แรนซัมแวร์เพื่อน

การปกป้องอุปกรณ์จากมัลแวร์มีความสำคัญมากกว่าที่เคย เนื่องจากภัยคุกคามทางไซเบอร์สมัยใหม่สามารถเข้ารหัสข้อมูลที่มีค่า ขัดขวางการดำเนินงานทางธุรกิจ และเปิดเผยข้อมูลที่ละเอียดอ่อนได้ โดยเฉพาะอย่างยิ่ง แรนซัมแวร์ยังคงเป็นมัลแวร์ที่สร้างความเสียหายมากที่สุดรูปแบบหนึ่ง เพราะมันผสมผสานการเข้ารหัสข้อมูลเข้ากับกลยุทธ์การขู่กรรโชกที่ออกแบบมาเพื่อกดดันเหยื่อให้จ่ายเงินจำนวนมาก ตัวอย่างที่โดดเด่นคือ Friends Ransomware ซึ่งเป็นภัยคุกคามที่ซับซ้อนที่มุ่งเป้าไปที่ไฟล์หลายประเภท ในขณะเดียวกันก็ใช้การขโมยข้อมูลเพื่อเพิ่มโอกาสในการจ่ายเงิน

มัลแวร์เรียกค่าไถ่ Friends: ภัยคุกคามทางไซเบอร์แบบเรียกค่าไถ่สองทาง

Friends Ransomware เป็นโปรแกรมมัลแวร์ที่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ ซึ่งจะเข้ารหัสไฟล์ในระบบที่ถูกโจมตีและเรียกค่าไถ่เพื่อแลกกับรหัสถอดรหัส นอกเหนือจากการเข้ารหัสไฟล์แล้ว ผู้โจมตีอ้างว่าสามารถขโมยข้อมูลลับจากเหยื่อก่อนที่จะล็อกข้อมูลของพวกเขา กลยุทธ์นี้ซึ่งโดยทั่วไปเรียกว่าการขู่กรรโชกสองชั้น ทำให้ผู้โจมตีสามารถข่มขู่ได้ทั้งการสูญเสียข้อมูลและการเปิดเผยข้อมูลสำคัญต่อสาธารณะ

เมื่อโปรแกรม Friends Ransomware ทำงานบนระบบแล้ว มันจะสแกนหาไฟล์หลายประเภทและเข้ารหัสไฟล์เหล่านั้น ในระหว่างกระบวนการนี้ มันจะเพิ่มนามสกุล '.friends124' ต่อท้ายไฟล์ที่ได้รับผลกระทบ ตัวอย่างเช่น ไฟล์ชื่อ '1.png' จะถูกแปลงเป็น '1.png.friends124' ในขณะที่ '2.pdf' จะกลายเป็น '2.pdf.friends124' นามสกุลนี้เป็นตัวบ่งชี้ที่ชัดเจนว่าไฟล์เหล่านั้นถูกประมวลผลโดยมัลแวร์แล้ว และไม่สามารถเข้าถึงได้ด้วยวิธีการปกติอีกต่อไป

กระบวนการเข้ารหัสและการเรียกค่าไถ่

หลังจากเสร็จสิ้นกระบวนการเข้ารหัสแล้ว มัลแวร์เรียกค่าไถ่จะสร้างไฟล์ชื่อ 'RANSOM_NOTE.html' ซึ่งมีคำแนะนำสำหรับเหยื่อ ข้อความดังกล่าวแจ้งให้ผู้ใช้ทราบว่าไฟล์ของพวกเขาถูกเข้ารหัสแล้ว และให้ข้อมูลการติดต่อเพื่อเริ่มต้นการเจรจาเรียกค่าไถ่ เหยื่อได้รับคำแนะนำให้ติดต่อกับผู้โจมตีผ่านที่อยู่อีเมล 'recovery1@salamati.vip' และ 'recovery1@amniyat.xyz' นอกจากนี้ยังมีการกล่าวถึงวิธีการติดต่อทางเลือกผ่านเครือข่าย Tor ด้วย

