ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comความรู้ทั่วไประวังภัยทางเน็ต (Beware of Scams and Frauds)ข่าวสารทั่วไป เกี่ยวกับภัยทางเน็ตระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: ระวังภัย มัลแวร์เรียกค่าไถ่ CTB-Locker ผ่านอีเมลหลอกว่าอัปเกรด Windows  (อ่าน 5568 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
paen
ก๊วนเสียว
*

พลังน้ำใจ: 15
ออฟไลน์ ออฟไลน์

กระทู้: 477



ดูรายละเอียด เว็บไซต์
« เมื่อ: 05 สิงหาคม 2015, 08:55:38 »

 บริษัท Cisco แจ้งเตือนการพบอีเมลหลอกลวงที่มีจุดประสงค์เพื่อเผยแพร่มัลแวร์สายพันธุ์ CTB-Locker ซึ่งเป็นมัลแวร์เรียกค่าไถ่ที่จะเข้ารหัสลับไฟล์ข้อมูลในแล้วให้แจ้งให้ผู้ใช้จ่ายเงินเพื่อกู้ไฟล์กลับคืน อีเมลฉบับดังกล่าวถูกปลอมที่อยู่ว่าส่งมาจาก update @ microsoft.com เนื้อหาในอีเมลเชิญชวนให้อัปเกรดเป็น Windows 10 ฟรี โดยมีไฟล์ .zip แนบมาด้วย (Win10Installer.zip) ซึ่งหากผู้ใช้เรียกใช้งานโปรแกรมที่อยู่ในไฟล์ .zip ดังกล่าวก็จะติดมัลแวร์ CTB-Locker

ข้อแนะนำสำหรับผู้ใช้งาน ควรระวังการเปิดไฟล์แนบที่มากับอีเมล ติดตั้งแอนตี้ไวรัสและอัปเดตฐานข้อมูล รวมถึงติดตั้งแพตช์ระบบปฏิบัติการและซอฟต์แวร์ในเครื่องให้เป็นเวอร์ชันล่าสุด และหากต้องการอัปเกรดเป็น Windows 10 สามารถศีกษารายละเอียดได้จากเว็บไซต์ของ Microsoft (http://www.microsoft.com/th-th/windows/windows-10-upgrade )
บันทึกการเข้า

nongloma
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 104
ออฟไลน์ ออฟไลน์

กระทู้: 1,365



ดูรายละเอียด
« ตอบ #1 เมื่อ: 05 สิงหาคม 2015, 09:58:18 »

ไอเรียกค่าไถ่นี่น่ากลัวนักครับ
บันทึกการเข้า

ห้ามทำ link ไปเว็บที่มีการพนัน
Legolas
Global Moderator
เจ้าพ่อบอร์ดเสียว
*****

พลังน้ำใจ: 886
ออฟไลน์ ออฟไลน์

กระทู้: 10,084



ดูรายละเอียด
« ตอบ #2 เมื่อ: 05 สิงหาคม 2015, 11:53:44 »

เลวมากพวกนี้
บันทึกการเข้า




ตอนนี้มีโปร $29.99 Creative Fabrica ถูกที่สุดสำหรับทำ POD,KDP
ขาย License wp theme 5 ธีมจา่ก Themeforest Newspaper, KALLYAS, Puzzle, Valenti, Jarida ราคาถูกมาก pm มาได้เลยครับ
รับทำ vdo avartar สำหรับนำเสนอ aff ต่างประเท
ad2002
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 114
ออฟไลน์ ออฟไลน์

กระทู้: 1,271



ดูรายละเอียด
« ตอบ #3 เมื่อ: 05 สิงหาคม 2015, 12:17:31 »



มิจฉาชีพ เรียกค่าไถ่พวกนี้  จะใช้จุดอ่อนของ เงินBitcoin(ที่ไม่ต้องยืนยันตัวตนอะไร ในการครอบครอง และให้จ่ายด้วยBitcoin  สกุลเงินนี้เข้าทางโจรเลยครับ)

ข้อมูลเพิ่มเติม
http://www.thaiseoboard.com/index.php/topic,367987.60.html
http://www.thaiadmin.org/board/index.php?topic=16765202.0


