Traders Ransomware

แรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามที่เคลื่อนไหวรวดเร็วที่สุดและก่อกวนมากที่สุดที่บุคคลและองค์กรต่างๆ ต้องเผชิญ การบุกรุกที่ประสบความสำเร็จเพียงครั้งเดียวสามารถเข้ารหัสข้อมูลที่สะสมมานานหลายปี เปิดเผยข้อมูลส่วนบุคคล และทำให้ระบบหยุดทำงานซึ่งมีค่าใช้จ่ายสูง การติดตามข้อมูลเกี่ยวกับภัยคุกคามที่ใช้งานอยู่และการใช้การป้องกันแบบหลายชั้นจะช่วยลดทั้งโอกาสและผลกระทบของการโจมตีได้อย่างมาก

โปรไฟล์ภัยคุกคาม — 'ผู้ค้า' คืออะไร?

Traders เป็นแรนซัมแวร์เข้ารหัสไฟล์ที่นักวิเคราะห์ความปลอดภัยสังเกตเห็นระหว่างการตามล่าหาภัยคุกคามและการสืบสวนมัลแวร์ เมื่อแรนซัมแวร์นี้ยึดครองระบบได้ มันจะเข้ารหัสข้อมูลผู้ใช้และเปลี่ยนชื่อไฟล์เพื่อทำเครื่องหมายไฟล์ที่เป็นตัวประกัน จากนั้นผู้ปฏิบัติการจะเรียกร้องเงินเพื่อแลกกับคีย์ถอดรหัส ขณะเดียวกันก็ใช้แรงกดดันผ่านภัยคุกคามการรั่วไหลของข้อมูล

เครื่องหมายไฟล์ที่แตกต่าง — ข้อมูลของคุณจะถูกเปลี่ยนชื่ออย่างไร

หลังจากการเข้ารหัสแล้ว Traders จะเพิ่มรหัสประจำตัวเฉพาะของเหยื่อและนามสกุลไฟล์ '.traders' ให้กับไฟล์ที่ได้รับผลกระทบแต่ละไฟล์ รูปแบบนี้จะระบุรหัสประจำตัวของเหยื่อไว้ในวงเล็บปีกกา ทำให้สามารถตรวจพบช่องโหว่ได้ง่ายในโฟลเดอร์ต่างๆ ตัวอย่างเช่น

• 1.png กลายเป็น 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders
• 2.pdf กลายเป็น 2.pdf {C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders

บันทึกเรียกค่าไถ่ — ข้อเรียกร้องและคำอ้างของผู้โจมตี

เทรดเดอร์ได้ทิ้งโน้ตชื่อ 'README.TXT' ไว้ ข้อความระบุว่าเอกสาร รูปภาพ ฐานข้อมูล และไฟล์มีค่าอื่นๆ ได้รับการเข้ารหัส และยืนยันว่าการกู้คืนต้องใช้คีย์ส่วนตัวเฉพาะที่ผู้โจมตีถือครอง โดยทั่วไปแล้ว โน้ตนี้จะป้องกันความพยายามถอดรหัสด้วยตนเอง โดยเตือนว่าเครื่องมือที่ไม่เหมาะสมอาจทำให้ข้อมูลเสียหายอย่างถาวร โน้ตดังกล่าวมีช่องทางติดต่อ ที่อยู่อีเมล ('traders@mailum.com') และรหัส Session messenger ID ซึ่งเหยื่อจะได้รับคำแนะนำในการเจรจาต่อรอง

การรีดไถสองครั้ง — การขโมยข้อมูลเพื่อประโยชน์

นอกเหนือจากการเข้ารหัสแล้ว ข้อความยังข่มขู่ว่าข้อมูลที่ถูกขโมยไปจะถูกขายหรือเผยแพร่หากไม่ชำระเงิน กลยุทธ์ 'รีดไถซ้ำซ้อน' นี้มุ่งเป้าไปที่การบีบบังคับเหยื่อที่พึ่งพาการสำรองข้อมูล โดยเพิ่มความเสี่ยงด้านชื่อเสียง กฎหมาย และความเป็นส่วนตัวเข้าไปด้วย

ความเป็นจริงของการฟื้นตัว — สิ่งที่ช่วยได้จริง

ไฟล์ที่ถูกล็อกโดยแรนซัมแวร์สมัยใหม่มักจะกู้คืนไม่ได้หากไม่มีตัวถอดรหัสของผู้โจมตี เส้นทางการกู้คืนที่ใช้งานได้จริงจำกัดอยู่เพียงการสำรองข้อมูลแบบออฟไลน์ที่สะอาด ซึ่งไม่สามารถเข้าถึงได้ในระหว่างเหตุการณ์ ไม่ควรจ่ายค่าไถ่เป็นอย่างยิ่ง เนื่องจากไม่มีการรับประกันว่าเครื่องมือถอดรหัสจะใช้งานได้ และการชำระเงินยังเป็นการกระตุ้นให้เกิดอาชญากรรมมากขึ้น