ข้อความเรียกค่าไถ่ระบุว่า ข้อมูลที่เป็นความลับและข้อมูลส่วนบุคคลถูกรวบรวมและจัดเก็บไว้ในเซิร์ฟเวอร์ส่วนตัวที่ผู้โจมตีควบคุมอยู่ ตามข้อความดังกล่าว ข้อมูลนี้จะถูกเผยแพร่หรือขายให้กับบุคคลที่สามหากเหยื่อปฏิเสธที่จะจ่ายค่าไถ่ เพื่อให้เหยื่อเชื่อว่าการกู้คืนไฟล์เป็นไปได้ อาชญากรเสนอที่จะถอดรหัสไฟล์ที่ไม่สำคัญสองหรือสามไฟล์ให้ฟรี ข้อความยังเตือนอีกว่าจำนวนเงินค่าไถ่จะเพิ่มขึ้นหากไม่ติดต่อภายใน 72 ชั่วโมง และแนะนำให้เหยื่อสร้างบัญชี ProtonMail ก่อนที่จะติดต่อ

เหตุใดการจ่ายค่าไถ่จึงเป็นการตัดสินใจที่มีความเสี่ยง

เหยื่อมักพิจารณาจ่ายค่าไถ่เมื่อไฟล์สำคัญไม่สามารถเข้าถึงได้ อย่างไรก็ตาม การจ่ายเงินให้แฮกเกอร์ไม่ได้เป็นการรับประกันว่าจะกู้คืนข้อมูลได้สำเร็จเสมอไป ปฏิบัติการเรียกค่าไถ่จำนวนมากได้เรียกเก็บเงินไปโดยไม่ให้เครื่องมือถอดรหัสที่ใช้งานได้ หรือให้โปรแกรมที่ไม่สามารถกู้คืนข้อมูลที่ได้รับผลกระทบทั้งหมดได้

แม้ว่าผู้โจมตีจะจัดหาเครื่องมือถอดรหัสให้ แต่การจ่ายเงินก็เป็นการสนับสนุนกิจกรรมทางอาชญากรรมและกระตุ้นให้เกิดการโจมตีบุคคลและองค์กรอื่นๆ ในอนาคต ด้วยเหตุผลเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จึงไม่แนะนำให้จ่ายค่าไถ่ ในกรณีส่วนใหญ่ ไฟล์ที่ถูกเข้ารหัสจะไม่สามารถกู้คืนได้หากไม่มีกุญแจถอดรหัสของผู้โจมตี เว้นแต่ว่ามัลแวร์เรียกค่าไถ่นั้นจะมีข้อบกพร่องในการใช้งานที่สำคัญซึ่งนักวิจัยสามารถใช้ประโยชน์เพื่อพัฒนาเครื่องมือถอดรหัสได้ฟรี

การฟื้นฟูและการตอบสนองต่อเหตุการณ์

สิ่งสำคัญอันดับแรกหลังจากติดมัลแวร์คือการกำจัด Friends Ransomware ออกจากระบบที่ได้รับผลกระทบ การกำจัดมัลแวร์จะช่วยป้องกันไม่ให้ไฟล์เพิ่มเติมถูกเข้ารหัส และลดความเสี่ยงจากกิจกรรมที่เป็นอันตรายเพิ่มเติม อย่างไรก็ตาม การกำจัดมัลแวร์เพียงอย่างเดียวไม่สามารถกู้คืนข้อมูลที่ถูกเข้ารหัสไปแล้วได้

