ระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows

[paen]

 บริษัท Cisco แจ้งเตือนการพบอีเมลหลอกลวงที่มีจุดประสงค์เพื่อเผยแพร่มัลแวร์สายพันธุ์ CTB-Locker ซึ่งเป็นมัลแวร์เรียกค่าไถ่ที่จะเข้ารหัสลับไฟล์ข้อมูลในแล้วให้แจ้งให้ผู้ใช้จ่ายเงินเพื่อกู้ไฟล์กลับคืน อีเมลฉบับดังกล่าวถูกปลอมที่อยู่ว่าส่งมาจาก update @ microsoft.com เนื้อหาในอีเมลเชิญชวนให้อัปเกรดเป็น Windows 10 ฟรี โดยมีไฟล์ .zip แนบมาด้วย (Win10Installer.zip) ซึ่งหากผู้ใช้เรียกใช้งานโปรแกรมที่อยู่ในไฟล์ .zip ดังกล่าวก็จะติดมัลแวร์ CTB-Locker

ข้อแนะนำสำหรับผู้ใช้งาน ควรระวังการเปิดไฟล์แนบที่มากับอีเมล ติดตั้งแอนตี้ไวรัสและอัปเดตฐานข้อมูล รวมถึงติดตั้งแพตช์ระบบปฏิบัติการและซอฟต์แวร์ในเครื่องให้เป็นเวอร์ชันล่าสุด และหากต้องการอัปเกรดเป็น Windows 10 สามารถศีกษารายละเอียดได้จากเว็บไซต์ของ Microsoft (http://www.microsoft.com/th-th/windows/windows-10-upgrade)

[nongloma]

ไอเรียกค่าไถ่นี่น่ากลัวนักครับ

[Legolas]

เลวมากพวกนี้

[ad2002]

มิจฉาชีพ เรียกค่าไถ่พวกนี้  จะใช้จุดอ่อนของ เงินBitcoin(ที่ไม่ต้องยืนยันตัวตนอะไร ในการครอบครอง และให้จ่ายด้วยBitcoin  สกุลเงินนี้เข้าทางโจรเลยครับ)

ข้อมูลเพิ่มเติม
http://www.thaiseoboard.com/index.php/topic,367987.60.html
http://www.thaiadmin.org/board/index.php?topic=16765202.0

ผมจะบอกว่า เมื่อวันที่ 21 เวลา 05.11PM ที่ บ.ลูกค้า ผมก็โดน คัรบ เห็นน้องบอกว่า อยู่ดีดี มันก็ โผล่มา เล่นเครียดกันเฉพาะคนที่ดูแลระบบ และเจ้าของ บ. เลยทีเดียว

ผมก็เลยเครียดทั้งคืนเลย เพราะ ข้อมูล Database ข้อมูลทางบัญชี ระเบียนลูกหนี้ ข้อมูลทางบัญชี ปี55 - 58 มูลค่าหลายล้านบาทโดน .encrypted เรียบ
คืนนั้นผมก็เลยไปหาข้อมูล ตอนแรก มันบอกว่า มันเป็น Ransomware  Cryptolocker เข้ารหัส RSA-2048 ผมละเครียดเลย เพราะว่า ใช้ BTC อยู่ รู้เรืองนี้ดี ว่ามันแกะไม่ได้ 

http://pantip.com/topic/33085141 ....> อันนี้ เป็นข้อมูลที่ เอาไว้อ้างอิง อ่านแล้ว จิตตกดี .... ตอกย้ำว่า แก้ไม่ได้ 

... แต่ก็หาไปเรื่อย จนเจอว่าที่เครื่องลูกค้าติดมันไม่ใช่  Cryptolocker แต่เป็น torrentlocker ซึ่งมันเป็น fake CryptoLocker
http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information ... ที่ผมหาเจอ ว่ามันไม่ใช่ Cryptolocker 

เค้าบอกว่า มันใช้การเข้ารหัส แบบ AES แต่ก็ยังหาวีธีเข้ารหัส แก้ไม่ได้ เพราะมีการพัฒนาตลอดเวลา

มันติดแบบ เครื่อข่าย Mapdrive ด้วย ลูกค้าผมโดนไป 7 เครือง เครืองบัญชี 3 เครืองผู้ดูแลระบบ 2 เครื่อง Server 1 เครื่อง ต้นตอ อีก 1 ที่ยังหาสาเหตุจริงๆ ที่โดนไม่ได้ ไล่ History ทุกอย่าง เข้าเว็บตามที่น้องมันเข้าก็ หาสาเหตุไม่ได้ 

แต่ผมก็พอหาตัวแก้ Decrypt มาได้...http://[url]http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/[/url] แต่มันก็กู้ ได้ แค่ Database MDB เท่านั้น แถมต้องมีไฟล์ เดียวกัน ที่เหมือนกัน ก่อนที่ โดน encrypt เอามาไว้ เปรียบเทียบ มาทำการ Decrypt อีก .... 

