ปี 2019 พบภัยคุกคามจากแรนซัมแวร์จำนวนหนึ่งที่ทำลายคอมพิวเตอร์แต่ละเครื่องและทั่วทั้งองค์กร แรนซัมแวร์ตัวหนึ่งที่พาดหัวข่าวคือแรนซัมแวร์ PureLocker เป็นมัลแวร์ที่สามารถโจมตีเซิร์ฟเวอร์และองค์กรที่ใช้งานจริงทั้ง Windows และ Linux
เรียกค่าไถ่ PureLocker เนื่องจากรหัสของมันเขียนด้วยภาษาโปรแกรม PureBasic สิ่งนี้ให้ข้อดีหลายประการเหนือตระกูลแรนซัมแวร์อื่นๆ ประการแรก PureBasic ไม่ใช่สิ่งที่พบเห็นได้ทั่วไป ซึ่งหมายความว่าโซลูชันป้องกันมัลแวร์จำนวนมากไม่เหมาะกับงานเมื่อต้องรับมือกับภัยคุกคามที่มันก่อขึ้น กล่าวอีกนัยหนึ่ง โปรแกรมป้องกันไวรัสจำนวนมากถูกจำกัดเมื่อต้องตรวจจับลายเซ็นจากไบนารี PureBasic
แม้ว่าแรนซัมแวร์จะแปลกใหม่ในหลาย ๆ ด้าน แต่แรนซัมแวร์ PureLocker ยังคงใช้โค้ดบางตัวจากตระกูลแรนซัมแวร์ที่รู้จัก เช่น ตระกูลแรนซัมแวร์ “more_eggs” More_eggs ขายเป็น Malware-as-a-service (MaaS) บนเว็บมืด ซึ่งหมายความว่าการโจมตีโดย PureLocker นั้นเชื่อมโยงกับกลุ่มอาชญากรมาเฟียเช่น Cobalt Group และแก๊ง FIN6
มัลแวร์ PureLocker ทำอะไร
เราได้พิสูจน์แล้วว่าแรนซัมแวร์ PureLocker นั้นแตกต่างจากมัลแวร์อื่นเล็กน้อย แต่มันทำงานอย่างไรกันแน่? เป็นที่ทราบกันดีว่าแรนซัมแวร์สามารถหลบเลี่ยงการเชื่อมต่อ API ในโหมดผู้ใช้ของฟังก์ชัน NTDLL ได้โดยการโหลดสำเนา "ntdll.dll" และแก้ไขที่อยู่ API จากที่นั่น เคล็ดลับการหลีกเลี่ยงนี้ทำให้โปรแกรมป้องกันไวรัสต่อต้านมัลแวร์ได้ยาก เนื่องจากการใช้ API เป็นสิ่งที่โปรแกรมป้องกันไวรัสใช้เพื่อดูฟังก์ชันที่แน่นอนซึ่งถูกเรียกโดยมัลแวร์หรือซอฟต์แวร์อื่นๆ สำหรับเรื่องนั้น
มัลแวร์ยังออกคำแนะนำในการติดตั้งส่วนประกอบ PureLocker ไปยังยูทิลิตี้บรรทัดคำสั่งใน Windows ที่เรียกว่า regrsrv32.exe มันทำสิ่งนี้โดยไม่ต้องเพิ่มบทสนทนาใด ๆ เมื่อดำเนินการโดย regrsrv32.exe มัลแวร์จะตรวจสอบปีและยืนยันนามสกุลไฟล์เป็น .DLL หรือ .OCX นอกจากนี้ยังเป็นการยืนยันว่าผู้ใช้คอมพิวเตอร์มีสิทธิ์ของผู้ดูแลระบบหรือไม่ หากการตรวจสอบใดล้มเหลว มัลแวร์จะออกจากคอมพิวเตอร์ที่ติดไวรัสอย่างเงียบ ๆ ราวกับว่าไม่มีอะไรเกิดขึ้น แต่ถ้าปรากฎว่าทุกอย่างเรียบร้อย ไฟล์คอมพิวเตอร์ของเป้าหมายจะถูกเข้ารหัสด้วยการเข้ารหัส AES+ RSA มาตรฐาน มีการเพิ่มนามสกุล .CRI สำหรับทุกไฟล์ที่เข้ารหัส ไฟล์เงาหรือข้อมูลสำรองของ Windows จะถูกลบออกระหว่างกระบวนการติดไวรัส ดังนั้นคุณไม่มีทางกู้คืนไฟล์ของคุณได้เลย
สิ่งผิดปกติประการสุดท้ายเกี่ยวกับ PureLocker ransomware ก็คือ แทนที่จะแสดง readme.txt ที่บอกผู้ใช้ว่าจะส่งเงินค่าไถ่ที่ไหน มันออกที่อยู่อีเมลที่ไม่ระบุชื่อและเข้ารหัสซึ่งเชื่อมโยงผู้โจมตีกับเหยื่อ หากพวกเขาตกลงกันได้ จะมีการเสนอให้ถอดรหัสไฟล์
วิธีการลบ PureLocker Ransomware ออกจากคอมพิวเตอร์ของคุณ
PureLocker เป็นมัลแวร์ที่มีลักษณะเฉพาะในหลาย ๆ ด้าน และสามารถซ่อนไว้บนคอมพิวเตอร์โดยไม่ถูกตรวจจับเป็นเวลานาน ดังนั้นตัวเลือกในการลบมัลแวร์จึงมีอยู่เพียงไม่กี่ตัวเลือก แต่ไม่ว่าคุณจะสิ้นหวังแค่ไหน คุณไม่ควรพิจารณาจ่ายค่าไถ่ให้กับอาชญากรที่อยู่เบื้องหลังมัลแวร์ ประการแรกมันจะทำให้คุณเป็นเป้าหมายในครั้งต่อไปเท่านั้นเนื่องจากความเต็มใจที่จะจ่ายเป็นสิ่งเดียวที่ทำให้อาชญากรไซเบอร์มีแรงจูงใจ นอกจากนี้ คุณควรพิจารณาถึงความเป็นไปได้ที่ผู้สร้างมัลแวร์จะไม่ทำตามคำสัญญาที่จะถอดรหัสไฟล์ของคุณเมื่อได้รับค่าไถ่ เพราะลองคิดดูว่า จะเกิดอะไรขึ้นหากพวกเขาล้มเหลวในการยุติการต่อรองราคา น่าเศร้าที่ไม่มีอะไร
ดังนั้น คุณจะทำอย่างไรเพื่อให้คอมพิวเตอร์ของคุณปลอดจากมัลแวร์เรียกค่าไถ่ PureLocker หากการจ่ายค่าไถ่ไม่ใช่ตัวเลือก เราขอแนะนำให้คุณเรียกใช้คอมพิวเตอร์ในเซฟโหมดที่มีระบบเครือข่าย วิธีนี้จะทำให้คุณเข้าถึงทรัพยากรเครือข่ายที่คุณสามารถใช้เพื่อดาวน์โหลดโซลูชันป้องกันมัลแวร์ที่มีประสิทธิภาพในภายหลัง เช่น Outbyte Antivirus .