วิธีการกู้คืนที่น่าเชื่อถือที่สุดคือการกู้คืนไฟล์จากข้อมูลสำรองที่สร้างไว้ก่อนที่ไวรัสจะติด ข้อมูลสำรองควรจัดเก็บแยกต่างหากจากระบบหลัก เพื่อให้ข้อมูลสำรองไม่ถูกแตะต้องระหว่างการโจมตี หากข้อมูลสำรองเชื่อมต่อกับเครือข่ายเดียวกันหรือสามารถเข้าถึงได้ตลอดเวลา มัลแวร์เรียกค่าไถ่อาจพยายามเข้ารหัสข้อมูลสำรองเหล่านั้นด้วย ทำให้เหยื่อไม่มีทางกู้คืนได้

มัลแวร์เรียกค่าไถ่ Friends แพร่กระจายได้อย่างไร

เช่นเดียวกับตระกูลแรนซัมแวร์อื่นๆ Friends Ransomware อาศัยช่องทางการแพร่กระจายหลายช่องทางเพื่อเข้าถึงเหยื่อเป้าหมาย อีเมลฟิชชิ่งยังคงเป็นหนึ่งในวิธีการส่งที่ได้ผลมากที่สุด ข้อความเหล่านี้มักมีไฟล์แนบที่เป็นอันตรายหรือลิงก์ที่จะเริ่มการดาวน์โหลดมัลแวร์เมื่อเปิด ผู้โจมตีมักใช้ไฟล์เอกสารที่มีมาโครที่เป็นอันตราย ไฟล์บีบอัด ไฟล์ปฏิบัติการ ไฟล์ PDF และเพย์โหลดที่ใช้ JavaScript

ช่องทางการแพร่กระจายเพิ่มเติม ได้แก่ โทรจันที่ติดตั้งแรนซัมแวร์โดยไม่ให้ใครเห็น กลไกการอัปเดตซอฟต์แวร์ปลอม โฆษณาที่เป็นอันตราย เว็บไซต์ที่ถูกบุกรุก และไฟล์ดาวน์โหลดจากแหล่งที่ไม่น่าเชื่อถือ พอร์ทัลซอฟต์แวร์ฟรี เครือข่ายการแชร์ไฟล์แบบ Peer-to-Peer และแพลตฟอร์มการแจกจ่ายที่ไม่เป็นทางการอื่นๆ มักมีไฟล์ที่เป็นอันตรายซึ่งปลอมตัวเป็นซอฟต์แวร์ที่ถูกต้อง ไดรฟ์ USB ที่ติดไวรัสยังสามารถช่วยให้แรนซัมแวร์แพร่กระจายระหว่างระบบได้อีกด้วย

สถานการณ์การติดเชื้อที่พบได้บ่อยเป็นพิเศษคือการใช้โปรแกรมแคร็กและเครื่องมือเปิดใช้งานที่ละเมิดลิขสิทธิ์ อาชญากรไซเบอร์มักปลอมแปลงมัลแวร์ให้เป็นโปรแกรมทางเลือกฟรีแทนซอฟต์แวร์ที่ต้องเสียเงิน โดยใช้ประโยชน์จากผู้ใช้ที่เต็มใจที่จะหลีกเลี่ยงช่องทางการจัดจำหน่ายอย่างเป็นทางการ เมื่อโปรแกรมที่ดูเหมือนไม่มีอันตรายเหล่านี้ถูกเรียกใช้งาน มันสามารถติดตั้งแรนซัมแวร์ได้โดยไม่มีการเตือนล่วงหน้า

เสริมสร้างการป้องกันมัลแวร์เรียกค่าไถ่

การป้องกันแรนซัมแวร์อย่างมีประสิทธิภาพต้องใช้กลยุทธ์ด้านความปลอดภัยแบบหลายชั้นที่ผสมผสานมาตรการป้องกันทางเทคนิคเข้ากับพฤติกรรมการใช้งานที่ปลอดภัย องค์กรและบุคคลควรใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียง ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการและแอปพลิเคชันได้รับการอัปเดตเป็นประจำ และปิดใช้งานคุณสมบัติที่ไม่จำเป็นซึ่งอาจถูกใช้ในทางที่ผิดโดยผู้โจมตี ควรระมัดระวังเป็นพิเศษกับไฟล์แนบและลิงก์ในอีเมลจากแหล่งที่ไม่รู้จักหรือไม่คาดคิด แม้ว่าจะดูเหมือนถูกต้องตามกฎหมายก็ตาม

