V (Dharma) Ransomware
ภัยคุกคามทางไซเบอร์มีความซับซ้อนมากขึ้นเรื่อยๆ ทำให้ผู้ใช้จำเป็นต้องใช้มาตรการรักษาความปลอดภัยที่เข้มแข็งเพื่อปกป้องอุปกรณ์ของตน แรนซัมแวร์สายพันธุ์หนึ่งที่ก้าวร้าวเป็นพิเศษคือ V (Dharma) Ransomware ซึ่งเข้ารหัสไฟล์และเรียกเก็บเงินสำหรับการถอดรหัส การทำความเข้าใจวิธีการทำงานของภัยคุกคามนี้และการนำแนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่งมาใช้ถือเป็นสิ่งสำคัญในการรักษาความปลอดภัย
สารบัญ
Ransomware V (Dharma) เข้ารหัสไฟล์อย่างไร
แรนซัมแวร์ V (Dharma) เป็นแรนซัมแวร์ในตระกูล Dharma ซึ่งเป็นกลุ่มแรนซัมแวร์ที่รู้จักกันดีที่โจมตีระบบ Windows เป็นหลัก เมื่อแรนซัมแวร์นี้แทรกซึมเข้าไปในอุปกรณ์แล้ว แรนซัมแวร์จะเข้ารหัสไฟล์และแก้ไขชื่อโดยเพิ่ม ID ของเหยื่อที่ไม่ซ้ำกัน ที่อยู่อีเมลที่ผู้โจมตีควบคุม และนามสกุล ".V" ตัวอย่างเช่น ไฟล์ที่มีชื่อว่า "1.png" จะกลายเป็น "1.png.id-9ECFA84E.[vijurytos@tuta.io].V" ในขณะที่ "2.pdf" จะถูกเปลี่ยนชื่อเป็น "2.pdf.id-9ECFA84E.[vijurytos@tuta.io].V"
เมื่อการเข้ารหัสเสร็จสิ้น V ransomware จะแสดงข้อความเรียกค่าไถ่แบบป๊อปอัปและสร้างไฟล์ข้อความชื่อ 'info.txt' ในไดเร็กทอรีที่ได้รับผลกระทบ ข้อความเรียกค่าไถ่จะขอให้เหยื่อติดต่อผู้โจมตีทางอีเมล รวมถึง ID เฉพาะของพวกเขา หากไม่ได้รับการตอบกลับภายใน 12 ชั่วโมง ระบบจะให้ที่อยู่อีเมลสำรองแก่เหยื่อ
การเรียกร้องค่าไถ่และกลยุทธ์
บันทึกค่าไถ่เตือนเหยื่อว่าไฟล์ของพวกเขาถูกเข้ารหัสแล้ว และสามารถกู้คืนได้โดยการซื้อเครื่องมือถอดรหัสจากผู้โจมตีเท่านั้น เพื่อโน้มน้าวเหยื่อว่าสามารถถอดรหัสได้ ผู้โจมตีจึงเสนอที่จะถอดรหัสไฟล์สูงสุด 3 ไฟล์ (ขนาดไม่เกิน 3MB) ฟรี โดยไฟล์ดังกล่าวจะต้องไม่มีข้อมูลที่มีค่า
นอกจากนี้ บันทึกดังกล่าวยังเตือนว่าไม่ควรให้เหยื่อเปลี่ยนชื่อไฟล์ที่เข้ารหัสหรือพยายามใช้ซอฟต์แวร์ถอดรหัสของบุคคลที่สาม โดยเตือนว่าการกระทำดังกล่าวอาจส่งผลให้สูญเสียข้อมูลถาวรหรือเรียกค่าไถ่เพิ่มขึ้น มีลิงก์สำหรับซื้อ Bitcoin รวมอยู่ด้วย โดยเน้นย้ำว่าต้องชำระค่าไถ่เป็นสกุลเงินดิจิทัล
กลวิธีอันซ่อนเร้นและกลไกการคงอยู่
Ransomware V มีลักษณะหลายอย่างที่เหมือนกับ Dharma สายพันธุ์อื่น ทำให้สามารถล็อกเหยื่อออกจากข้อมูลได้อย่างมีประสิทธิภาพ นอกจากการเข้ารหัสแล้ว Ransomware ยังดำเนินการหลายอย่างเพื่อเสริมความแข็งแกร่งให้กับการควบคุมระบบที่ติดเชื้อ:
- การปิดใช้งานคุณสมบัติความปลอดภัย: แรนซัมแวร์จะปิดไฟร์วอลล์ของระบบเพื่อหลีกเลี่ยงการตรวจจับ
- การลบสำเนาสำรอง: การลบ Volume Shadow Copies (ไฟล์สำรองของ Windows) ทำให้การกู้คืนข้อมูลโดยไม่มีคีย์ถอดรหัสเป็นเรื่องยาก
- การรับประกันการคงอยู่: V คัดลอกตัวเองไปยังไดเร็กทอรี '%LOCALAPPDATA%' และแก้ไขคีย์ Run ของรีจิสทรี Windows เพื่อเปิดใช้งานทุกครั้งที่ระบบเริ่มทำงาน
- การกำหนดเป้าหมายแบบเลือก: แรนซัมแวร์อาจหลีกเลี่ยงการเข้ารหัสไฟล์ในตำแหน่งเฉพาะ ซึ่งมีแนวโน้มที่จะช่วยให้ระบบทำงานต่อไปหรือหลีกเลี่ยงการตรวจจับ
Ransomware V (Dharma) แพร่กระจายอย่างไร
ผู้โจมตีใช้หลากหลายวิธีในการแพร่กระจาย V ransomware โดยกำหนดเป้าหมายผู้ใช้ที่เปิดเผยระบบของตนต่อความเสี่ยงด้านความปลอดภัยโดยไม่รู้ตัว ช่องทางการติดเชื้อที่พบบ่อยที่สุด ได้แก่:
- บริการ Remote Desktop Protocol (RDP) ที่ถูกบุกรุก: ผู้ก่อภัยคุกคามใช้ประโยชน์จากข้อมูลรับรอง RDP ที่อ่อนแอโดยการใช้กำลังบรูทฟอร์ซหรือการโจมตีแบบพจนานุกรมเพื่อเข้าถึงโดยไม่ได้รับอนุญาต
- ไฟล์แนบและลิงก์อีเมลหลอกลวง: ผู้ใช้จะได้รับอีเมลฟิชชิ่งพร้อมไฟล์แนบที่ติดไวรัสหรือลิงก์ที่นำไปสู่เว็บไซต์ที่ใช้แรนซัมแวร์
- การใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์: ผู้ก่ออาชญากรรมทางไซเบอร์ใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยที่ไม่ได้รับการแก้ไขเพื่อติดตั้งแรนซัมแวร์บนระบบที่มีช่องโหว่
- ซอฟต์แวร์ละเมิดลิขสิทธิ์และโปรแกรมแคร็ก: การดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่เป็นทางการจะเพิ่มความเสี่ยงในการพบกับไฟล์ปฏิบัติการที่มีแรนซัมแวร์
- โฆษณาปลอมและเว็บไซต์ที่ไม่ปลอดภัย: ผู้ใช้จะถูกหลอกให้ดาวน์โหลดแรนซัมแวร์ผ่านทางโฆษณาที่หลอกลวงหรือเว็บไซต์ที่ถูกบุกรุก
- ไดรฟ์ USB ที่ติดไวรัส: ผู้ก่ออาชญากรรมทางไซเบอร์บางครั้งใช้ไดรฟ์ภายนอกที่ติดไวรัสเพื่อแพร่กระจายแรนซัมแวร์เมื่อเสียบเข้ากับอุปกรณ์เป้าหมาย
แนวทางปฏิบัติที่ดีที่สุดสำหรับการเสริมสร้างความปลอดภัยของคุณ
การป้องกันการติดไวรัสแรนซัมแวร์ต้องใช้แนวทางเชิงรุกในการรักษาความปลอดภัยทางไซเบอร์ ต่อไปนี้คือมาตรการที่มีประสิทธิภาพที่สุดที่ผู้ใช้ควรดำเนินการเพื่อรักษาความปลอดภัยอุปกรณ์ของตน:
- ใช้รหัสผ่านที่ยากต่อการถอดรหัสและเปิดใช้การตรวจสอบปัจจัยหลายประการ (MFA) : ปกป้อง RDP และบัญชีออนไลน์ด้วยรหัสผ่านที่ซับซ้อนและไม่ซ้ำกัน และเปิดใช้ MFA เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- อัปเดตซอฟต์แวร์และระบบปฏิบัติการเป็นประจำ : ติดตั้งการอัพเดทด้านความปลอดภัยเป็นประจำเพื่อแก้ไขช่องโหว่ที่แรนซัมแวร์อาจใช้ประโยชน์ได้
