ผมจะบอกว่า เมื่อวันที่ 21 เวลา 05.11PM ที่ บ.ลูกค้า ผมก็โดน คัรบ เห็นน้องบอกว่า อยู่ดีดี มันก็ โผล่มา เล่นเครียดกันเฉพาะคนที่ดูแลระบบ และเจ้าของ บ. เลยทีเดียว
ผมก็เลยเครียดทั้งคืนเลย เพราะ ข้อมูล Database ข้อมูลทางบัญชี ระเบียนลูกหนี้ ข้อมูลทางบัญชี ปี55 - 58 มูลค่าหลายล้านบาทโดน .encrypted เรียบ
คืนนั้นผมก็เลยไปหาข้อมูล ตอนแรก มันบอกว่า มันเป็น Ransomware Cryptolocker เข้ารหัส RSA-2048 ผมละเครียดเลย เพราะว่า ใช้ BTC อยู่ รู้เรืองนี้ดี ว่ามันแกะไม่ได้
http://pantip.com/topic/33085141 
....> อันนี้ เป็นข้อมูลที่ เอาไว้อ้างอิง อ่านแล้ว จิตตกดี .... ตอกย้ำว่า แก้ไม่ได้
... แต่ก็หาไปเรื่อย จนเจอว่าที่เครื่องลูกค้าติดมันไม่ใช่ Cryptolocker แต่เป็น torrentlocker ซึ่งมันเป็น fake CryptoLocker
http://www.bleepingcomputer.co...olocker-ransomware-information ... ที่ผมหาเจอ ว่ามันไม่ใช่ Cryptolocker
เค้าบอกว่า มันใช้การเข้ารหัส แบบ AES แต่ก็ยังหาวีธีเข้ารหัส แก้ไม่ได้ เพราะมีการพัฒนาตลอดเวลา
มันติดแบบ เครื่อข่าย Mapdrive ด้วย ลูกค้าผมโดนไป 7 เครือง เครืองบัญชี 3 เครืองผู้ดูแลระบบ 2 เครื่อง Server 1 เครื่อง ต้นตอ อีก 1 ที่ยังหาสาเหตุจริงๆ ที่โดนไม่ได้ ไล่ History ทุกอย่าง เข้าเว็บตามที่น้องมันเข้าก็ หาสาเหตุไม่ได้
แต่ผมก็พอหาตัวแก้ Decrypt มาได้...
http://[url]http://www.bleepin...d-and-decrypter-has-been-made/ [/url]
แต่มันก็กู้ ได้ แค่ Database MDB เท่านั้น แถมต้องมีไฟล์ เดียวกัน ที่เหมือนกัน ก่อนที่ โดน encrypt เอามาไว้ เปรียบเทียบ มาทำการ Decrypt อีก ....
สรุป ไฟล์อื่นๆ ตัว Decrypt มัน Decrypt ได้ แต่เปิดไม่ได้ ไม่มีประโยชน์ ลองหันไป พึ่ง Kaspersky Lab
http://www.kaspersky.com/inter.../threats/torrentlocker-malware โหลด RannohDecryptor มาใช้ ไม่เห็นจะใช้ได้
ผมเลยโหลดทุกตัว ที่มันเกี่ยวกับ Ransomware ที่
http://support.kaspersky.com/viruses/utility เพราะมีไฟล์ให้ลอง หลายแบบ ก็ไม่ได้
สรุป... วันรุ่งขึ้น ผมโชคดี เพราะ ระบบที่ ทางบ. ผมวางไว้ Database หลัก มันมี time Backup ไว้ และ มีการ decrypt Database ได้บางส่วน ในตอนกลางคืน ทำให้ บ.ลูกค้าผม ดำเนินการต่อได้ ในวันรุ่งขึ้น ... แต่ ข้อมูล Exel ถูก .encrypted หมด ซึ่งมีค่ามาก ..
0o
เจ้าของ ซึ่งเป็นเพื่อนผม บอกว่า ยอม ... ช่างมัน แต่ผม เจ็บใจ ... เพราะ 15 ปี ที่อยู่ตรงนี้ ทำงาน IT ไม่เคยเจอ เหมือนโดนหยาม มาก... แถมไม่รู้ว่าจ่ายแล้ว จะ Decrypt ได้จริงหรือ เปล่า หรือ โดนหลอก อีก แต่ต้องเสี่ยง เพราะ ถ้ารอเวลา มัน จะเสียไม่ คุ้ม กับ ที่แลกกับเวลาหาตัวแก้
สรุปผมเป็นคนดำเนินการ จ่ายเป็น BTC ซึ่งมัน จ่ายจริง มัน สูงกว่า 11,900 บาทมาก เพราะเราต้อง ซื้อจาก ตัวแทนที่เค้ารับแลกเปลี่ยนในไทย ผมเลือกที่นี่
https://bitcoin.co.th/ เพราะคิดว่า น่าจะไม่โดนโกง และ แถมตัวเว็บมันแจ้งบอกมาด้วย ว่า ให้แลก BTC ที่นี่ ...
ตอน 5 โมง ทางผมจ่ายครบตามที่กำหนด ก็ เลยได้ ตัว Decrypt มา ผมเลยโหลดมาเก็บหลายรอบเลย พอเอามา Decrypt เครื่องที่มีปัญหาเครืองแรก ปรากฎว่าได้ แต่ไม่หมด เพราะ มันไม่ Decrypt ผ่าน lan ด้วย .... เลยเอาไป Decrypt ที่ Server และเปิดเครืองที่มีปัญหาทั้งหมด ปรากฏว่า ได้ทั้งหมด ใช้เวลา แค่ 4 - 5 นาที เท่านั้น ไฟล์ ที่โดน 10000 กว่าไฟล์ ทั้ง 7 เครือง ได้กลับมาหมด
สรุปว่า ตอนมัน encrypt มันใช้เวลา เท่านี้ เหมือนกัน ... น่ากลัวชิบ....
สรุป เลยครับ จ่ายๆ ไปเถอะ คัรบ ถ้า ข้อมูลท่านมี ค่า แต่ ถ้า มันยอมได้ ไม่มีค่ามาก ค่อยๆ หา ตัวแก้ไป เรื่อยๆ ผมว่า น่าจะได้
ส่วนการแก้ปัญหา ผมว่า Backup ข้อมูลไว้ บ้าง ที่ สำคัญๆ หลาย ที่ อะไรที่ ไม่ค่อยใช้ เอามาเก็บ External บ้าง เพื่อป้องกันควาทมเสียหาย ทำ Authen จำกัดการเข้า ถึงไฟล์ เพรา เหตุที่เกิด,ุกค้าผม แชร์ มั่วกันไปหมด ผลมันเลยเกิดแถมมันคิดผ่าน Map drive ด้วย ไปกันใหญ่
รุปที่เป็นอนุศรณ์ ครับ
ใครอยากได้ ตัว decrypt ไปลอง Mail มาหาผม แล้วกันนะครับ แล้วผม จะส่งไปให้ นะคัรบ เพระา มันเป็นของ บ. ลูกค้าผม ผมจะข้อส่งไป ให้เทส นะครับ ลองหาๆๆ เอา ครับ ติดต่อเจ้าของเว็บ หรือ admin ก็ได้ครับ ถ้าหาเมลผมไม่เจอ นะ... เดีี่ยวผม ส่งไปให้ เทส ...
แต่ไม่รับประกันว่าจะแก้ได้ เพราะ มันพัฒนาไปเรื่อยๆๆๆ ครับ
ขอบคุณที่มาฟังผมบ่นนะ คัรบ
ความรู้ทั่วไป
