SAGE 2.2 แรนซัมแวร์
ภูมิทัศน์ดิจิทัลที่เปลี่ยนแปลงไปทำให้เกิดภัยคุกคามที่ซับซ้อนมากขึ้นเรื่อยๆ ทำให้ผู้ใช้จำเป็นต้องปกป้องอุปกรณ์ของตนจากการโจมตีที่เป็นอันตราย SAGE 2.2 ถือเป็นแรนซัมแวร์ที่ก้าวหน้ากว่าและทรงพลังมาก การทำความเข้าใจพฤติกรรมของแรนซัมแวร์และการนำมาตรการรักษาความปลอดภัยที่แข็งแกร่งมาใช้ถือเป็นขั้นตอนสำคัญในการปกป้องข้อมูลส่วนบุคคลและองค์กร
สารบัญ
SAGE 2.2 Ransomware: วิธีการทำงาน
SAGE 2.2 เป็นเวอร์ชันขั้นสูงของตระกูล Sage Ransomware ซึ่งออกแบบมาเพื่อเข้ารหัสไฟล์ในระบบที่ติดไวรัสและเรียกร้องการชำระเงินสำหรับการกู้คืน เมื่อแทรกซึมเข้าไป Ransomware จะเพิ่มนามสกุล '.sage' ลงในไฟล์ที่เข้ารหัส ทำให้ไม่สามารถเข้าถึงได้ ตัวอย่างเช่น ไฟล์ที่ชื่อ '1.png' จะกลายเป็น '1.png.sage' ในขณะที่ '2.pdf' จะถูกปรับเปลี่ยนเป็น '2.pdf.sage'
เมื่อการเข้ารหัสเสร็จสิ้น SAGE 2.2 จะเปลี่ยนวอลเปเปอร์บนเดสก์ท็อปของเหยื่อและสร้างข้อความเรียกค่าไถ่ที่มีหัวเรื่องว่า "!HELP_SOS.hta" ข้อความนี้ปรากฏในภาษาต่างๆ เช่น อังกฤษ เยอรมัน อิตาลี โปรตุเกส สเปน ฝรั่งเศส เกาหลี ดัตช์ อาหรับ เปอร์เซีย และจีน นอกจากข้อความเรียกร้องเป็นลายลักษณ์อักษรแล้ว ข้อความเสียงยังช่วยย้ำถึงความเร่งด่วนในการปฏิบัติตามคำแนะนำของผู้โจมตีอีกด้วย
การเรียกร้องค่าไถ่และการคุกคาม
บันทึกค่าไถ่แจ้งให้เหยื่อทราบว่าไฟล์ของพวกเขาถูกล็อคและสามารถถอดรหัสได้โดยใช้เครื่องมือ 'SAGE Decryptor' เท่านั้น ซึ่งต้องใช้คีย์ถอดรหัสเฉพาะ ผู้โจมตีจะให้ลิงก์ที่นำเหยื่อไปยังเว็บไซต์เฉพาะที่คาดว่าจะมีการชำระเงิน หากลิงก์เหล่านี้ใช้ไม่ได้ บันทึกค่าไถ่จะแนะนำให้ใช้เบราว์เซอร์ Tor เพื่อเข้าถึงแบบไม่เปิดเผยตัวตน นอกจากนี้ยังมีคำแนะนำโดยละเอียดสำหรับการดาวน์โหลดและใช้งาน Tor เพื่อให้แน่ใจว่าเหยื่อสามารถเข้าถึงพอร์ทัลการชำระเงินได้โดยไม่ถูกรบกวน
แม้ว่าอาชญากรไซเบอร์จะสัญญาว่าจะจ่ายเงินค่าไถ่ แต่ก็ไม่ได้รับประกันว่าจะกู้คืนไฟล์ได้ ผู้โจมตีอาจกักเครื่องมือถอดรหัสไว้แม้จะได้รับเงินแล้วก็ตาม ทำให้เหยื่อมีข้อมูลที่กู้คืนไม่ได้ นอกจากนี้ ภัยคุกคามจากแรนซัมแวร์มักจะทำงานอยู่เบื้องหลัง ซึ่งอาจเข้ารหัสไฟล์เพิ่มเติมหรือแพร่กระจายไปทั่วเครือข่ายภายในหากไม่กำจัดออกอย่างทันท่วงที
SAGE 2.2 แพร่ระบาดไปยังอุปกรณ์ได้อย่างไร
SAGE 2.2 ใช้เวกเตอร์การติดเชื้อหลายตัวเพื่อแทรกซึมเข้าไปในระบบ หนึ่งในวิธีการที่พบได้บ่อยที่สุดเกี่ยวข้องกับอีเมลหลอกลวงที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย ผู้ใช้ที่ไม่สงสัยที่เปิดไฟล์แนบเหล่านี้หรือคลิกลิงก์ที่ฝังไว้ อาจเรียกใช้แรนซัมแวร์บนอุปกรณ์ของตนโดยไม่รู้ตัว
นอกจากนี้ เว็บไซต์ที่ถูกบุกรุกหรือหลอกลวงยังทำหน้าที่เป็นช่องทางสำหรับการแพร่กระจายแรนซัมแวร์ ผู้ก่ออาชญากรรมทางไซเบอร์อาจใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ ใช้กลโกงการสนับสนุนทางเทคนิคปลอม หรือฉีดสคริปต์ที่เสียหายลงในโฆษณาออนไลน์เพื่อส่งมอบเนื้อหา การดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์หรือใช้แอปพลิเคชันของบุคคลที่สามที่ไม่ได้รับการตรวจสอบอาจทำให้ระบบเสี่ยงต่อการติดไวรัสได้เช่นกัน