- ปิดใช้งานบริการ RDP ที่ไม่ได้ใช้งาน : หากไม่จำเป็นต้องเข้าถึงเดสก์ท็อประยะไกล ให้ปิดใช้งาน RDP เพื่อกำจัดเวกเตอร์โจมตีทั่วไป
- สำรองข้อมูลเป็นประจำ : จัดเก็บข้อมูลสำรองบนอุปกรณ์ภายนอกหรือบริการคลาวด์ที่ไม่ได้เชื่อมต่อโดยตรงกับระบบส่วนกลาง เพื่อป้องกันไม่ให้แรนซัมแวร์เข้ารหัสข้อมูลเหล่านั้น
- ระมัดระวัง การแนบไฟล์และลิงก์ในอีเมล : หลีกเลี่ยงการเข้าถึงไฟล์แนบในอีเมลที่ไม่คาดคิดหรือคลิกลิงก์ที่น่าสงสัย แม้ว่าจะดูเหมือนมาจากแหล่งที่เชื่อถือได้ก็ตาม
- ดาวน์โหลดซอฟต์แวร์จากแหล่งที่มาอย่างเป็นทางการเท่านั้น : หลีกเลี่ยงโปรแกรมละเมิดลิขสิทธิ์และโปรแกรมดาวน์โหลดของบุคคลที่สาม เนื่องจากมักมีโค้ดที่เป็นอันตราย
- ใช้ซอฟต์แวร์ความปลอดภัยที่มีการป้องกัน Ransomware : แม้ว่าไม่มีเครื่องมือใดที่รับประกันการป้องกันได้สมบูรณ์แบบ แต่โซลูชันความปลอดภัยที่มีคุณลักษณะการตรวจจับ Ransomware สามารถช่วยป้องกันการติดเชื้อได้
- เปิดใช้งานการแบ่งส่วนเครือข่าย : หากใช้หลายอุปกรณ์ ให้แยกระบบที่สำคัญออกจากเครื่องที่ใช้งานทั่วไปเพื่อจำกัดความสามารถในการแพร่กระจายของแรนซัมแวร์ไปทั่วเครือข่าย
ความคิดสุดท้าย
Ransomware V (Dharma) เป็นภัยคุกคามที่ร้ายแรงมาก โดยจะเข้ารหัสไฟล์และเรียกค่าไถ่จากเหยื่อ เนื่องจากผู้โจมตีจงใจลบสำเนาสำรองและปิดใช้งานคุณสมบัติความปลอดภัย การเรียกคืนข้อมูลที่เข้ารหัสโดยไม่มีคีย์การถอดรหัสจึงเป็นเรื่องยากมาก มาตรการที่ดีที่สุดในการหลีกเลี่ยงการตกเป็นเหยื่อของ Ransomware คือ ปฏิบัติตามนิสัยรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวด สำรองข้อมูลไฟล์สำคัญ และคอยระวังเมื่อท่องเว็บหรือเปิดอีเมล
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ V (Dharma) Ransomware:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: vijurytos@tuta.io YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:vijurytos@cyberfear.com Free decryption as guarantee Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins Also you can find other places to buy Bitcoins and beginners guide here: hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
all your data has been locked us You want to return? write email vijurytos@tuta.io or vijurytos@cyberfear.com |
