Tianrui Ransomware
การโจมตีด้วยแรนซัมแวร์กลายเป็นภัยคุกคามทางไซเบอร์ที่ร้ายแรงที่สุดอย่างหนึ่ง โดยก่อให้เกิดความเสียหายทางการเงินและการดำเนินงานอย่างร้ายแรงต่อบุคคลและองค์กร โปรแกรมที่เป็นอันตรายเหล่านี้จะเข้ารหัสไฟล์ ทำให้ไม่สามารถเข้าถึงได้ และเรียกร้องเงินค่าถอดรหัส ผู้ก่ออาชญากรรมทางไซเบอร์มักจะเพิ่มระดับภัยคุกคามด้วยการขโมยข้อมูลที่ละเอียดอ่อนและใช้ประโยชน์จากข้อมูลดังกล่าวในการกรรโชกทรัพย์ เมื่อพิจารณาถึงความซับซ้อนที่เพิ่มมากขึ้นของแรนซัมแวร์ เช่น Tianrui จึงจำเป็นอย่างยิ่งที่จะต้องดำเนินการเชิงรุกเพื่อรักษาความปลอดภัยให้กับอุปกรณ์และข้อมูลของคุณ
สารบัญ
Tianrui Ransomware: สายพันธุ์ใหม่ที่น่าคุกคาม
Tianrui Ransomware เป็นมัลแวร์สายพันธุ์ใหม่ที่เพิ่งค้นพบซึ่งมีความคล้ายคลึงกับแรนซัมแวร์ตระกูลอื่นๆ เช่น Hush , MoneyIsTime และ Boramae เช่นเดียวกับแรนซัมแวร์สายพันธุ์อื่นๆ Tianrui ได้รับการออกแบบมาเพื่อเข้ารหัสไฟล์ของเหยื่อและเรียกค่าไถ่สำหรับการถอดรหัส
เทียนรุ่ยดำเนินงานอย่างไร
เมื่อติดไวรัสในอุปกรณ์แล้ว Tianrui จะเพิ่ม ID เฉพาะและนามสกุล '.tianrui' ลงในไฟล์ที่เข้ารหัส ตัวอย่างเช่น ไฟล์ชื่อ '1.png' จะถูกเปลี่ยนชื่อเป็นดังนี้:
'1.png.{9D2E69B0-DE01-B101-914B-5F2CBAAA094E}.เทียนรุ่ย'
หลังจากเข้ารหัสแล้ว แรนซัมแวร์จะสร้างบันทึกเรียกค่าไถ่ในไฟล์ข้อความชื่อ "README.TXT" ไฟล์นี้ประกอบด้วยคำแนะนำเกี่ยวกับวิธีที่เหยื่อจะเข้าถึงข้อมูลของตนได้อีกครั้ง ซึ่งปกติแล้วทำได้โดยการจ่ายค่าไถ่
บันทึกค่าไถ่และกลวิธีการขู่กรรโชก
บันทึกค่าไถ่เตือนเหยื่อว่าไฟล์ของพวกเขาถูกล็อค และขู่ว่าจะรั่วไหลข้อมูลหากไม่จ่ายค่าไถ่ เหยื่อควรติดต่อผู้โจมตีภายใน 12 ชั่วโมงเพื่อรับส่วนลดค่าไถ่ 50% อย่างไรก็ตาม ผู้เชี่ยวชาญเตือนว่าไม่ควรจ่ายเงิน เนื่องจากไม่มีการรับประกันว่าผู้โจมตีจะให้คีย์ถอดรหัสที่ใช้งานได้
นอกจากนี้ เจ้าหน้าที่ของ Tianrui ยังเตือนถึงความพยายามกู้คืนข้อมูลโดยบุคคลที่สาม โดยอ้างว่าการแทรกแซงจากภายนอกอาจทำให้การถอดรหัสเป็นไปไม่ได้ กลวิธีขู่ขวัญนี้มีจุดมุ่งหมายเพื่อกดดันให้เหยื่อปฏิบัติตามความต้องการของตน
เหตุใดการจ่ายค่าไถ่จึงเป็นความคิดที่ไม่ดี
- ไม่มีการรับประกันการกู้คืนไฟล์ : แม้ว่าจะจ่ายค่าไถ่แล้วก็ตาม ก็ไม่มีการรับประกันว่าเหยื่อจะได้รับเครื่องมือถอดรหัสที่ใช้งานได้ กลุ่มแรนซัมแวร์จำนวนมากรับเงินไปโดยไม่ให้คีย์ถอดรหัส
- ส่งเสริมกิจกรรมทางอาชญากรรม : การจ่ายค่าไถ่เป็นเงินทุนสำหรับปฏิบัติการทางอาชญากรรม ช่วยให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถโจมตีต่อไปได้ นอกจากนี้ยังเป็นสัญญาณว่าเหยื่อในอนาคตอาจเต็มใจที่จะจ่ายเงิน ส่งผลให้มีการรณรงค์เรียกค่าไถ่แบบมีเป้าหมายมากขึ้น
- ความเสี่ยงในการเรียกค่าไถ่ซ้ำซ้อน : ผู้ดำเนินการเรียกค่าไถ่หลายรายใช้การเรียกค่าไถ่ซ้ำซ้อน โดยเรียกร้องเงินค่าถอดรหัสและขู่ว่าจะรั่วไหลข้อมูลที่ขโมยมา แม้จะจ่ายเงินไปแล้ว ผู้เสียหายก็ยังอาจต้องประสบกับการเปิดเผยข้อมูลหรือถูกเรียกค่าไถ่ซ้ำอีก
เทียนรุ่ยแพร่กระจายอย่างไร
