Solara Ransomware

Solara เป็นแรนซัมแวร์สายพันธุ์ใหม่ที่เพิ่งพบเห็น ซึ่งนักวิจัยระบุว่าสร้างขึ้นจากโค้ดตระกูล Chaos ที่เผยแพร่สู่สาธารณะ แรนซัมแวร์อย่าง Solara จะเข้ารหัสไฟล์ของผู้ใช้ เรียกร้องเงิน และสามารถขัดขวางการเข้าถึงข้อมูลสำคัญอย่างถาวร ดังนั้นการปกป้องอุปกรณ์และการสำรองข้อมูลจึงเป็นสิ่งสำคัญ

สิ่งที่โซลาร่าทำ

ระหว่างการวิเคราะห์ พบว่า Solara เข้ารหัสไฟล์และเพิ่มสตริงข้อความ '.solara' ต่อท้ายชื่อไฟล์ (เช่น '1.png' → '1.png.solara') มัลแวร์ยังปล่อยบันทึกเรียกค่าไถ่ชื่อ 'read_it.txt' ซึ่งอ้างว่าเหยื่อได้เปิดใช้งานการป้องกัน 'anti-crack' และสั่งให้เหยื่อรับเครื่องมือถอดรหัสจากผู้กระทำทางออนไลน์ บทความและการวิเคราะห์ตัวอย่างหลายชิ้นเชื่อมโยง Solara กับแรนซัมแวร์ตระกูล Chaos และอธิบายพฤติกรรมที่คล้ายคลึงกัน (การเข้ารหัส การแทนที่ส่วนขยาย และบันทึกเรียกค่าไถ่แบบข้อความธรรมดา)

การเรียกร้องค่าไถ่และการชำระเงิน

ข้อความเรียกค่าไถ่ที่นักวิเคราะห์ตรวจสอบยืนยันว่าการกู้คืนไฟล์นั้น "แทบจะเป็นไปไม่ได้" หากไม่มีเครื่องมือถอดรหัสของผู้โจมตี ข้อความดังกล่าวแนะนำให้เหยื่อติดต่อผู้ใช้ Discord (xenqxd) และแนะนำช่องทางการชำระเงิน เช่น Paysafecard (ในโปแลนด์) หรือบิตคอยน์จำนวนเล็กน้อย ที่น่าสังเกตคือ ตัวอย่างบางตัวอย่างไม่ได้ระบุช่องทางการติดต่อที่สำคัญ ซึ่งอาจบ่งชี้ถึงแคมเปญที่ยังไม่บรรลุนิติภาวะหรือเหมือนการแกล้ง หรือผู้ให้บริการที่ไม่ได้คาดหวังว่าจะเจรจาต่อรอง ดังนั้นควรพิจารณาข้อเรียกร้องเหล่านี้ด้วยความสงสัยอย่างยิ่ง

คุณสามารถกู้ไฟล์ได้โดยไม่ต้องจ่ายเงินหรือไม่?

โดยทั่วไปแล้ว ไฟล์ที่เข้ารหัสโดยภัยคุกคามจากตระกูล Chaos จะไม่สามารถกู้คืนได้หากไม่มีคีย์ถอดรหัสที่ถูกต้อง หากคุณมีข้อมูลสำรองแบบออฟไลน์ที่สะอาดก่อนเกิดการติดไวรัส การกู้คืนข้อมูลถือเป็นวิธีที่ปลอดภัยที่สุด ไม่ควรจ่ายเงิน เนื่องจากอาชญากรมักไม่ส่งตัวถอดรหัสที่ใช้งานได้มาให้ และการจ่ายเงินอาจทำให้เกิดอาชญากรรมมากขึ้น

เวกเตอร์การติดเชื้อทั่วไป

• ซอฟต์แวร์ละเมิดลิขสิทธิ์ คีย์เจน และยูทิลิตี้ 'แคร็ก' ที่ปลอมตัวมาด้วยมัลแวร์
• ไฟล์แนบและลิงก์อีเมลที่เป็นอันตราย (แมโคร Office, สคริปต์, EXE)
• โฆษณาที่ติดไวรัส ไซต์ดาวน์โหลดที่ถูกบุกรุกหรือไม่เป็นทางการ เครือข่าย P2P/ทอร์เรนต์ ไดรฟ์ USB และโปรแกรมดาวน์โหลดของบุคคลที่สาม

ดำเนินการทันทีหากคุณสงสัยว่าติดเชื้อ

แยกเครื่องออกทันที : ตัดการเชื่อมต่อจากเครือข่าย (แบบมีสาย/Wi-Fi) และยกเลิกการเชื่อมต่อไดรฟ์ที่แชร์/เครือข่ายใดๆ เพื่อหยุดการแพร่กระจายในแนวขวาง

เก็บรักษาหลักฐาน : อย่าปิดและเปิดเครื่องใหม่หากคุณกำลังรวบรวมหน่วยความจำหรือสิ่งประดิษฐ์ทางนิติเวช แต่ให้บันทึกหน่วยความจำและภาพดิสก์แทนหากคุณมีความสามารถ หรือเรียกการตอบสนองต่อเหตุการณ์