ผมจะบอกว่า เมื่อวันที่ 21 เวลา 05.11PM ที่ บ.ลูกค้า ผมก็โดน คัรบ เห็นน้องบอกว่า อยู่ดีดี มันก็ โผล่มา เล่นเครียดกันเฉพาะคนที่ดูแลระบบ และเจ้าของ บ. เลยทีเดียว wanwan031

ผมก็เลยเครียดทั้งคืนเลย เพราะ ข้อมูล Database ข้อมูลทางบัญชี ระเบียนลูกหนี้ ข้อมูลทางบัญชี ปี55 - 58 มูลค่าหลายล้านบาทโดน .encrypted เรียบ
คืนนั้นผมก็เลยไปหาข้อมูล ตอนแรก มันบอกว่า มันเป็น Ransomware  Cryptolocker เข้ารหัส RSA-2048 ผมละเครียดเลย เพราะว่า ใช้ BTC อยู่ รู้เรืองนี้ดี ว่ามันแกะไม่ได้  wanwan004

http://pantip.com/topic/33085141 ....> อันนี้ เป็นข้อมูลที่ เอาไว้อ้างอิง อ่านแล้ว จิตตกดี .... ตอกย้ำว่า แก้ไม่ได้  wanwan009

... แต่ก็หาไปเรื่อย จนเจอว่าที่เครื่องลูกค้าติดมันไม่ใช่  Cryptolocker แต่เป็น torrentlocker ซึ่งมันเป็น fake CryptoLocker
http://www.bleepingcomputer.co...olocker-ransomware-information ... ที่ผมหาเจอ ว่ามันไม่ใช่ Cryptolocker  wanwan010

เค้าบอกว่า มันใช้การเข้ารหัส แบบ AES แต่ก็ยังหาวีธีเข้ารหัส แก้ไม่ได้ เพราะมีการพัฒนาตลอดเวลา

มันติดแบบ เครื่อข่าย Mapdrive ด้วย ลูกค้าผมโดนไป 7 เครือง เครืองบัญชี 3 เครืองผู้ดูแลระบบ 2 เครื่อง Server 1 เครื่อง ต้นตอ อีก 1 ที่ยังหาสาเหตุจริงๆ ที่โดนไม่ได้ ไล่ History ทุกอย่าง เข้าเว็บตามที่น้องมันเข้าก็ หาสาเหตุไม่ได้  wanwan010

แต่ผมก็พอหาตัวแก้ Decrypt มาได้...http://[url]http://www.bleepin...d-and-decrypter-has-been-made/ [/url] wanwan002 แต่มันก็กู้ ได้ แค่ Database MDB เท่านั้น แถมต้องมีไฟล์ เดียวกัน ที่เหมือนกัน ก่อนที่ โดน encrypt เอามาไว้ เปรียบเทียบ มาทำการ Decrypt อีก ....  wanwan044

สรุป ไฟล์อื่นๆ ตัว Decrypt มัน Decrypt ได้ แต่เปิดไม่ได้ ไม่มีประโยชน์  ลองหันไป พึ่ง Kaspersky Lab http://www.kaspersky.com/inter.../threats/torrentlocker-malware โหลด  RannohDecryptor มาใช้ ไม่เห็นจะใช้ได้
ผมเลยโหลดทุกตัว ที่มันเกี่ยวกับ Ransomware  ที่ http://support.kaspersky.com/viruses/utility เพราะมีไฟล์ให้ลอง หลายแบบ ก็ไม่ได้   wanwan009

สรุป... วันรุ่งขึ้น ผมโชคดี เพราะ ระบบที่ ทางบ. ผมวางไว้ Database หลัก มันมี time Backup ไว้ และ มีการ decrypt Database ได้บางส่วน ในตอนกลางคืน ทำให้ บ.ลูกค้าผม ดำเนินการต่อได้ ในวันรุ่งขึ้น ... แต่ ข้อมูล Exel ถูก .encrypted หมด ซึ่งมีค่ามาก ..  wanwan031 0o

เจ้าของ ซึ่งเป็นเพื่อนผม บอกว่า ยอม ... ช่างมัน แต่ผม เจ็บใจ ... เพราะ 15 ปี ที่อยู่ตรงนี้ ทำงาน IT ไม่เคยเจอ เหมือนโดนหยาม มาก... แถมไม่รู้ว่าจ่ายแล้ว จะ Decrypt ได้จริงหรือ เปล่า หรือ โดนหลอก อีก แต่ต้องเสี่ยง เพราะ ถ้ารอเวลา มัน จะเสียไม่ คุ้ม กับ ที่แลกกับเวลาหาตัวแก้