สรุป ไฟล์อื่นๆ ตัว Decrypt มัน Decrypt ได้ แต่เปิดไม่ได้ ไม่มีประโยชน์  ลองหันไป พึ่ง Kaspersky Lab http://www.kaspersky.com/internet-security-center/threats/torrentlocker-malware โหลด  RannohDecryptor มาใช้ ไม่เห็นจะใช้ได้
ผมเลยโหลดทุกตัว ที่มันเกี่ยวกับ Ransomware  ที่ http://support.kaspersky.com/viruses/utility เพราะมีไฟล์ให้ลอง หลายแบบ ก็ไม่ได้   

สรุป... วันรุ่งขึ้น ผมโชคดี เพราะ ระบบที่ ทางบ. ผมวางไว้ Database หลัก มันมี time Backup ไว้ และ มีการ decrypt Database ได้บางส่วน ในตอนกลางคืน ทำให้ บ.ลูกค้าผม ดำเนินการต่อได้ ในวันรุ่งขึ้น ... แต่ ข้อมูล Exel ถูก .encrypted หมด ซึ่งมีค่ามาก ..  0o

เจ้าของ ซึ่งเป็นเพื่อนผม บอกว่า ยอม ... ช่างมัน แต่ผม เจ็บใจ ... เพราะ 15 ปี ที่อยู่ตรงนี้ ทำงาน IT ไม่เคยเจอ เหมือนโดนหยาม มาก... แถมไม่รู้ว่าจ่ายแล้ว จะ Decrypt ได้จริงหรือ เปล่า หรือ โดนหลอก อีก แต่ต้องเสี่ยง เพราะ ถ้ารอเวลา มัน จะเสียไม่ คุ้ม กับ ที่แลกกับเวลาหาตัวแก้

สรุปผมเป็นคนดำเนินการ จ่ายเป็น BTC ซึ่งมัน จ่ายจริง มัน สูงกว่า 11,900 บาทมาก เพราะเราต้อง ซื้อจาก ตัวแทนที่เค้ารับแลกเปลี่ยนในไทย ผมเลือกที่นี่ https://bitcoin.co.th/ เพราะคิดว่า น่าจะไม่โดนโกง และ แถมตัวเว็บมันแจ้งบอกมาด้วย ว่า ให้แลก BTC ที่นี่ ... 

ตอน 5 โมง ทางผมจ่ายครบตามที่กำหนด ก็ เลยได้ ตัว Decrypt มา ผมเลยโหลดมาเก็บหลายรอบเลย พอเอามา Decrypt เครื่องที่มีปัญหาเครืองแรก ปรากฎว่าได้ แต่ไม่หมด เพราะ มันไม่ Decrypt ผ่าน lan ด้วย .... เลยเอาไป Decrypt ที่ Server และเปิดเครืองที่มีปัญหาทั้งหมด ปรากฏว่า ได้ทั้งหมด ใช้เวลา แค่ 4 - 5 นาที เท่านั้น ไฟล์ ที่โดน 10000 กว่าไฟล์ ทั้ง 7 เครือง ได้กลับมาหมด

สรุปว่า ตอนมัน encrypt มันใช้เวลา เท่านี้ เหมือนกัน ... น่ากลัวชิบ....

สรุป เลยครับ จ่ายๆ ไปเถอะ คัรบ ถ้า ข้อมูลท่านมี ค่า แต่ ถ้า มันยอมได้ ไม่มีค่ามาก ค่อยๆ หา ตัวแก้ไป เรื่อยๆ ผมว่า น่าจะได้

ส่วนการแก้ปัญหา ผมว่า Backup ข้อมูลไว้ บ้าง ที่ สำคัญๆ หลาย ที่ อะไรที่ ไม่ค่อยใช้ เอามาเก็บ External บ้าง เพื่อป้องกันควาทมเสียหาย ทำ Authen จำกัดการเข้า ถึงไฟล์ เพรา เหตุที่เกิด,ุกค้าผม แชร์ มั่วกันไปหมด ผลมันเลยเกิดแถมมันคิดผ่าน Map drive ด้วย ไปกันใหญ่

รุปที่เป็นอนุศรณ์ ครับ

ใครอยากได้ ตัว decrypt ไปลอง Mail มาหาผม แล้วกันนะครับ แล้วผม จะส่งไปให้ นะคัรบ เพระา มันเป็นของ บ. ลูกค้าผม ผมจะข้อส่งไป ให้เทส นะครับ ลองหาๆๆ เอา ครับ ติดต่อเจ้าของเว็บ หรือ admin ก็ได้ครับ ถ้าหาเมลผมไม่เจอ นะ... เดีี่ยวผม ส่งไปให้ เทส ...

แต่ไม่รับประกันว่าจะแก้ได้ เพราะ มันพัฒนาไปเรื่อยๆๆๆ ครับ 

ขอบคุณที่มาฟังผมบ่นนะ คัรบ

[paen]

ถ้าไม่ระวัง อาจตกเป็นเหยื่อยได้ง่ายๆครับ

[gd,lN]

น่ากลัวครับ แต่ดีที่อัพ วิน10ไปแล้ว