เครื่องมือสำหรับจำลอง Ransomware

เราต่างทราบกันดีว่าช่วงปี 2015-2018 เป็นปีอันรุ่งเรืองของ Ransomware มีบริษัทจำนวนมากที่ตกเป็นเหยื่อและจำใจต้องจ่ายค่าไถ่แสนแพง (ระดับแสนบาทอัพ) ทีนี้พอเป็นแบบนั้นก็มีบริษัทมากมายที่สร้าง Anti Ransomware solution ออกมามากมาย ทีนี้เราจะทราบได้อย่างไรล่ะว่า Anti Ransomware solution นั้นเวิร์คจริง หรือหาก SOC (Security Operation Center) ต้องการจะจำลองเหตุการณ์การถูกโดนโจมตี Ransomware จะทำยังไง วันนี้ก็เลยเอา program จำลอง Ransomware เหล่านั้นมาฝากกันครับ 1. RanSim…
View Post

Ransomware ที่ไม่แตะคนเล่น PUBG

เหล่าเกมเมอร์คงไม่มีใครที่ไม่รู้จักเกมส์ที่ชื่อว่า PUBG หรือชื่อเต็มๆคือ Player Unknown’s Battlegrounds เป็นเกมส์ online ยอดฮิต ณ ตอนนี้ ล่าสุดมี Ransomware ออกมาโดยจะถอดรหัสไฟล์ให้หากคุณเล่นเกมส์ PUBG MalwareHunterTeam พบว่ามี Ransomware ตัวหนึ่งที่ชื่อว่า PUBG Ransomware จะทำการเข้ารหัสไฟล์และ folder ภายในเครื่องของเหยื่อ และเติมนามสกุล (extension) ว่า .PUBG โดยโปรแกรมดังกล่าวคาดว่าเป็นโปรแกรมที่สร้างขึ้นมาเล่นๆเฉยๆ ซึ่งหากทำการเข้ารหัสไปแล้ว…
View Post

แม้แต่ Ransomware ยังเสียว!!! เริ่มเรียกค่าไถ่เป็นสกุลเงินธรรมดา

Bitcoin ราคาผันผวนเกินไปทำให้แม้แต่ผู้เขียน Ransomware เริ่มกลับไปใช้ค่าเงินปกติแทน ในช่วงใกล้ๆสิ้นปี 2017 ทาง Proofpoint ได้กล่าวว่าพบว่าการจ่าย ransomware เริ่มมีการจ่ายเงินในสกุล bitcoin น้อยลงไปอยู่ที่ 73% และเริ่มมีการร้องขอเหยื่อที่ติด ransomware ให้จ่ายเงินเป็น US ไม่ก็สกุลเงินของประเทศนั้นๆแทน Ransomware Developer ก็ไม่ต่างกับเหล่าคนซื้อขาย Bitcoin ที่เริ่มระมัดระวังในราคาของ Bitcoin มากขึ้น เหตุเกิดจากความที่ค่าเงินของ Bitcoin ในช่วงนี้นั้นขึ้นลงอย่างกับรถไฟเหาะทำให้ตัว Ransomware…
View Post

StorageCrypt – Ransomware ที่แพร่กระจายไปยัง NAS ด้วย Sambacry

หลังจาก Sambacry ซึ่งเป็นช่องโหว่ใน SMBv1 บน Samba File Sharing Service ถูกพบเมื่อช่วงปีที่ผ่านมา ล่าสุดมีการพบ ransomware ที่มีการแพร่กระจายตัวเองผ่านการใช้ช่องโหว่ดังกล่าวเพิ่มเติมอีก โดยใช้ชื่อว่า StorageCrypt มีการพบ StorageCrypt ได้ทำการไล่เรียกค่าไถ่ใน NAS Device ต่างๆเช่น Western Digital My Cloud เป็นต้น. เหยื่อที่ถูกเข้ารหัสไฟล์เหล่านั้นกล่าวว่าภายใน NAS ที่ถูกเข้ารหัสนั้นมีมี note ทิ้งค้างไว้ซึ่งเรียกค่าไถ่อยู่ที่ประมาณ​…
View Post

ID Ransomware – เว็บไซด์สำหรับตรวจสอบว่าเป็น Ransomware ตัวไหนและมีทางแก้แล้วหรือยัง

หลายครั้งที่ผมได้รับการติดต่อให้ทำการดูให้หน่อยว่า Ransomware ตัวนั้นตัวนี้ มีทางแก้แล้วหรือยัง ซึ่งบ่อยครั้งที่ผมก็จะบอกว่าให้ไปเช็คที่เว็บไซด์ ID Ransomware ดูครับ ซึ่งหลายๆคนอาจจะไม่เคยได้ยิน รวมถึงอาจจะไม่รู้ว่ามีเว็บไซด์แบบนี้อยู่ ID Ransomware เป็นเว็บไซด์ที่เก็บรวบรวมลักษณะของ Ransomware ไว้มากมาย (ล่าสุดมีประมาณ 550 รูปแบบ) ซึ่งหากเราติด Ransomware แล้วตรวจสอบว่าเครื่องเรานั้นติด Ransomware ตัวไหน มีทางแก้แล้วหรือยัง สามารถทำได้ง่ายๆโดยเข้าไปที่ https://id-ransomware.malwarehunterteam.com/ จากนั้นทำการ upload file ที่ถูกเข้ารหัส และไฟล์เรียกค่าไถ่…
View Post

