Posts by tag
ransomware
เราต่างทราบกันดีว่าช่วงปี 2015-2018 เป็นปีอันรุ่งเรืองของ Ransomware มีบริษัทจำนวนมากที่ตกเป็นเหยื่อและจำใจต้องจ่ายค่าไถ่แสนแพง (ระดับแสนบาทอัพ) ทีนี้พอเป็นแบบนั้นก็มีบริษัทมากมายที่สร้าง Anti Ransomware solution ออกมามากมาย ทีนี้เราจะทราบได้อย่างไรล่ะว่า Anti Ransomware solution นั้นเวิร์คจริง หรือหาก SOC (Security Operation Center) ต้องการจะจำลองเหตุการณ์การถูกโดนโจมตี Ransomware จะทำยังไง วันนี้ก็เลยเอา program จำลอง Ransomware เหล่านั้นมาฝากกันครับ 1. RanSim…
เหล่าเกมเมอร์คงไม่มีใครที่ไม่รู้จักเกมส์ที่ชื่อว่า PUBG หรือชื่อเต็มๆคือ Player Unknown’s Battlegrounds เป็นเกมส์ online ยอดฮิต ณ ตอนนี้ ล่าสุดมี Ransomware ออกมาโดยจะถอดรหัสไฟล์ให้หากคุณเล่นเกมส์ PUBG MalwareHunterTeam พบว่ามี Ransomware ตัวหนึ่งที่ชื่อว่า PUBG Ransomware จะทำการเข้ารหัสไฟล์และ folder ภายในเครื่องของเหยื่อ และเติมนามสกุล (extension) ว่า .PUBG โดยโปรแกรมดังกล่าวคาดว่าเป็นโปรแกรมที่สร้างขึ้นมาเล่นๆเฉยๆ ซึ่งหากทำการเข้ารหัสไปแล้ว…
Bitcoin ราคาผันผวนเกินไปทำให้แม้แต่ผู้เขียน Ransomware เริ่มกลับไปใช้ค่าเงินปกติแทน ในช่วงใกล้ๆสิ้นปี 2017 ทาง Proofpoint ได้กล่าวว่าพบว่าการจ่าย ransomware เริ่มมีการจ่ายเงินในสกุล bitcoin น้อยลงไปอยู่ที่ 73% และเริ่มมีการร้องขอเหยื่อที่ติด ransomware ให้จ่ายเงินเป็น US ไม่ก็สกุลเงินของประเทศนั้นๆแทน Ransomware Developer ก็ไม่ต่างกับเหล่าคนซื้อขาย Bitcoin ที่เริ่มระมัดระวังในราคาของ Bitcoin มากขึ้น เหตุเกิดจากความที่ค่าเงินของ Bitcoin ในช่วงนี้นั้นขึ้นลงอย่างกับรถไฟเหาะทำให้ตัว Ransomware…
หลังจาก Sambacry ซึ่งเป็นช่องโหว่ใน SMBv1 บน Samba File Sharing Service ถูกพบเมื่อช่วงปีที่ผ่านมา ล่าสุดมีการพบ ransomware ที่มีการแพร่กระจายตัวเองผ่านการใช้ช่องโหว่ดังกล่าวเพิ่มเติมอีก โดยใช้ชื่อว่า StorageCrypt มีการพบ StorageCrypt ได้ทำการไล่เรียกค่าไถ่ใน NAS Device ต่างๆเช่น Western Digital My Cloud เป็นต้น. เหยื่อที่ถูกเข้ารหัสไฟล์เหล่านั้นกล่าวว่าภายใน NAS ที่ถูกเข้ารหัสนั้นมีมี note ทิ้งค้างไว้ซึ่งเรียกค่าไถ่อยู่ที่ประมาณ…
หลายครั้งที่ผมได้รับการติดต่อให้ทำการดูให้หน่อยว่า Ransomware ตัวนั้นตัวนี้ มีทางแก้แล้วหรือยัง ซึ่งบ่อยครั้งที่ผมก็จะบอกว่าให้ไปเช็คที่เว็บไซด์ ID Ransomware ดูครับ ซึ่งหลายๆคนอาจจะไม่เคยได้ยิน รวมถึงอาจจะไม่รู้ว่ามีเว็บไซด์แบบนี้อยู่ ID Ransomware เป็นเว็บไซด์ที่เก็บรวบรวมลักษณะของ Ransomware ไว้มากมาย (ล่าสุดมีประมาณ 550 รูปแบบ) ซึ่งหากเราติด Ransomware แล้วตรวจสอบว่าเครื่องเรานั้นติด Ransomware ตัวไหน มีทางแก้แล้วหรือยัง สามารถทำได้ง่ายๆโดยเข้าไปที่ https://id-ransomware.malwarehunterteam.com/ จากนั้นทำการ upload file ที่ถูกเข้ารหัส และไฟล์เรียกค่าไถ่…
