TXTME แรนซัมแวร์
เนื่องจากภัยคุกคามทางไซเบอร์มีความซับซ้อนมากขึ้น แรนซัมแวร์จึงยังคงก่อให้เกิดความเสี่ยงอย่างมากต่อผู้ใช้ส่วนบุคคล ธุรกิจ และสถาบันต่างๆ ทั่วโลก TXTME Ransomware ซึ่งเป็นหนึ่งในสายพันธุ์ล่าสุดและอันตรายที่สุด เป็นตัวอย่างที่แสดงให้เห็นว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ของระบบและกลอุบายทางสังคมเพื่อเข้ารหัสข้อมูลและกรรโชกทรัพย์ได้อย่างไร เพื่อหลีกเลี่ยงไม่ให้ตกเป็นเหยื่อรายต่อไป จำเป็นต้องทำความเข้าใจว่าภัยคุกคามนี้ทำงานอย่างไรและจะป้องกันได้อย่างไร
สารบัญ
ภายใน TXTME: มาดูพฤติกรรมของ Ransomware กัน
TXTME Ransomware เป็นของตระกูล Dharma ซึ่งมีชื่อเสียงจากการโจมตีด้วยการเข้ารหัสข้อมูลและกลวิธีรีดไถที่กดดันสูง เมื่อเข้าไปในระบบแล้ว TXTME จะล็อกไฟล์ของผู้ใช้และเปลี่ยนชื่อไฟล์ด้วยตัวระบุเฉพาะ อีเมลติดต่อของผู้โจมตี และนามสกุล '.TXTME' ตัวอย่างเช่น:
1.png กลายเป็น 1.png.id-9ECFA84E.[ownercall@tuta.io].TXTME
2.pdf กลายเป็น 2.pdf.id-9ECFA84E.[ownercall@tuta.io].TXTME
เหยื่อจะได้รับบันทึกเรียกค่าไถ่ 2 รายการ ได้แก่ ป๊อปอัปบนเดสก์ท็อปและไฟล์ 'TXTME.txt' บันทึกเหล่านี้จะเตือนเหยื่อว่าไฟล์ของตนถูกเข้ารหัส และแนะนำให้ติดต่อกับผู้โจมตีทางอีเมล ('ownercall@tuta.io' หรือ 'ownercall@mailum.com') ผู้โจมตีจะเรียกร้อง Bitcoin เพื่อแลกกับเครื่องมือถอดรหัส และเตือนไม่ให้เปลี่ยนชื่อไฟล์หรือใช้ซอฟต์แวร์กู้คืนของบุคคลที่สาม ซึ่งอาจทำให้ข้อมูลสูญหายถาวร
วิธีการติดเชื้อและการจัดการระบบ
เมื่อใช้งานแล้ว TXTME จะใช้มาตรการที่เข้มงวดเพื่อป้องกันการกู้คืนและรักษาสถานะของตน:
- ปิดใช้งานไฟร์วอลล์ของระบบ ทำให้การป้องกันต่อการโจมตีลดลง
- ลบ Shadow Volume Copies โดยลบข้อมูลสำรองในตัวใดๆ ที่อาจใช้ในการกู้คืนไฟล์ที่สูญหาย
- คัดลอกตัวเองไปยังไดเร็กทอรี %LOCALAPPDATA% และเพิ่มรายการรีจิสทรีเพื่อให้แน่ใจว่าจะทำงานโดยอัตโนมัติเมื่อเริ่มระบบ
- รวบรวมข้อมูลตำแหน่งพื้นฐานเพื่อหลีกเลี่ยงการติดไวรัสในระบบในบางประเทศ โดยทั่วไปคือประเทศที่เกี่ยวข้องกับผู้โจมตี
แพร่กระจายผ่านช่องทางโจมตีทั่วไป เช่น อีเมลฟิชชิ่ง โฆษณาหลอกลวง ซอฟต์แวร์แคร็ก ไดรฟ์ USB ที่ติดไวรัส และบริการ Remote Desktop Protocol (RDP) ที่เปิดเผย โดยเฉพาะบริการที่มีรหัสผ่านที่อ่อนแอหรือใช้ซ้ำ
เสริมสร้างการป้องกันของคุณ: แนวทางปฏิบัติที่ดีที่สุดในการป้องกันแรนซัมแวร์
การป้องกันภัยคุกคามที่ซับซ้อน เช่น TXTME ต้องใช้กลยุทธ์เชิงรุกและหลายชั้น รากฐานที่แข็งแกร่งเริ่มต้นด้วยการรักษาความปลอดภัยระบบและเครือข่ายของคุณ การตรวจสอบให้แน่ใจว่าระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดของคุณได้รับการอัปเดตด้วยแพตช์ล่าสุดถือเป็นสิ่งสำคัญในการปิดช่องโหว่ที่ทราบ นอกจากนี้ การใช้ซอฟต์แวร์ต่อต้านมัลแวร์ที่มีชื่อเสียงพร้อมเปิดใช้งานการป้องกันแบบเรียลไทม์ยังถือเป็นสิ่งสำคัญ ซึ่งสามารถช่วยตรวจจับและบล็อกกิจกรรมที่ไม่ปลอดภัยก่อนที่จะก่อให้เกิดอันตราย
