Wing Ransomware

Wing เป็นภัยคุกคามซอฟต์แวร์ที่เป็นอันตรายซึ่งจัดอยู่ในประเภทแรนซัมแวร์ ซึ่งได้รับการออกแบบโดยมีวัตถุประสงค์หลักในการเข้ารหัสไฟล์บนอุปกรณ์ที่ถูกบุกรุก ต่อจากนั้น ผู้กระทำผิดที่อยู่เบื้องหลัง Wing เรียกร้องค่าไถ่สำหรับการกู้คืนข้อมูลที่ได้รับผลกระทบตามข้อกล่าวหา มัลแวร์จะเพิ่มไฟล์ที่เข้ารหัสด้วยเครื่องหมายระบุตัวตน ซึ่งรวมถึงที่อยู่อีเมล สตริง ID เฉพาะที่กำหนดให้กับเหยื่อแต่ละราย และนามสกุล '.wing' ตัวอย่างเช่น ไฟล์ที่เดิมชื่อ '1.pdf' จะแปลงเป็น '1.pdf.Wingransomware@test.com.Q0ZLQA5KUMLK.wing'

เมื่อเสร็จสิ้นกระบวนการเข้ารหัส จะมีการสร้างบันทึกเรียกค่าไถ่ชื่อ 'Readme.txt' ภายในระบบ สิ่งสำคัญคือต้องทราบว่าส่วนขยายเฉพาะและเนื้อหาหรือชื่อเรื่องของบันทึกค่าไถ่อาจแตกต่างกันไปขึ้นอยู่กับกลยุทธ์ที่ใช้โดยผู้โจมตีที่จัดเตรียมแรนซัมแวร์

โดยเฉพาะอย่างยิ่งนักพัฒนาของ Wing ได้รับการสังเกตอย่างแข็งขันในการแสวงหาความร่วมมือผ่านทางอีเมลและโพสต์บนฟอรัมของแฮ็กเกอร์ สิ่งนี้บ่งบอกถึงความพยายามที่จะสร้างธุรกิจโมเดล Ransomware-as-a-Service (RaaS) ซึ่งช่วยให้ผู้มีโอกาสร่วมงานสามารถใช้ Wing สำหรับกิจกรรมที่ไม่ปลอดภัยได้

Wing Ransomware สร้างความเสียหายร้ายแรงต่อข้อมูลบนอุปกรณ์ที่ติดไวรัส

Wing Ransomware ที่แพร่กระจายอยู่ในปัจจุบัน ดูเหมือนจะเป็นเวอร์ชันเบื้องต้นหรือเวอร์ชันทดสอบ ตามที่แนะนำในบันทึกเรียกค่าไถ่ หมายเหตุนี้แจ้งให้เหยื่อทราบอย่างชัดเจนว่าไฟล์ของพวกเขาได้รับการเข้ารหัส โดยเน้นว่ามีเพียงผู้โจมตีเท่านั้นที่มีเครื่องมือที่จำเป็นสำหรับการถอดรหัส และความพยายามใด ๆ ที่ไม่ได้รับอนุญาตอาจส่งผลให้เกิดความเสียหายที่ไม่สามารถย้อนกลับได้ เพื่อสร้างความไว้วางใจ แรนซัมแวร์เสนอการทดสอบถอดรหัสฟรีแบบจำกัดแก่เหยื่อ อย่างไรก็ตาม การกู้คืนข้อมูลทั้งหมดขึ้นอยู่กับการชำระค่าไถ่ในสกุลเงินดิจิทัล Bitcoin

สิ่งสำคัญคือต้องทราบว่าบันทึกค่าไถ่ที่ให้ไว้นั้นเป็นเทมเพลตและไม่มีข้อมูลสำหรับติดต่อกับผู้โจมตี ตามที่กล่าวไว้ข้างต้น เนื้อหาของบันทึกย่ออาจแตกต่างกันไป เนื่องจากลักษณะบางอย่างของแรนซัมแวร์นี้สามารถปรับแต่งได้

ตามรายละเอียดที่พบในเนื้อหาที่เกี่ยวข้องกับความพยายามแสวงหาพันธมิตรของ Wing มัลแวร์ใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่งเช่น RSA-4096, AES-256 และ ChaCha20 สำหรับการเข้ารหัสข้อมูล น่าสังเกตว่าทั้งไฟล์ในเครื่องและไฟล์ที่แชร์บนเครือข่ายตกเป็นเป้าหมายของมัลแวร์นี้

