|
หัวข้อ: ระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows เริ่มหัวข้อโดย: paen ที่ 05 สิงหาคม 2015, 08:55:38 บริษัท Cisco แจ้งเตือนการพบอีเมลหลอกลวงที่มีจุดประสงค์เพื่อเผยแพร่มัลแวร์สายพันธุ์ CTB-Locker ซึ่งเป็นมัลแวร์เรียกค่าไถ่ที่จะเข้ารหัสลับไฟล์ข้อมูลในแล้วให้แจ้งให้ผู้ใช้จ่ายเงินเพื่อกู้ไฟล์กลับคืน อีเมลฉบับดังกล่าวถูกปลอมที่อยู่ว่าส่งมาจาก update @ microsoft.com เนื้อหาในอีเมลเชิญชวนให้อัปเกรดเป็น Windows 10 ฟรี โดยมีไฟล์ .zip แนบมาด้วย (Win10Installer.zip) ซึ่งหากผู้ใช้เรียกใช้งานโปรแกรมที่อยู่ในไฟล์ .zip ดังกล่าวก็จะติดมัลแวร์ CTB-Locker
ข้อแนะนำสำหรับผู้ใช้งาน ควรระวังการเปิดไฟล์แนบที่มากับอีเมล ติดตั้งแอนตี้ไวรัสและอัปเดตฐานข้อมูล รวมถึงติดตั้งแพตช์ระบบปฏิบัติการและซอฟต์แวร์ในเครื่องให้เป็นเวอร์ชันล่าสุด และหากต้องการอัปเกรดเป็น Windows 10 สามารถศีกษารายละเอียดได้จากเว็บไซต์ของ Microsoft (http://www.microsoft.com/th-th/windows/windows-10-upgrade) หัวข้อ: Re: ระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows เริ่มหัวข้อโดย: nongloma ที่ 05 สิงหาคม 2015, 09:58:18 ไอเรียกค่าไถ่นี่น่ากลัวนักครับ
หัวข้อ: Re: ระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows เริ่มหัวข้อโดย: Legolas ที่ 05 สิงหาคม 2015, 11:53:44 เลวมากพวกนี้
หัวข้อ: Re: ระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows เริ่มหัวข้อโดย: ad2002 ที่ 05 สิงหาคม 2015, 12:17:31 มิจฉาชีพ เรียกค่าไถ่พวกนี้ จะใช้จุดอ่อนของ เงินBitcoin(ที่ไม่ต้องยืนยันตัวตนอะไร ในการครอบครอง และให้จ่ายด้วยBitcoin สกุลเงินนี้เข้าทางโจรเลยครับ) ข้อมูลเพิ่มเติม http://www.thaiseoboard.com/index.php/topic,367987.60.html http://www.thaiadmin.org/board/index.php?topic=16765202.0 ผมจะบอกว่า เมื่อวันที่ 21 เวลา 05.11PM ที่ บ.ลูกค้า ผมก็โดน คัรบ เห็นน้องบอกว่า อยู่ดีดี มันก็ โผล่มา เล่นเครียดกันเฉพาะคนที่ดูแลระบบ และเจ้าของ บ. เลยทีเดียว :wanwan031: ผมก็เลยเครียดทั้งคืนเลย เพราะ ข้อมูล Database ข้อมูลทางบัญชี ระเบียนลูกหนี้ ข้อมูลทางบัญชี ปี55 - 58 มูลค่าหลายล้านบาทโดน .encrypted เรียบ คืนนั้นผมก็เลยไปหาข้อมูล ตอนแรก มันบอกว่า มันเป็น Ransomware Cryptolocker เข้ารหัส RSA-2048 ผมละเครียดเลย เพราะว่า ใช้ BTC อยู่ รู้เรืองนี้ดี ว่ามันแกะไม่ได้ :wanwan004: [url]http://pantip.com/topic/33085141[/url] ....> อันนี้ เป็นข้อมูลที่ เอาไว้อ้างอิง อ่านแล้ว จิตตกดี .... ตอกย้ำว่า แก้ไม่ได้ :wanwan009: ... แต่ก็หาไปเรื่อย จนเจอว่าที่เครื่องลูกค้าติดมันไม่ใช่ Cryptolocker แต่เป็น torrentlocker ซึ่งมันเป็น fake CryptoLocker [url]http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information[/url] ... ที่ผมหาเจอ ว่ามันไม่ใช่ Cryptolocker :wanwan010: เค้าบอกว่า มันใช้การเข้ารหัส แบบ AES แต่ก็ยังหาวีธีเข้ารหัส แก้ไม่ได้ เพราะมีการพัฒนาตลอดเวลา มันติดแบบ เครื่อข่าย Mapdrive ด้วย ลูกค้าผมโดนไป 7 เครือง เครืองบัญชี 3 เครืองผู้ดูแลระบบ 2 เครื่อง Server 1 เครื่อง ต้นตอ อีก 1 ที่ยังหาสาเหตุจริงๆ ที่โดนไม่ได้ ไล่ History ทุกอย่าง เข้าเว็บตามที่น้องมันเข้าก็ หาสาเหตุไม่ได้ :wanwan010: แต่ผมก็พอหาตัวแก้ Decrypt มาได้...http://[url]http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/[/url] :wanwan002: แต่มันก็กู้ ได้ แค่ Database MDB เท่านั้น แถมต้องมีไฟล์ เดียวกัน ที่เหมือนกัน ก่อนที่ โดน encrypt เอามาไว้ เปรียบเทียบ มาทำการ Decrypt อีก .... :wanwan044: สรุป ไฟล์อื่นๆ ตัว Decrypt มัน Decrypt ได้ แต่เปิดไม่ได้ ไม่มีประโยชน์ ลองหันไป พึ่ง Kaspersky Lab [url]http://www.kaspersky.com/internet-security-center/threats/torrentlocker-malware[/url] โหลด RannohDecryptor มาใช้ ไม่เห็นจะใช้ได้ ผมเลยโหลดทุกตัว ที่มันเกี่ยวกับ Ransomware ที่ [url]http://support.kaspersky.com/viruses/utility[/url] เพราะมีไฟล์ให้ลอง หลายแบบ ก็ไม่ได้ :wanwan009: สรุป... วันรุ่งขึ้น ผมโชคดี เพราะ ระบบที่ ทางบ. ผมวางไว้ Database หลัก มันมี time Backup ไว้ และ มีการ decrypt Database ได้บางส่วน ในตอนกลางคืน ทำให้ บ.ลูกค้าผม ดำเนินการต่อได้ ในวันรุ่งขึ้น ... แต่ ข้อมูล Exel ถูก .encrypted หมด ซึ่งมีค่ามาก .. :wanwan031: 0o เจ้าของ ซึ่งเป็นเพื่อนผม บอกว่า ยอม ... ช่างมัน แต่ผม เจ็บใจ ... เพราะ 15 ปี ที่อยู่ตรงนี้ ทำงาน IT ไม่เคยเจอ เหมือนโดนหยาม มาก... แถมไม่รู้ว่าจ่ายแล้ว จะ Decrypt ได้จริงหรือ เปล่า หรือ โดนหลอก อีก แต่ต้องเสี่ยง เพราะ ถ้ารอเวลา มัน จะเสียไม่ คุ้ม กับ ที่แลกกับเวลาหาตัวแก้ สรุปผมเป็นคนดำเนินการ จ่ายเป็น BTC ซึ่งมัน จ่ายจริง มัน สูงกว่า 11,900 บาทมาก เพราะเราต้อง ซื้อจาก ตัวแทนที่เค้ารับแลกเปลี่ยนในไทย ผมเลือกที่นี่ [url]https://bitcoin.co.th/[/url] เพราะคิดว่า น่าจะไม่โดนโกง และ แถมตัวเว็บมันแจ้งบอกมาด้วย ว่า ให้แลก BTC ที่นี่ ... :wanwan001: ตอน 5 โมง ทางผมจ่ายครบตามที่กำหนด ก็ เลยได้ ตัว Decrypt มา ผมเลยโหลดมาเก็บหลายรอบเลย พอเอามา Decrypt เครื่องที่มีปัญหาเครืองแรก ปรากฎว่าได้ แต่ไม่หมด เพราะ มันไม่ Decrypt ผ่าน lan ด้วย .... เลยเอาไป Decrypt ที่ Server และเปิดเครืองที่มีปัญหาทั้งหมด ปรากฏว่า ได้ทั้งหมด ใช้เวลา แค่ 4 - 5 นาที เท่านั้น ไฟล์ ที่โดน 10000 กว่าไฟล์ ทั้ง 7 เครือง ได้กลับมาหมด สรุปว่า ตอนมัน encrypt มันใช้เวลา เท่านี้ เหมือนกัน ... น่ากลัวชิบ.... สรุป เลยครับ จ่ายๆ ไปเถอะ คัรบ ถ้า ข้อมูลท่านมี ค่า แต่ ถ้า มันยอมได้ ไม่มีค่ามาก ค่อยๆ หา ตัวแก้ไป เรื่อยๆ ผมว่า น่าจะได้ ส่วนการแก้ปัญหา ผมว่า Backup ข้อมูลไว้ บ้าง ที่ สำคัญๆ หลาย ที่ อะไรที่ ไม่ค่อยใช้ เอามาเก็บ External บ้าง เพื่อป้องกันควาทมเสียหาย ทำ Authen จำกัดการเข้า ถึงไฟล์ เพรา เหตุที่เกิด,ุกค้าผม แชร์ มั่วกันไปหมด ผลมันเลยเกิดแถมมันคิดผ่าน Map drive ด้วย ไปกันใหญ่ รุปที่เป็นอนุศรณ์ ครับ([url]http://www.saledee.com/d1e1c1r1y1p1t_t1o11rr1en1t1lo1c1k1e1r12121212121.jpg[/url]) ใครอยากได้ ตัว decrypt ไปลอง Mail มาหาผม แล้วกันนะครับ แล้วผม จะส่งไปให้ นะคัรบ เพระา มันเป็นของ บ. ลูกค้าผม ผมจะข้อส่งไป ให้เทส นะครับ ลองหาๆๆ เอา ครับ ติดต่อเจ้าของเว็บ หรือ admin ก็ได้ครับ ถ้าหาเมลผมไม่เจอ นะ... เดีี่ยวผม ส่งไปให้ เทส ... แต่ไม่รับประกันว่าจะแก้ได้ เพราะ มันพัฒนาไปเรื่อยๆๆๆ ครับ ขอบคุณที่มาฟังผมบ่นนะ คัรบ :wanwan014: :wanwan010: หัวข้อ: Re: ระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows เริ่มหัวข้อโดย: paen ที่ 05 สิงหาคม 2015, 21:50:24 ถ้าไม่ระวัง อาจตกเป็นเหยื่อยได้ง่ายๆครับ
หัวข้อ: Re: ระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows เริ่มหัวข้อโดย: gd,lN ที่ 05 สิงหาคม 2015, 21:59:58 น่ากลัวครับ แต่ดีที่อัพ วิน10ไปแล้ว
|