อาชญากรทางไซเบอร์ใช้กลวิธีต่างๆ เพื่อเผยแพร่แรนซัมแวร์ รวมถึง:
- อีเมลฟิชชิ่ง: ไฟล์แนบหรือลิงก์อีเมลหลอกลวงจะหลอกให้ผู้ใช้ดาวน์โหลดแรนซัมแวร์
- ซอฟต์แวร์โทรจัน : ซอฟต์แวร์ปลอมหรือแคร็กอาจมีมัลแวร์ซ่อนอยู่
- การดาวน์โหลดแบบ Drive-By: การเยี่ยมชมเว็บไซต์ที่ถูกบุกรุกสามารถกระตุ้นให้เกิดการดาวน์โหลดแรนซัมแวร์ที่แอบซ่อนอยู่
- อุปกรณ์จัดเก็บข้อมูลแบบถอดได้: ไดรฟ์ USB และฮาร์ดดิสก์ภายนอกสามารถแพร่กระจายมัลแวร์ระหว่างระบบได้
- การอัปเดตปลอมและเว็บไซต์หลอกลวง: ป๊อปอัปเบราว์เซอร์หลอกลวงและการแจ้งเตือนการอัปเดตจะติดตั้งมัลแวร์ภายใต้หน้ากากของการแก้ไขปัญหาด้านความปลอดภัย
แนวทางปฏิบัติรักษาความปลอดภัยที่ดีที่สุดเพื่อป้องกัน Tianrui และ Ransomware อื่นๆ
- สำรองข้อมูลของคุณเป็นประจำ : ใช้การสำรองข้อมูลแบบออฟไลน์ที่ไม่ได้เชื่อมต่อกับระบบหลักของคุณ เก็บข้อมูลสำรองไว้ในไดรฟ์ภายนอกหรือบริการจัดเก็บข้อมูลบนคลาวด์โดยเปิดใช้งานประวัติเวอร์ชัน ตรวจสอบการสำรองข้อมูลของคุณเป็นระยะเพื่อให้แน่ใจว่าใช้งานได้
- เปิดใช้งานการป้องกันจุดสิ้นสุดที่แข็งแกร่ง : ติดตั้งซอฟต์แวร์ต่อต้านแรนซัมแวร์ที่เชื่อถือได้ซึ่งสามารถตรวจจับและบล็อกภัยคุกคามได้ อัปเดตซอฟต์แวร์ความปลอดภัยทั้งหมดเพื่อป้องกันภัยคุกคามที่เกิดขึ้น
- ระวังอีเมลฟิชชิ่ง : อย่าเข้าถึงไฟล์แนบหรือลิงก์จากผู้ส่งที่ไม่รู้จักหรือที่น่าสงสัย ตรวจสอบสัญญาณเตือน เช่น ข้อผิดพลาดทางไวยากรณ์ คำขอเร่งด่วน และที่อยู่อีเมลที่ผิดปกติ ใช้เครื่องมือกรองอีเมลเพื่อบล็อกอีเมลที่ไม่ปลอดภัย
- อัปเดตซอฟต์แวร์และระบบของคุณอยู่เสมอ: ใช้โซลูชันด้านความปลอดภัยสำหรับระบบปฏิบัติการและแอปพลิเคชันของคุณเป็นประจำ เปิดใช้งานการอัปเดตอัตโนมัติเพื่อลดความเสี่ยงต่อช่องโหว่
- ปิดใช้งานแมโครในเอกสาร : อาชญากรไซเบอร์มักใช้แมโครที่เป็นอันตรายในเอกสาร Microsoft Office และ OneNote เพื่อแพร่กระจายแรนซัมแวร์ กำหนดค่าแอปพลิเคชัน Office เพื่อปิดใช้งานแมโครตามค่าเริ่มต้น
- หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์ที่แคร็ก : โปรแกรมละเมิดลิขสิทธิ์มักมีมัลแวร์แอบแฝงอยู่ ดาวน์โหลดซอฟต์แวร์เฉพาะจากแหล่งที่เป็นทางการหรือที่ได้รับการยืนยันเท่านั้น
- ใช้การยืนยันตัวตนที่เข้มงวด : เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ให้เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ทุกที่ที่เป็นไปได้ ใช้รหัสผ่านที่ซับซ้อนและพิเศษเฉพาะ และตัวจัดการรหัสผ่าน
- จำกัดสิทธิ์ของผู้ใช้ : จำกัดสิทธิ์การดูแลระบบเพื่อลดผลกระทบจากการติดแรนซัมแวร์ แบ่งส่วนเครือข่ายเพื่อป้องกันไม่ให้มัลแวร์แพร่กระจายไปทั่วทั้งองค์กร
- ตรวจสอบการรับส่งข้อมูลในเครือข่าย : ใช้ระบบตรวจจับและป้องกันการบุกรุก (IDS/IPS) เพื่อตรวจจับกิจกรรมที่น่าสงสัย ตรวจสอบบันทึกเครือข่ายเพื่อหาสิ่งผิดปกติเป็นประจำ
- ให้ความรู้แก่พนักงานและผู้ใช้ : ดำเนินการฝึกอบรมความตระหนักด้านความปลอดภัยทางไซเบอร์เพื่อช่วยให้ผู้ใช้สามารถจดจำภัยคุกคามจากแรนซัมแวร์ได้ จำลองการโจมตีแบบฟิชชิ่งเพื่อทดสอบและปรับปรุงความตระหนักด้านความปลอดภัย
