBuy@cyberfear.com].REVRAC'
นอกจากการล็อกไฟล์แล้ว แรนซัมแวร์ยังเปลี่ยนวอลเปเปอร์เดสก์ท็อปของระบบและสร้างบันทึกเรียกค่าไถ่ชื่อ "+README-WARNING+.txt" บันทึกนี้จะระบุข้อเรียกร้องของผู้โจมตีและเตือนไม่ให้ใช้เครื่องมือของบุคคลที่สามหรือเปลี่ยนชื่อไฟล์ ซึ่งอาจทำให้เกิดความเสียหายถาวรหรือเรียกค่าไถ่เพิ่มขึ้น
บันทึกเรียกค่าไถ่: การรีดไถโดยการออกแบบ
ข้อความเรียกค่าไถ่ที่ REVRAC ทิ้งไว้มีจุดประสงค์เพื่อบีบบังคับให้เหยื่อปฏิบัติตามด้วยความหวาดกลัวและความเร่งด่วน ข้อความดังกล่าวแจ้งให้ผู้ใช้ทราบว่าไฟล์ของพวกเขาไม่สามารถกู้คืนได้หากไม่มีคีย์ถอดรหัสเฉพาะที่ผู้โจมตีเท่านั้นที่ครอบครอง เหยื่อจะได้รับคำแนะนำให้ติดต่อ 'onlybuy@cyberfear.com' โดยระบุรหัสประจำตัวตามที่ปรากฏในชื่อไฟล์ ข้อความดังกล่าวเน้นย้ำว่าความพยายามถอดรหัสหรือแก้ไขข้อมูลที่เข้ารหัสโดยไม่ได้รับอนุญาตอาจนำไปสู่การสูญเสียข้อมูลที่ไม่สามารถย้อนกลับได้
แม้จะมีการกล่าวอ้างเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ก็แนะนำอย่างยิ่งว่าไม่ควรจ่ายค่าไถ่ ไม่มีการรับประกันว่าการจ่ายเงินจะส่งผลให้สามารถกู้คืนไฟล์ได้ และการทำเช่นนั้นจะยิ่งกระตุ้นให้เกิดการก่ออาชญากรรมมากขึ้น
REVRAC ติดเชื้อในระบบได้อย่างไร
แรนซัมแวร์ REVRAC แพร่กระจายผ่านกลวิธีหลอกลวงและอันตรายหลากหลายรูปแบบ พาหะนำโรคที่พบบ่อย ได้แก่:
โปรแกรมติดตั้งซอฟต์แวร์ปลอม : มัลแวร์ที่ปลอมตัวเป็นโปรแกรมถอดรหัส ตัวสร้างคีย์ หรือเครื่องมือเปิดใช้งานที่ไม่ได้รับอนุญาต
อีเมลฟิชชิ่ง : ข้อความที่หลอกผู้ใช้ให้ดาวน์โหลดไฟล์แนบที่เป็นอันตรายหรือคลิกลิงก์ที่เป็นอันตราย
เว็บไซต์และโฆษณาที่ถูกบุกรุก : เว็บไซต์หรือโฆษณาที่ดูเหมือนถูกกฎหมายซึ่งติดตั้งมัลแวร์อย่างลับๆ
สื่อแบบถอดได้และการแพร่กระจายบนเครือข่าย : การติดเชื้อที่แพร่กระจายผ่านไดรฟ์ USB หรือในแนวขวางข้ามระบบที่เชื่อมต่อ
การใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ : การใช้จุดบกพร่องที่ไม่ได้รับการแก้ไขในซอฟต์แวร์ที่ถูกต้องตามกฎหมายเพื่อเข้าถึงและดำเนินการโหลดแรนซัมแวร์
มัลแวร์มักฝังอยู่ในรูปแบบไฟล์ เช่น ไฟล์ปฏิบัติการ (.exe), ไฟล์เอกสาร (.docx, .xls), ไฟล์สคริปต์ (.js, .vbs) หรือไฟล์เก็บถาวร (.zip, .rar)
แนวทางปฏิบัติที่ดีที่สุดในการป้องกันการติดเชื้อ Ransomware
เพื่อป้องกันภัยคุกคามอย่าง REVRAC ผู้ใช้ต้องใช้แนวทางการรักษาความปลอดภัยทางไซเบอร์เชิงรุกและแบบหลายชั้น แนวทางปฏิบัติด้านความปลอดภัยที่มีประสิทธิภาพสูงสุด ได้แก่:
- อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และเครื่องมือความปลอดภัยทั้งหมดให้ทันสมัยอยู่เสมอ
- ใช้โซลูชันป้องกันไวรัสหรือป้องกันมัลแวร์ที่มีชื่อเสียงพร้อมการป้องกันแบบเรียลไทม์
- ปิดใช้งานแมโครในไฟล์ Microsoft Office จากแหล่งที่ไม่รู้จัก
สรุป: เฝ้าระวัง ป้องกัน
แรนซัมแวร์ REVRAC เป็นตัวอย่างอันทรงพลังที่แสดงให้เห็นว่าแรนซัมแวร์ยังคงพัฒนาอย่างต่อเนื่อง โดยมีเป้าหมายและสร้างความเสียหายมากขึ้น การร่วมมือกับกลุ่ม Makop เน้นย้ำถึงศักยภาพในการสร้างความเสียหายร้ายแรง อย่างไรก็ตาม ด้วยมาตรการป้องกันที่เหมาะสม ตั้งแต่การดูแลซอฟต์แวร์ การให้ความรู้แก่ผู้ใช้ และการสำรองข้อมูล บุคคลและองค์กรต่าง ๆ ก็สามารถปกป้องข้อมูลและระบบของตนไม่ให้ตกไปอยู่ในมือของอาชญากรไซเบอร์ได้ การป้องกันยังคงเป็นเครื่องมือที่ทรงพลังที่สุดในการต่อต้านแรนซัมแวร์
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ REVRAC (Makop) Ransomware:
|
YOUR FILES ARE ENCRYPTED Your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email: TechSupport@cyberfear.com and decrypt one file for free. Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets,sql. etc.) Do you really want to restore your files? Write to email: OnlyBuy@cyberfear.com Your personal ID is indicated in the names of the files and in the end of this message, before writing a message by email - indicate the name of the ID indicated in the files IN THE SUBJECT OF THE EMAIL Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. YOUR ID: |