BTC-e ถูกปิดเพราะเป็นแหล่งฟอกเงินให้กับเหล่าคนทำ Ransomware

ตำรวจ Greek ได้นำกำลังเข้าจับนาย Alexander Vinnik อายุ 38 ปี ชาวรัสเซีย เจ้าของเว็บไซด์สำหรับการแลกเงิน Bitcoin ที่ชื่อว่า BTC-e จากการเข้าจับกุมดังกล่าว ทางกระทรวงยุติธรรมของ US ได้แจ้งข้อหาจับนาย Vinnik ถึง 21 กระทงเกี่ยวกับการฟอกเงินและการกระทำเกี่ยวกับแลกเปลี่ยนเงินใดๆโดยไม่ได้รับอนุญาต จากที่มีการให้ข้อมูลจำนวนมากว่า BTC-e ได้ถูกใช้เป็นเครื่องมือของเหล่าผู้เขียน Ransomware สำหรับการนำเงิน Bitcoin แปลงไปเป็นเงินสกุลต่างๆ ซึ่งถือเป็นช่องทางหลักในการฟอกเงินของเหล่า Hacker เลยก็ว่าได้…
View Post

เริ่มพัฒนา!!! พบ Malware-as-a-Service มีการพัฒนามากขึ้น

ก่อนหน้านี้เราเคยพูดถึง Ransomware-as-a-Service (RaaS) หรือ Malware-as-a-Service(Maas) กันไปแล้ว ซึ่งเมื่อการมาของ WannaCry หรือ NotPetya มาถึง แน่นอนว่าในฐานะผู้ขายก็จำเป็นต้องพัฒนาให้ทันโลกเช่นกัน จึงเป็นที่มาของ Malware ที่เริ่มทำการเข้ารหัสและตรวจจับด้วย Antivirus ได้ยากมากขึ้น แม้ว่า Malware-as-a-Service นั้นจะยังไม่สามารถไปถึงขั้น WannaCry หรือ NotPetya ได้ แต่ก็มีการพัฒนาอย่างต่อเนื่องเช่นกัน โดยล่าสุด Proofpoint และ Netskope Threat…
View Post

Master key ของ Petya รุ่นแรกหลุดมาแล้ว

Master Key ของ Petya Ransomware (ตัวปี 2016 ไม่ใช่ตัวที่มี 2017) ได้มีการปล่อยมาจากผู้สร้างเอง ทำให้เหล่าผู้ที่ติด Petya รุ่นแรก (2016) สามารถถอดรหัสไฟล์ได้แบบฟรีๆแล้วครับ Petya Ransomware มี 3 สายพันธุ์ด้วยกัน โดยการติดไปยังเครื่องเป้าหมายทั่วโลก ล่าสุดผู้เขียนมันที่ใช้ชื่อว่า Janus ได้ปล่อย Master Key สำหรับการถอดรหัสไฟล์ที่ถูกเข้ารหัสโดย Petya ตัวเก่า เมื่อวันพุธ…
View Post

Windows 10 ปรับตัวเพื่อเพิ่มการป้องกันจาก Ransomware

จากการกระจายตัวและการเติบโตของ Ransomware ที่เปลี่ยนจากพฤติกรรมที่ติดแล้วชิ่ง กลายเป็นติดแล้วแพร่กระจายของ WannaCry และ Petya ทำให้ทาง Microsoft เองจึงต้องปรับมาตรการป้องกัน ransomware เพิ่มขึ้นใน Windows 10   Microsoft มีการปรับเพิ่ม Security Countermeasure ในระดับ Enterprise มากมาย Device Guard สำหรับการบังคับในการตรวจสอบความถูกต้องด้วย policy ต่างๆจนนำไปสู่การอนุญาตให้รันเฉพาะ trusted signed apps เท่านั้น.…
View Post

Kaspersky สร้างเครื่องมือถอดรหัสไฟล์ที่ถูกเข้ารหัสโดย Jaff Ransomware ได้แล้ว

Kaspersky ยังคงทำ Project nomoreransom (https://www.nomoreransom.org) อย่างต่อเนื่อง ล่าสุดได้มีการพยายามหยุดยั้ง Ransomware เพิ่มเติมโดยการออกเครื่องมือถอดรหัส Jaff Ransomware ให้ใช้กันแล้วครับ เหยื่อที่ติด Jaff Ransomware จะมีอาการคือไฟล์ถูกเข้ารหัสแล้วถูกเปลี่ยนนามสกุลไฟล์ (extension) เป็น .jaff, .wlu, .sVn) โดยเราสามารถ download ตัวถอดรหัสได้จาก http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip เมื่อทำการ download มาแล้วให้ทำการแตก zip ไฟล์ จากนั้นให้ทำการ…
View Post