Tianrui Ransomware เป็นภัยคุกคามทางไซเบอร์ที่ร้ายแรงและกำลังเติบโต แม้ว่าวิธีที่ดีที่สุดในการปกป้องข้อมูลของคุณคือการป้องกันการติดไวรัส แต่การมีกลยุทธ์การสำรองข้อมูลที่แข็งแกร่งและมาตรการรักษาความปลอดภัยที่เหมาะสมสามารถลดความเสี่ยงที่จะเกิดความเสียหายอย่างมีนัยสำคัญได้ องค์กรและบุคคลต่างๆ ต้องเฝ้าระวัง ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ และศึกษาหาความรู้เกี่ยวกับภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอเพื่อให้ก้าวล้ำหน้าอาชญากรทางไซเบอร์
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ Tianrui Ransomware:
|
I'll try to be brief: 1. It is beneficial for us that your files are decrypted no less than you, we don't want to harm you, we just want to get a ransom for our work. 2. Its only takes for us at list 20 minutes after payment to completely decrypt you, to its original state, it's very simple for us! 3.If you contact decryption companies, you are automatically exposed to publicity,also, these companies do not care about your files at all, they only think about their own benefit! 4.They also contact the police. Again, only you suffer from this treatment! 5. We have developed a scheme for your secure decryption without any problems, unlike the above companies, who just as definitely come to us to decipher you and simply make a profit from you as intermediaries, preventing a quick resolution of this issue! 6. In case of refusal to pay, we transfer all your personal data such as (emails, link to panel, payment documents , certificates , personal information of you staff, SQL,ERP,financial information for other hacker groups) and they will come to you again for sure! We will also publicize this attack using social networks and other media, which will significantly affect your reputation! 7. If you contact us no more than 12 hours after the attack, the price is only 50% of the price afterwards! 8. Do not under any circumstances try to decrypt the files yourself; you will simply break them! YOU MUST UNDERSTAND THAT THIS IS BIG MARKET AND DATA RECOVERY NEED MONEY ONLY !!! 9.IF YOU CHOOSE TO USE DATA RECOVERY COMPANY ASK THEM FOR DECRYPT TEST FILE FOR YOU IF THEY CANT DO IT DO NOT BELIEVE THEM ! 10.Do not give data recovery companies acces to your network they make your data cant be decrypted by us - for make more money from you !!!!! DO NOT TELL THEM YOUR COMPANY NAME BEFORE THEY GIVE YOU TEST FILE !!!!!! Contacts : Download the (Session) messenger (hxxps://getsession.org) You fined me "0585ae8a3c3a688c78cf2e2b2b7df760630377f29c0b36d999862861bdbf93380d" MAIL:tianrui@mailum.com |