การสำรองข้อมูลเป็นประจำถือเป็นมาตรการป้องกันที่สำคัญที่สุดอย่างหนึ่ง การเก็บสำเนาสำรองหลายชุดไว้ในสถานที่ต่างๆ เช่น ฮาร์ดไดรฟ์ภายนอกแบบออฟไลน์ และโซลูชันการจัดเก็บข้อมูลระยะไกลที่ปลอดภัย จะช่วยเพิ่มโอกาสในการกู้คืนข้อมูลหลังจากการโจมตีได้อย่างมาก นอกจากนี้ ควรทำการทดสอบการสำรองข้อมูลเป็นระยะๆ เพื่อยืนยันว่าสามารถกู้คืนข้อมูลได้สำเร็จเมื่อจำเป็น

แนวทางปฏิบัติด้านความปลอดภัยที่สำคัญ ได้แก่:

• หมั่นอัปเดตระบบปฏิบัติการ เบราว์เซอร์ และแอปพลิเคชันให้ทันสมัยอยู่เสมอด้วยแพตช์ความปลอดภัยล่าสุด
• ใช้ซอฟต์แวร์ป้องกันปลายทางที่มีชื่อเสียงและมีฟังก์ชันตรวจจับภัยคุกคามแบบเรียลไทม์
• ควรทำการสำรองข้อมูลหลายชุด รวมถึงอย่างน้อยหนึ่งชุดที่เป็นสำเนาออฟไลน์หรือสำเนาที่แยกต่างหาก
• หลีกเลี่ยงการเปิดไฟล์แนบในอีเมลที่ไม่ได้รับเชิญ หรือคลิกลิงก์ที่น่าสงสัย
• ดาวน์โหลดซอฟต์แวร์จากแหล่งที่มาที่เป็นทางการและน่าเชื่อถือเท่านั้น
• ห้ามใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ โปรแกรมแคร็ก หรือเครื่องมือเปิดใช้งานที่ไม่ได้รับอนุญาต
• ควรจำกัดสิทธิ์การดูแลระบบทุกครั้งที่เป็นไปได้
• ให้ความรู้แก่ผู้ใช้เกี่ยวกับกลยุทธ์การหลอกลวงแบบฟิชชิ่งและการโจมตีโดยใช้กลอุบายทางสังคม

การประเมินขั้นสุดท้าย

มัลแวร์เรียกค่าไถ่ Friends Ransomware เป็นภัยคุกคามทางไซเบอร์ที่ร้ายแรง ซึ่งผสมผสานการเข้ารหัสไฟล์ การขโมยข้อมูล และการเรียกค่าไถ่ โดยการเพิ่มนามสกุล '.friends124' ต่อท้ายไฟล์ สร้างข้อความเรียกค่าไถ่ชื่อ 'RANSOM_NOTE.html' และขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมย ผู้โจมตีพยายามกดดันเหยื่อให้มากที่สุด แม้ว่าตัวเลือกในการกู้คืนมักมีจำกัดหากไม่มีการสำรองข้อมูลที่เชื่อถือได้ แต่การปฏิบัติตามมาตรการรักษาความปลอดภัยทางไซเบอร์ที่ดี การสำรองข้อมูลเป็นประจำ การอัปเดตซอฟต์แวร์อย่างทันท่วงที และพฤติกรรมออนไลน์ที่ระมัดระวัง สามารถลดโอกาสการโจมตีของมัลแวร์เรียกค่าไถ่ได้อย่างมาก และลดผลกระทบหากเกิดการติดเชื้อ