แนวทางปฏิบัติรักษาความปลอดภัยที่ดีที่สุดเพื่อป้องกัน Ransomware
เนื่องจากการโจมตีด้วยแรนซัมแวร์มีความรุนแรงมาก การดำเนินการด้านความปลอดภัยเชิงรุกจึงมีความจำเป็นเพื่อลดความเสี่ยงของการติดไวรัสและการสูญเสียข้อมูล แนวทางปฏิบัติที่ดีที่สุดต่อไปนี้จะช่วยเสริมความแข็งแกร่งให้กับการป้องกันอุปกรณ์ต่อภัยคุกคาม เช่น SAGE 2.2:
- การสำรองข้อมูลเป็นประจำ : การดูแลรักษาการสำรองข้อมูลให้ปลอดภัยและอัปเดตอยู่เสมอบนระบบจัดเก็บข้อมูลภายนอกหรือบริการคลาวด์จะช่วยให้กู้คืนข้อมูลได้ในกรณีที่ถูกโจมตี ควรเก็บข้อมูลสำรองแบบออฟไลน์เพื่อป้องกันไม่ให้แรนซัมแวร์เข้ารหัสข้อมูล
- ความระมัดระวังในการรับส่งอีเมล : ผู้ใช้ควรใช้ความระมัดระวังในการจัดการอีเมลจากผู้ส่งที่ไม่รู้จัก หลีกเลี่ยงการเปิดไฟล์แนบที่ไม่คาดคิดหรือคลิกลิงก์ที่น่าสงสัย เนื่องจากอาจมีเพย์โหลดแรนซัมแวร์อยู่
- การอัปเดตซอฟต์แวร์และระบบ : การอัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ความปลอดภัยจะช่วยแก้ไขช่องโหว่ที่ผู้ก่ออาชญากรรมทางไซเบอร์อาจใช้ประโยชน์ได้ ควรเปิดใช้งานการอัปเดตอัตโนมัติทุกครั้งที่ทำได้
- การป้องกันจุดสิ้นสุดที่แข็งแกร่ง : การใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียงช่วยให้ป้องกันแรนซัมแวร์และภัยคุกคามอื่นๆ ได้แบบเรียลไทม์ คุณสมบัติต่างๆ เช่น การตรวจจับตามพฤติกรรมสามารถระบุและบล็อกกิจกรรมของแรนซัมแวร์ได้ก่อนที่จะก่อให้เกิดความเสียหาย
- การใช้แอปพลิเคชั่นในรายการขาว : การจำกัดโปรแกรมไม่ให้ทำงานโดยไม่ได้รับอนุมัติจากผู้ดูแลระบบช่วยป้องกันไม่ให้ซอฟต์แวร์ที่ไม่ได้รับอนุญาตทำงาน ทำให้โอกาสในการติดไวรัสแรนซัมแวร์ลดลง
- การจำกัดการใช้แมโครในเอกสาร Office : ผู้ก่ออาชญากรรมทางไซเบอร์มักฝังแมโครที่เป็นอันตรายในเอกสารเพื่อกระตุ้นให้มีการดาวน์โหลดแรนซัมแวร์ การปิดใช้งานแมโครตามค่าเริ่มต้นจะช่วยป้องกันการโจมตีประเภทนี้ได้
- มาตรการด้านความปลอดภัยเครือข่าย : องค์กรต่างๆ ควรใช้ไฟร์วอลล์ ระบบตรวจจับการบุกรุก และการแบ่งส่วนเครือข่ายเพื่อจำกัดการเคลื่อนไหวของแรนซัมแวร์และป้องกันการเข้ารหัสที่แพร่หลาย
การนำแนวทางปฏิบัติด้านความปลอดภัยเหล่านี้ไปใช้ จะช่วยให้ผู้ใช้ลดความเสี่ยงต่อภัยคุกคามจากแรนซัมแวร์และลดผลกระทบจากการติดไวรัสที่อาจเกิดขึ้นได้อย่างมาก
SAGE 2.2 เป็นแรนซัมแวร์ที่ก่อกวนระบบอย่างรุนแรง โดยจะเข้ารหัสไฟล์ เปลี่ยนแปลงการตั้งค่าระบบ และเรียกชำระเงินค่าถอดรหัส โดยจะใช้กลวิธีหลอกลวง เช่น บันทึกค่าไถ่หลายภาษาและพอร์ทัลการชำระเงินผ่าน Tor เพื่อบังคับให้เหยื่อปฏิบัติตาม อย่างไรก็ตาม การจ่ายค่าไถ่ไม่ได้รับประกันการกู้คืนข้อมูลและอาจส่งเสริมให้เกิดการก่ออาชญากรรมเพิ่มเติม
การป้องกันแรนซัมแวร์ที่มีประสิทธิภาพที่สุดคือการป้องกัน การใช้แนวทางรักษาความปลอดภัยที่เข้มงวด การสำรองข้อมูลเป็นประจำ และระมัดระวังขณะเรียกดูและเปิดอีเมล ช่วยให้ผู้ใช้ปกป้องอุปกรณ์และข้อมูลของตนจากภัยคุกคามทางไซเบอร์ได้
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ SAGE 2.2 แรนซัมแวร์:
|
*** ATTENTION! ALL YOUR FILES WERE ENCRYPTED! *** *** PLEASE READ THIS MESSAGE CAREFULLY *** All your important and critical files, databases, images and videos were encrypted by "SAGE 2.2 Ransomware"! "SAGE 2.2 Ransomware" uses military grade elliptic curve cryptography, so you have no chances restoring your files without our help! But if you follow our instructions we guarantee that you can restore all your files quickly and safely! We created files with instructions named !HELP_SOS in every folder with encrypted files. *** Please be sure to copy instruction text and links to your notepad to avoid losing it *** ----------------- In case you can't find instructions, try opening any of these links: ===== Your personal key ===== - ====== If can't open any of those, you can use "TOR Browser" TOR Browser is available on the official website: hxxps://www.torproject.org/ Just open this site, click on the \"Download Tor\" button and follow the installation instructions Once "TOR Browser" in installed, use it to access - |
|
File recovery instructions You probably noticed that you can not open your files and that some software stopped working correctly. This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware". Your files are not lost, it is possible to revert them back to normal state by decrypting. The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key. Using any other software which claims to be able to restore your files will result in files being damaged or destroyed. You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links: If none of these links work for you, click here to update the list. Updating links... Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below. Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below. If you are asked for your personal key, copy it to the form on the site. This is your personal key: - You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser". In order to do that you need to: open Internet Explorer or any other internet browser; copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter"; once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions; once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version); Tor Browser will establish connection and open a normal browser window; copy the address - into this browser address bar and press "Enter"; your personal page should be opened now; if it didn't then wait for a bit and try again. If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube. You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files. |