การเข้าถึงระบบควรได้รับการควบคุมอย่างเข้มงวดโดยกำหนดสิทธิ์การดูแลระบบให้เฉพาะกับผู้ที่จำเป็นต้องใช้เท่านั้น นอกจากนี้ การปิดใช้งานแมโครในเอกสาร Office สามารถป้องกันไม่ให้มัลแวร์มาตรฐานจำนวนมากทำงาน หากไม่ได้ใช้ Remote Desktop Protocol (RDP) ควรปิดใช้งานทั้งหมด อย่างไรก็ตาม หากจำเป็นต้องเข้าถึงจากระยะไกล จะต้องได้รับการรักษาความปลอดภัยด้วยรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน การตรวจสอบสิทธิ์แบบหลายปัจจัย และควรกำหนดเส้นทางผ่านเครือข่ายส่วนตัวเสมือน (VPN)
สิ่งที่สำคัญไม่แพ้กันก็คือการรักษาความตระหนักรู้และกลยุทธ์การสำรองข้อมูลที่เชื่อถือได้ ไฟล์สำคัญควรได้รับการสำรองข้อมูลเป็นประจำและจัดเก็บไว้ไม่ว่าจะออฟไลน์หรือในสภาพแวดล้อมคลาวด์ที่ปลอดภัยซึ่งไม่สามารถเข้าถึงได้โดยตรงจากระบบหลัก
การหลีกเลี่ยงซอฟต์แวร์ละเมิดลิขสิทธิ์และเครื่องมือที่ไม่เป็นทางการ รวมถึงหลีกเลี่ยงเว็บไซต์ที่น่าสงสัย จะช่วยลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์ได้ และสุดท้าย การตรวจสอบกิจกรรมเครือข่ายอย่างต่อเนื่องสามารถให้สัญญาณเตือนล่วงหน้าเกี่ยวกับการพยายามบุกรุก เช่น การพยายามล็อกอินโดยใช้กำลังดุร้ายหรือรูปแบบการเข้าถึงไฟล์ที่ผิดปกติ
บทสรุป: อยู่ให้ระวัง ปกป้องตัวเอง
แคมเปญ TXTME Ransomware แสดงให้เห็นถึงความซับซ้อนและการทำลายล้างที่เพิ่มขึ้นของภัยคุกคามทางไซเบอร์ในปัจจุบัน แคมเปญนี้จะปิดใช้งานเครื่องมือการกู้คืน เข้ารหัสไฟล์ที่มีค่า และเรียกค่าไถ่เป็นสกุลเงินดิจิทัล ขณะเดียวกันก็มั่นใจได้ว่าจะยังคงทำงานบนระบบที่ถูกบุกรุกได้ อย่างไรก็ตาม ด้วยแนวทางปฏิบัติด้านความปลอดภัยที่เคร่งครัดและความมุ่งมั่นในการสร้างความตระหนักรู้ให้กับผู้ใช้ เราจึงสามารถป้องกันการติดเชื้อดังกล่าวได้และตอบสนองอย่างมีประสิทธิภาพหากเกิดขึ้น การรักษาความปลอดภัยทางไซเบอร์ไม่ใช่ทางเลือกอีกต่อไป แต่เป็นการลงทุนที่จำเป็นเพื่อความปลอดภัยทางดิจิทัลของคุณ
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ TXTME แรนซัมแวร์:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: ownercall@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:ownercall@mailum.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
Ransom message shown as a text file: all your data has been locked us You want to return? write email ownercall@tuta.io or ownercall@mailum.com |