การกักเก็บและการกำจัด — การดำเนินการทันที

หากตรวจพบ Traders ให้แยกเครื่องที่ได้รับผลกระทบออกจากเครือข่ายทันทีเพื่อหยุดการเข้ารหัสเพิ่มเติมและการแพร่กระจายทางอ้อม เก็บรักษาข้อมูลทางนิติวิทยาศาสตร์ รวมถึงบันทึกเรียกค่าไถ่ ตัวอย่างไฟล์ที่เข้ารหัส และบันทึกที่เกี่ยวข้อง ใช้โซลูชันแอนตี้มัลแวร์/EDR ที่มีชื่อเสียงเพื่อลบเพย์โหลดและกลไกการคงอยู่ใดๆ หลังจากการกำจัดแล้ว ให้สร้างใหม่หรือสร้างอิมเมจระบบที่ถูกบุกรุก หมุนเวียนข้อมูลรับรอง และตรวจสอบคีย์การเข้าถึงและโทเค็น จากนั้นคุณจึงควรเริ่มกู้คืนข้อมูลจากข้อมูลสำรองที่ได้รับการยืนยันแล้ว พร้อมกับเฝ้าระวังการติดไวรัสซ้ำอย่างระมัดระวัง

การเข้าถึงและการส่งมอบเบื้องต้น — วิธีที่ผู้ค้าเข้าถึงระบบ

เช่นเดียวกับแรนซัมแวร์หลายตระกูล Traders ถูกส่งผ่านหลายช่องทาง จุดเข้าที่พบบ่อย ได้แก่ ไฟล์แนบหรือลิงก์อีเมลที่เป็นอันตราย ซอฟต์แวร์ที่เป็นโทรจันหรือละเมิดลิขสิทธิ์ (รวมถึงคีย์เจนและแคร็ก) เหยื่อล่อให้โจมตีทางเทคนิคปลอม และการใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแก้ไข ผู้ก่อภัยคุกคามยังใช้ประโยชน์จากการโฆษณาแฝงมัลแวร์ เว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์ที่มีลักษณะคล้ายกัน สื่อแบบถอดได้ที่ติดไวรัส เครือข่าย P2P พอร์ทัลดาวน์โหลดของบุคคลที่สาม และไฟล์ประเภทที่ติดกับดัก เช่น โปรแกรมติดตั้งไฟล์ปฏิบัติการ เอกสาร Office หรือ PDF ที่มีมาโครหรือสคริปต์ฝังอยู่ และไฟล์บีบอัด (ZIP/RAR) ที่แยกไฟล์ดรอปเปอร์

เสริมสร้างการป้องกันของคุณ — แนวทางปฏิบัติด้านความปลอดภัยที่สำคัญ

• รักษาการสำรองข้อมูลแบบออฟไลน์
• รีบแก้ไขโดยเร็ว ให้ความสำคัญกับบริการที่เชื่อมต่ออินเทอร์เน็ต และอัปเดตอัตโนมัติเมื่อทำได้
• ปรับใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียงพร้อมการป้องกันแบบเรียลไทม์ การบล็อคพฤติกรรม และการเข้าถึงโฟลเดอร์ที่มีการควบคุม
• เสริมความแข็งแกร่งให้กับ RDP และการเข้าถึงระยะไกล ปิดใช้งานหากไม่จำเป็น จำกัดตามรายการอนุญาต/VPN กำหนดให้ใช้ MFA และตรวจสอบการล็อกอินแบบ Brute-force หรือการล็อกอินที่ผิดปกติ
• ปิดใช้งานแมโครและสคริปต์ที่มีความเสี่ยง บล็อกแมโคร Office จากอินเทอร์เน็ต จำกัด PowerShell ให้ใช้โหมดภาษาจำกัดสำหรับผู้ที่ไม่ใช่ผู้ดูแลระบบ และตรวจสอบการทำงานของสคริปต์
• เบราว์เซอร์และการดาวน์โหลดที่ปลอดภัย ใช้เฉพาะบริการที่มีชื่อเสียง บล็อกโดเมนที่รู้จักว่าเป็นอันตราย และหลีกเลี่ยงโปรแกรมดาวน์โหลดจากบุคคลที่สามและแหล่ง P2P

ความคิดสุดท้าย

แรนซัมแวร์ของ Traders ผสานการเข้ารหัสที่แข็งแกร่งเข้ากับแรงกดดันจากการรีดไถ ทำให้การเตรียมพร้อมเป็นการป้องกันที่ดีที่สุด หมั่นอัปเดตระบบ บังคับใช้สิทธิ์การเข้าถึงขั้นต่ำสุด ปรับใช้การป้องกันปลายทางที่มีประสิทธิภาพ แบ่งส่วนเครือข่าย และที่สำคัญที่สุดคือ บำรุงรักษาการสำรองข้อมูลแบบออฟไลน์ที่ผ่านการทดสอบแล้ว หากคุณได้รับผลกระทบแล้ว ให้มุ่งเน้นไปที่การควบคุมและการแก้ไขโดยผู้เชี่ยวชาญมากกว่าการจ่ายเงิน