สรุปผมเป็นคนดำเนินการ จ่ายเป็น BTC ซึ่งมัน จ่ายจริง มัน สูงกว่า 11,900 บาทมาก เพราะเราต้อง ซื้อจาก ตัวแทนที่เค้ารับแลกเปลี่ยนในไทย ผมเลือกที่นี่ https://bitcoin.co.th/ เพราะคิดว่า น่าจะไม่โดนโกง และ แถมตัวเว็บมันแจ้งบอกมาด้วย ว่า ให้แลก BTC ที่นี่ ...  wanwan001

ตอน 5 โมง ทางผมจ่ายครบตามที่กำหนด ก็ เลยได้ ตัว Decrypt มา ผมเลยโหลดมาเก็บหลายรอบเลย พอเอามา Decrypt เครื่องที่มีปัญหาเครืองแรก ปรากฎว่าได้ แต่ไม่หมด เพราะ มันไม่ Decrypt ผ่าน lan ด้วย .... เลยเอาไป Decrypt ที่ Server และเปิดเครืองที่มีปัญหาทั้งหมด ปรากฏว่า ได้ทั้งหมด ใช้เวลา แค่ 4 - 5 นาที เท่านั้น ไฟล์ ที่โดน 10000 กว่าไฟล์ ทั้ง 7 เครือง ได้กลับมาหมด

สรุปว่า ตอนมัน encrypt มันใช้เวลา เท่านี้ เหมือนกัน ... น่ากลัวชิบ....

สรุป เลยครับ จ่ายๆ ไปเถอะ คัรบ ถ้า ข้อมูลท่านมี ค่า แต่ ถ้า มันยอมได้ ไม่มีค่ามาก ค่อยๆ หา ตัวแก้ไป เรื่อยๆ ผมว่า น่าจะได้

ส่วนการแก้ปัญหา ผมว่า Backup ข้อมูลไว้ บ้าง ที่ สำคัญๆ หลาย ที่ อะไรที่ ไม่ค่อยใช้ เอามาเก็บ External บ้าง เพื่อป้องกันควาทมเสียหาย ทำ Authen จำกัดการเข้า ถึงไฟล์ เพรา เหตุที่เกิด,ุกค้าผม แชร์ มั่วกันไปหมด ผลมันเลยเกิดแถมมันคิดผ่าน Map drive ด้วย ไปกันใหญ่

รุปที่เป็นอนุศรณ์ ครับ

ใครอยากได้ ตัว decrypt ไปลอง Mail มาหาผม แล้วกันนะครับ แล้วผม จะส่งไปให้ นะคัรบ เพระา มันเป็นของ บ. ลูกค้าผม ผมจะข้อส่งไป ให้เทส นะครับ ลองหาๆๆ เอา ครับ ติดต่อเจ้าของเว็บ หรือ admin ก็ได้ครับ ถ้าหาเมลผมไม่เจอ นะ... เดีี่ยวผม ส่งไปให้ เทส ...

แต่ไม่รับประกันว่าจะแก้ได้ เพราะ มันพัฒนาไปเรื่อยๆๆๆ ครับ 

ขอบคุณที่มาฟังผมบ่นนะ คัรบ wanwan014 wanwan010

บันทึกการเข้า
paen
ก๊วนเสียว
*

พลังน้ำใจ: 15
ออฟไลน์ ออฟไลน์

กระทู้: 477



ดูรายละเอียด เว็บไซต์
« ตอบ #4 เมื่อ: 05 สิงหาคม 2015, 21:50:24 »

ถ้าไม่ระวัง อาจตกเป็นเหยื่อยได้ง่ายๆครับ
บันทึกการเข้า

gd,lN
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 96
ออฟไลน์ ออฟไลน์

กระทู้: 1,743



ดูรายละเอียด เว็บไซต์
« ตอบ #5 เมื่อ: 05 สิงหาคม 2015, 21:59:58 »

น่ากลัวครับ แต่ดีที่อัพ วิน10ไปแล้ว
บันทึกการเข้า

หน้า: [1]   ขึ้นบน
พิมพ์