ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม แรนซัมแวร์ Theft Ransomware

Theft Ransomware

โดย Mezo ใน แรนซัมแวร์
แปลเป็น:

สภาพแวดล้อมภัยคุกคามสมัยใหม่นั้นโหดร้าย อาชญากรไซเบอร์กำลังพัฒนาเครื่องมืออย่างต่อเนื่องเพื่อแสวงหาผลประโยชน์จากผู้ใช้ที่ไม่ได้เตรียมตัวไว้ หนึ่งในภัยคุกคามที่สร้างความเสียหายมากที่สุดคือแรนซัมแวร์ ซึ่งเป็นซอฟต์แวร์อันตรายที่เข้ารหัสข้อมูลและรีดไถเหยื่อเพื่อเอาเงิน หนึ่งในสายพันธุ์ใหม่ที่กำลังเกิดขึ้นนี้รู้จักกันในชื่อ Theft Ransomware ซึ่งถูกตรวจพบว่าสร้างความเสียหายอย่างหนักให้กับระบบที่ไม่ทันระวังตัว

อะไรที่ทำให้การเรียกค่าไถ่จากการโจรกรรมเป็นอันตราย

Theft Ransomware เป็นสายพันธุ์ใหม่ที่เชื่อมโยงกับตระกูลแรนซัมแวร์ Dharma อันโด่งดัง ซึ่งเป็นกลุ่มที่รู้จักกันดีว่ามีเป้าหมายโจมตีทั้งบุคคลและองค์กร เมื่อแทรกซึมเข้าไปในอุปกรณ์ มัลแวร์จะเข้ารหัสไฟล์และเปลี่ยนชื่อไฟล์โดยการเพิ่ม:

  • รหัสเหยื่อที่ไม่ซ้ำกัน
  • ที่อยู่อีเมลของผู้โจมตี
  • ส่วนขยาย 'การโจรกรรม'

ตัวอย่างเช่น '1.png' จะกลายเป็น '1.png.id-9ECFA84E.[datatheft@tuta.io].theft'

จากนั้นเหยื่อจะต้องเผชิญกับบันทึกเรียกค่าไถ่ในรูปแบบไฟล์ข้อความ ('info.txt') และหน้าต่างป๊อปอัป แม้ว่าข้อความจะกระชับและให้ข้อมูลติดต่อ แต่ป๊อปอัปกลับให้รายละเอียดเพิ่มเติม รวมถึงการยืนยันว่าจะกู้คืนข้อมูลได้หากจ่ายค่าไถ่ ผู้โจมตียังเสนอ 'หลักฐานการถอดรหัส' โดยอนุญาตให้กู้คืนไฟล์ขนาดเล็กที่ไม่สำคัญสามไฟล์ได้ฟรี

นอกจากนี้ อาชญากรยังเพิ่มแรงกดดันด้วยการอ้างว่าตนได้ขโมยข้อมูลทางธุรกิจที่ละเอียดอ่อน และขู่ว่าจะรั่วไหลหากถูกปฏิเสธการชำระเงิน

ลักษณะทางเทคนิคของภัยคุกคาม

เช่นเดียวกับมัลแวร์ประเภทอื่นๆ ที่ใช้ Dharma Theft Ransomware ไม่ได้ล็อกระบบทั้งหมด แต่จะเข้ารหัสไฟล์ในเครื่องและไฟล์ที่แชร์บนเครือข่าย มัลแวร์นี้ดำเนินการดังนี้:

  • ยุติกระบวนการที่เชื่อมโยงกับไฟล์ที่ใช้งาน (ฐานข้อมูล, โปรแกรมอ่าน ฯลฯ)
  • คัดลอกตัวเองไปยังเส้นทาง %LOCALAPPDATA% และลงทะเบียนการคงอยู่ผ่านคีย์ Run
  • ตั้งค่าให้เริ่มอัตโนมัติเมื่อระบบรีบูต
  • ลบสำเนาเงาของวอลุ่มเพื่อป้องกันการกู้คืนที่ง่าย