Wing สาธิตแนวทางเชิงกลยุทธ์โดยการหลีกเลี่ยงไฟล์ระบบที่สำคัญและไฟล์ที่อาจต้องใช้เวลาในการเข้ารหัสนานขึ้น มีความสามารถในการยุติกระบวนการในตัวจัดการงานของ Windows ที่อาจรบกวนกระบวนการเข้ารหัส นอกจากนี้ Wing ยังสามารถปกปิดกระบวนการภายใน Task Manager เพื่อหลีกเลี่ยงการตรวจจับ

ในแง่ของความคงอยู่ Wing ใช้เทคนิคในการเริ่มต้นโดยอัตโนมัติเมื่อระบบรีบูตแต่ละครั้ง เพื่อให้แน่ใจว่าระบบจะคงอยู่ต่อไป นอกจากนี้ แรนซัมแวร์ยังช่วยลดความเป็นไปได้ในการกู้คืนผ่าน Shadow Volume Copies ด้วยการลบออก โดยเน้นย้ำถึงความรุนแรงของการประนีประนอม

มาตรการสำคัญเพื่อปกป้องข้อมูลและอุปกรณ์ของคุณจากการโจมตีแรนซัมแวร์

การบรรลุการถอดรหัสโดยไม่ต้องมีส่วนร่วมโดยตรงของผู้โจมตีถือเป็นเหตุการณ์ที่เกิดขึ้นได้ยาก แม้ว่าเหยื่อจะเลือกจ่ายค่าไถ่ แต่ก็ไม่มีการรับประกันว่าจะได้รับคีย์ถอดรหัสหรือซอฟต์แวร์ที่จำเป็น นักวิจัยเตือนอย่างยิ่งไม่ให้ปฏิบัติตามความต้องการของอาชญากรไซเบอร์ โดยเน้นว่าการสนับสนุนกิจกรรมที่ผิดกฎหมายดังกล่าว แม้จะด้วยเหตุผลทางการเงิน ก็ไม่รับประกันว่าจะสามารถกู้คืนไฟล์ได้สำเร็จ

หากต้องการหยุดการเข้ารหัสข้อมูลเพิ่มเติมโดยแรนซัมแวร์ จะต้องกำจัดมัลแวร์ออกจากระบบปฏิบัติการ น่าเสียดายที่การลบแรนซัมแวร์ออกไม่ได้กู้คืนไฟล์ที่ถูกบุกรุกโดยอัตโนมัติ วิธีแก้ปัญหาที่มีประสิทธิภาพเพียงอย่างเดียวคือการดึงไฟล์จากข้อมูลสำรอง โดยจะต้องสร้างไฟล์ไว้ล่วงหน้าและจัดเก็บไว้ในตำแหน่งที่แยกต่างหาก

ในบริบทที่กว้างขึ้นของการปกป้องไฟล์จากการเข้ารหัสข้อมูลหรือสร้างความเสียหายจากมัลแวร์และภัยคุกคามอื่นๆ แนวทางที่แนะนำคือการรักษาการสำรองข้อมูลไว้ในสถานที่ต่างๆ ที่หลากหลาย ซึ่งรวมถึงการจัดเก็บสำเนาบนเซิร์ฟเวอร์ระยะไกล อุปกรณ์จัดเก็บข้อมูลที่ไม่ได้เชื่อมต่อ และตำแหน่งที่ปลอดภัยอื่นๆ ซึ่งช่วยเพิ่มโอกาสในการกู้คืนไฟล์ได้สำเร็จและลดผลกระทบจากการสูญเสียข้อมูลที่อาจเกิดขึ้น

บันทึกค่าไถ่ของ Wing Ransomware ส่งข้อความต่อไปนี้:

'Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !

Please read this message carefully and patiently *

If you use any tools, programs, or methods to recover your files and they get damaged, we will not be responsible for any harm to your files !

Note that your files have not been harmed in any way they have only been encrypted by our algorithm. Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !

To gain trust in us, you can send us a maximum of 2 non-important files, and we will decrypt them for you free of charge. Please note that your files should not contain important information. Your files should be in a format that we can read, such as .txt, .pdf, .xlsx, .jpg, or any other readable format for us.

Please put your Unique ID as the title of the email or as the starting title of the conversation.

For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *

Telegram Id :
Mail 1 :
Mail 2 :

You will receive btc address for payment in the reply letter

! Important !

Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us , it will rеsult оnly priсе incrеаsе!
Plеаsе nоte that we are professionals and just doing our job !
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu !

UniqueID:

PersonalID:'