ใช้การสำรองข้อมูล : กู้คืนจากการสำรองข้อมูลที่เชื่อถือได้หลังจากลบมัลแวร์และสร้างระบบใหม่แล้ว อย่ากู้คืนการสำรองข้อมูลที่อาจเชื่อมต่อในขณะที่ติดไวรัส

อย่าจ่ายเงิน เว้นแต่ทีมตอบสนองต่อเหตุการณ์จะประเมินทางเลือกและผลที่ตามมาทั้งหมดแล้ว การจ่ายเงินไม่ได้รับประกันว่าจะได้ผล และอาจทำให้เกิดการโจมตีในอนาคตได้

แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด

รักษาการป้องกันแบบหลายชั้นให้ทันสมัยซึ่งรวมถึงแนวทางปฏิบัติต่อไปนี้ในการปฏิบัติงานประจำวัน:

การจัดการแพตช์ : ใช้การอัปเดตความปลอดภัยของระบบปฏิบัติการและแอปพลิเคชันทันที แรนซัมแวร์หลายสายพันธุ์ใช้ประโยชน์จากช่องโหว่ที่ทราบและได้รับการแก้ไขแล้ว

สิทธิ์ขั้นต่ำและสุขอนามัยของบัญชี : เรียกใช้ผู้ใช้ด้วยบัญชีที่ไม่ใช่ผู้ดูแลระบบ บังคับใช้การตรวจสอบปัจจัยหลายประการที่เข้มงวดสำหรับการเข้าถึงระยะไกลและบัญชีที่มีสิทธิพิเศษ และตรวจสอบพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ

กลยุทธ์การสำรองข้อมูล : สร้างการสำรองข้อมูลอย่างสม่ำเสมอและแยกไว้ต่างหากจากเครือข่าย เพราะการสำรองข้อมูลคือวิธีเดียวที่มีประสิทธิภาพสูงสุดในการป้องกันการโจมตีแบบเข้ารหัส

การป้องกันปลายทางและ EDR : ปรับใช้โซลูชันการตรวจจับและตอบสนองปลายทางที่มีชื่อเสียง ซึ่งสามารถตรวจจับความผิดปกติของการทำงาน บล็อกเพย์โหลดที่เป็นอันตราย และเปิดใช้งานการควบคุมอย่างรวดเร็ว เปิดใช้งานลายเซ็นและการวัดระยะไกลอยู่เสมอ

การให้ความรู้แก่ผู้ใช้และการต่อต้านฟิชชิง : ฝึกอบรมผู้ใช้ให้หลีกเลี่ยงการรันแคร็ก/คีย์เจน ตรวจสอบผู้ส่งอีเมลและลิงก์ และปฏิบัติต่อไฟล์แนบที่ไม่คาดคิดด้วยความสงสัย การจำลองฟิชชิงและแคมเปญสร้างความตระหนักรู้ช่วยลดปัจจัยเสี่ยงด้านมนุษย์

การควบคุมแอปพลิเคชันและข้อจำกัดของแมโคร : ปิดใช้งานแมโคร Office ตามค่าเริ่มต้น บล็อกการทำงานจากตำแหน่งที่มักเกิดการละเมิด (เช่น %AppData%, โฟลเดอร์ชั่วคราว) และใช้รายการอนุญาตแอปพลิเคชันหากทำได้

หมายเหตุปิดท้าย

Solara แสดงให้เห็นถึงความเสี่ยงทั่วไปที่เกี่ยวข้องกับผู้สร้างแรนซัมแวร์ที่เผยแพร่สู่สาธารณะ ได้แก่ การแตกแขนงและการแพร่กระจายของแรนซัมแวร์ที่เพิ่มจำนวนขึ้นอย่างต่อเนื่อง และผู้โจมตีมักจะปรับเปลี่ยนวิธีการแพร่กระจายอย่างต่อเนื่องเพื่อโจมตีกลุ่มเฉพาะ (รายงานระบุว่าฟอรัมเกมและช่องทางซอฟต์แวร์ละเมิดลิขสิทธิ์อาจเป็นตัวล่อเหยื่อ) การป้องกันที่ดีที่สุดคือการป้องกัน การสำรองข้อมูลที่แข็งแกร่ง การกักเก็บอย่างรวดเร็ว และการทำงานร่วมกับทีมรับมือที่ได้รับการฝึกอบรม โดยไม่จ่ายค่าไถ่ หากคุณสงสัยว่ามีการบุกรุกและต้องการความช่วยเหลือในการทำความสะอาดแบบทีละขั้นตอน ให้รวบรวมตัวบ่งชี้ตัวอย่าง (ชื่อไฟล์ แฮช ข้อความบันทึกค่าไถ่) และปรึกษาผู้ให้บริการรับมือเหตุการณ์ที่เชื่อถือได้หรือผู้ให้บริการด้านความปลอดภัยของคุณสำหรับคำแนะนำเกี่ยวกับการกักเก็บและการกู้คืน