มัลแวร์ยังรวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์เพื่อพิจารณาว่าจะดำเนินการเข้ารหัสหรือไม่ โดยอาจยกเว้นบางภูมิภาคด้วย

การติดเชื้อแพร่กระจายอย่างไร

แรนซัมแวร์ขโมยข้อมูล (Theft Ransomware) ใช้กลยุทธ์การแทรกซึมหลายรูปแบบ โดยวิธีการที่พบบ่อยที่สุดคือบริการ RDP (Remote Desktop Protocol) ที่มีความปลอดภัยต่ำ การโจมตีแบบ Brute-force และ Dictionary ต่อบัญชีที่มีการป้องกันไม่ดีเป็นจุดเข้าใช้งานที่พบบ่อย เมื่อเข้าไปแล้ว มัลแวร์อาจปิดการทำงานของไฟร์วอลล์เพื่อให้ทำงานได้ง่ายขึ้น

ช่องทางการจัดจำหน่ายอื่นๆ ที่เป็นที่รู้จักได้แก่:

ฟิชชิ่งและวิศวกรรมสังคม – ไฟล์แนบหรือลิงก์ที่เป็นอันตรายในอีเมล ข้อความส่วนตัว และโพสต์

โทรจันและแบ็กดอร์ – ใช้เพื่อปล่อยแรนซัมแวร์อย่างเงียบๆ

การโฆษณาแฝงมัลแวร์และการดาวน์โหลดแบบไม่ทันตั้งตัว – เกิดขึ้นเพียงจากการเยี่ยมชมเว็บไซต์ที่ถูกบุกรุก

แหล่งที่มาของซอฟต์แวร์ที่น่าสงสัย – เครื่องมือละเมิดลิขสิทธิ์ ชุดฟรีแวร์ และการอัปเดตปลอม

สื่อที่ถอดออกได้และเครือข่ายท้องถิ่น – ช่วยให้มัลแวร์แพร่กระจายภายในระบบได้เมื่อเข้าสู่ระบบ

ทำไมการจ่ายค่าไถ่จึงเป็นการเดิมพันที่มีความเสี่ยง

การถอดรหัสไฟล์ที่เข้ารหัสโดยขโมยโดยไม่มีคีย์ของผู้โจมตีนั้นแทบจะเป็นไปไม่ได้ แม้ว่าแรนซัมแวร์บางสายพันธุ์จะมีข้อบกพร่อง แต่ภัยคุกคามจาก Dharma มักจะถูกสร้างขึ้นมาอย่างมั่นคง ที่สำคัญ การจ่ายค่าไถ่ไม่ได้รับประกันว่าจะได้เงินคืน เหยื่อจำนวนมากต้องมือเปล่าแม้จะโอนเงินไปแล้วก็ตาม ที่แย่กว่านั้นคือ การจ่ายเงินนั้นเป็นเพียงเงินทุนสำหรับปฏิบัติการทางอาญาอื่นๆ ต่อไป

การเสริมสร้างการป้องกันของคุณจาก Ransomware

วิธีที่ดีที่สุดในการต่อสู้กับ Theft Ransomware คือการป้องกัน เนื่องจากการลบมัลแวร์จะไม่กู้คืนไฟล์ที่เข้ารหัสโดยอัตโนมัติ ผู้ใช้จึงต้องให้ความสำคัญกับความยืดหยุ่นและการป้องกันเชิงรุก แนวปฏิบัติสำคัญที่ผู้ใช้ทุกคนควรปฏิบัติตาม ได้แก่:

  • การสำรองข้อมูลปกติ – รักษาสำเนาของไฟล์สำคัญไว้ในตำแหน่งที่ปลอดภัยหลายตำแหน่ง เช่น ไดรฟ์ออฟไลน์และบริการคลาวด์ที่ไม่ได้แมปกับระบบที่ติดไวรัส
  • อัปเดตซอฟต์แวร์และระบบ – ติดตั้งแพตช์เพื่อปิดช่องโหว่ที่แรนซัมแวร์ใช้ประโยชน์
  • ใช้การตรวจสอบสิทธิ์แบบเข้มงวด – รักษาความปลอดภัยบริการ RDP ด้วยรหัสผ่านที่ซับซ้อนและไม่ซ้ำใคร และเปิดใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย
  • ระมัดระวังอีเมลและลิงก์ – อย่าเปิดไฟล์แนบที่ไม่คาดคิดหรือคลิกลิงก์ที่ไม่รู้จัก แม้ว่าจะดูเหมือนถูกต้องตามกฎหมายก็ตาม
  • จำกัดสิทธิ์การดูแลระบบ – จำกัดสิทธิ์เพื่อลดผลกระทบจากการทำงานของมัลแวร์ที่อาจเกิดขึ้น
  • ติดตั้งเครื่องมือรักษาความปลอดภัยที่มีชื่อเสียง – ใช้โซลูชันป้องกันมัลแวร์พร้อมคุณสมบัติการป้องกันแรนซัมแวร์
  • ปิดใช้งานแมโครและสคริปต์ – การโจมตีแรนซัมแวร์จำนวนมากเกิดขึ้นผ่านเอกสารหรือสคริปต์ Office
  • เครือข่ายแบบแบ่งส่วน – ป้องกันไม่ให้มัลแวร์แพร่กระจายไปยังสภาพแวดล้อมทางธุรกิจอื่น ๆ

ความคิดสุดท้าย

Theft Ransomware เน้นย้ำถึงวิวัฒนาการอย่างต่อเนื่องของตระกูล Dharma และบทบาทอันยาวนานของมันในแคมเปญแรนซัมแวร์ระดับโลก การผสมผสานระหว่างการเข้ารหัส การโจรกรรมข้อมูล และการกรรโชกทรัพย์ ทำให้มันสร้างความเสียหายอย่างมาก เนื่องจากการกู้คืนไฟล์มักเป็นไปไม่ได้หากไม่มีการสำรองข้อมูลที่ปลอดภัย การป้องกันที่แท้จริงเพียงอย่างเดียวคือการป้องกันแบบหลายชั้น การรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง และกลยุทธ์การกู้คืนที่เชื่อถือได้

System Messages

The following system messages may be associated with Theft Ransomware:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

กระทู้ที่เกี่ยวข้อง

การหลอกลวง 'Grand Theft Auto (GTA) VI Giveaway'

ฟิชชิ่ง, สแปม
สิ่งที่เรียกว่า 'Grand Theft Auto (GTA) VI Giveaway' เป็นโครงการเข้ารหัสลับที่ฉ้อโกงซึ่งสร้างขึ้นอย่างมีกลยุทธ์เพื่อใช้ประโยชน์จากบุคคลที่กระตือรือร้นที่จะสำรวจโอกาสในภาคส่วนสกุลเงินดิจิทัล ผู้กระทำผิดของการหลอกลวงนี้ใช้วิธีการหลอกลวงโดยวางตัวเป็นหน่วยงานที่ใจดีที่นำเสนอสินทรัพย์ดิจิทัลฟรี นอกจากนี้...

มาแรง

Powerpcsupport.com

เว็บไซต์อันธพาล, แอดแวร์
Powerpcsupport.com เป็นเว็บไซต์ที่น่าสงสัยที่พยายามหลอกลวงผู้ใช้ให้ซื้อผลิตภัณฑ์ซอฟต์แวร์ที่ได้รับการส่งเสริมหรือใบอนุญาตโดยแสดงการสแกนมัลแวร์ปลอม...

เครือข่ายที่โดดเด่น

แอดแวร์, มัลแวร์ Mac
DominantNetwork เป็นแอปพลิเคชันประเภทหนึ่งที่อยู่ในหมวดหมู่ของแอดแวร์ ได้รับการระบุว่าเป็นสมาชิกของกลุ่มมัลแวร์ AdLoad และได้รับการออกแบบมาเพื่อดำเนินการแคมเปญโฆษณาที่ล่วงล้ำเป็นหลัก โลกแห่งแอดแวร์...

เข้าชมมากที่สุด

มัลแวร์

ฟิชชิ่ง, สแปม
35,281
ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
31,729
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...
กำลังโหลด...