ตำรวจ Greek ได้นำกำลังเข้าจับนาย Alexander Vinnik อายุ 38 ปี ชาวรัสเซีย เจ้าของเว็บไซด์สำหรับการแลกเงิน Bitcoin ที่ชื่อว่า BTC-e จากการเข้าจับกุมดังกล่าว ทางกระทรวงยุติธรรมของ US ได้แจ้งข้อหาจับนาย Vinnik ถึง 21 กระทงเกี่ยวกับการฟอกเงินและการกระทำเกี่ยวกับแลกเปลี่ยนเงินใดๆโดยไม่ได้รับอนุญาต จากที่มีการให้ข้อมูลจำนวนมากว่า BTC-e ได้ถูกใช้เป็นเครื่องมือของเหล่าผู้เขียน Ransomware สำหรับการนำเงิน Bitcoin แปลงไปเป็นเงินสกุลต่างๆ ซึ่งถือเป็นช่องทางหลักในการฟอกเงินของเหล่า Hacker เลยก็ว่าได้…
ก่อนหน้านี้เราเคยพูดถึง Ransomware-as-a-Service (RaaS) หรือ Malware-as-a-Service(Maas) กันไปแล้ว ซึ่งเมื่อการมาของ WannaCry หรือ NotPetya มาถึง แน่นอนว่าในฐานะผู้ขายก็จำเป็นต้องพัฒนาให้ทันโลกเช่นกัน จึงเป็นที่มาของ Malware ที่เริ่มทำการเข้ารหัสและตรวจจับด้วย Antivirus ได้ยากมากขึ้น แม้ว่า Malware-as-a-Service นั้นจะยังไม่สามารถไปถึงขั้น WannaCry หรือ NotPetya ได้ แต่ก็มีการพัฒนาอย่างต่อเนื่องเช่นกัน โดยล่าสุด Proofpoint และ Netskope Threat…
Master Key ของ Petya Ransomware (ตัวปี 2016 ไม่ใช่ตัวที่มี 2017) ได้มีการปล่อยมาจากผู้สร้างเอง ทำให้เหล่าผู้ที่ติด Petya รุ่นแรก (2016) สามารถถอดรหัสไฟล์ได้แบบฟรีๆแล้วครับ Petya Ransomware มี 3 สายพันธุ์ด้วยกัน โดยการติดไปยังเครื่องเป้าหมายทั่วโลก ล่าสุดผู้เขียนมันที่ใช้ชื่อว่า Janus ได้ปล่อย Master Key สำหรับการถอดรหัสไฟล์ที่ถูกเข้ารหัสโดย Petya ตัวเก่า เมื่อวันพุธ…
จากการกระจายตัวและการเติบโตของ Ransomware ที่เปลี่ยนจากพฤติกรรมที่ติดแล้วชิ่ง กลายเป็นติดแล้วแพร่กระจายของ WannaCry และ Petya ทำให้ทาง Microsoft เองจึงต้องปรับมาตรการป้องกัน ransomware เพิ่มขึ้นใน Windows 10 Microsoft มีการปรับเพิ่ม Security Countermeasure ในระดับ Enterprise มากมาย Device Guard สำหรับการบังคับในการตรวจสอบความถูกต้องด้วย policy ต่างๆจนนำไปสู่การอนุญาตให้รันเฉพาะ trusted signed apps เท่านั้น.…
Kaspersky ยังคงทำ Project nomoreransom (https://www.nomoreransom.org) อย่างต่อเนื่อง ล่าสุดได้มีการพยายามหยุดยั้ง Ransomware เพิ่มเติมโดยการออกเครื่องมือถอดรหัส Jaff Ransomware ให้ใช้กันแล้วครับ เหยื่อที่ติด Jaff Ransomware จะมีอาการคือไฟล์ถูกเข้ารหัสแล้วถูกเปลี่ยนนามสกุลไฟล์ (extension) เป็น .jaff, .wlu, .sVn) โดยเราสามารถ download ตัวถอดรหัสได้จาก http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip เมื่อทำการ download มาแล้วให้ทำการแตก zip ไฟล์ จากนั้นให้ทำการ…
Recent Comments