โปรแกรมป้องกันไวรัสจะลบ PureLocker ransomware และส่วนประกอบที่เป็นอันตรายทั้งหมด
ในการบูตเข้าสู่ Safe Mode with Networking บน Windows 7/ Vista หรือ Windows XP ให้ทำตามขั้นตอนต่อไปนี้:
- ไปที่ Start> Shutdown> Restart> OK
- เมื่อคอมพิวเตอร์ของคุณรีสตาร์ท ให้กด F8 หลายครั้งจนกระทั่ง ตัวเลือกการบูตขั้นสูง เมนูปรากฏขึ้น
- เลือก เซฟโหมดที่มีระบบเครือข่าย โดยกด F5 ที่สำคัญ
เซฟโหมดพร้อมระบบเครือข่ายใน Windows 8 และ 10:
- กดปุ่มเปิด/ปิดค้างไว้ประมาณ 10 วินาทีเพื่อปิดเครื่องคอมพิวเตอร์
- กดปุ่มเปิด/ปิดอีกครั้ง คราวนี้เพื่อเปิดเครื่อง
- ทำตามขั้นตอนด้านบนซ้ำๆ จนกว่าอุปกรณ์ของคุณจะเข้าสู่ Windows Recovery Environment (winRE)
- บน เลือกตัวเลือก หน้าจอที่ปรากฏขึ้น ให้เลือก แก้ปัญหา> ตัวเลือกขั้นสูง> การตั้งค่าเริ่มต้น> รีสตาร์ท
- หลังจากคอมพิวเตอร์ของคุณรีสตาร์ท คุณจะเห็นรายการตัวเลือก ใช้ปุ่มลูกศรเพื่อเลือก Safe Mode with Networking .
หากตัวเลือก Safe Mode with Networking ไม่สามารถลบ PureLocker ransomware ได้ คุณสามารถทำซ้ำขั้นตอนข้างต้นได้ แต่คราวนี้ แทนที่จะเลือก การตั้งค่าการเริ่มต้น เลือก การคืนค่าระบบ
การคืนค่าระบบเป็นกระบวนการกู้คืนของ Windows ที่อนุญาตให้คุณเปลี่ยนกลับการเปลี่ยนแปลงการตั้งค่าและแอปในคอมพิวเตอร์ของคุณ คุณสามารถใช้เพื่อนำแอปและซอฟต์แวร์ที่มีปัญหาออก
หากมัลแวร์ PureLocker โจมตี Mac ของคุณ คุณสามารถใช้ Time Machine เพื่อกู้คืนไฟล์ การตั้งค่า และแอพบางรายการได้ แต่เช่นเดียวกับกรณีของการคืนค่าระบบ การสำรองข้อมูล Time Machine จะต้องพร้อมใช้งานก่อนการติดไวรัสใดๆ
หากสิ่งอื่นล้มเหลว และสิ่งนี้ใช้ได้กับ Mac ของคุณด้วย ให้พิจารณาติดตั้งระบบปฏิบัติการเวอร์ชันใหม่
การปกป้องคอมพิวเตอร์ของคุณจากการติดไวรัสควรเป็นงานที่สำคัญที่สุดที่คุณทำ ต่อไปนี้คือเคล็ดลับบางประการในการป้องกันมัลแวร์ เช่น PureLocker ไม่ให้ติดไวรัสในองค์กรของคุณ
อัปเดตระบบทั้งหมดของคุณ
น่าเสียดายที่บางองค์กรยังคงใช้ Windows เวอร์ชันเก่า เช่น Windows XP ที่ไม่ได้รับการคุ้มครองอย่างเป็นทางการจาก Microsoft อีกต่อไป Windows XP เคยเป็นผลิตภัณฑ์ที่ยอดเยี่ยม แต่ตั้งแต่นั้นมาโลกได้ก้าวต่อไป และการยึดมั่นในสิ่งนี้จะเพิ่มโอกาสที่คุณจะใช้ช่องโหว่ที่มีอยู่มากมาย
ติดตั้งโปรแกรมป้องกันมัลแวร์
คุณมีโซลูชันป้องกันมัลแวร์ระดับพรีเมียมในคอมพิวเตอร์ของคุณหรือไม่? หากไม่มี คุณควรมีไว้สักอัน และระหว่างนั้น คุณควรพิจารณาติดตั้งเครื่องมือซ่อมแซมพีซี เช่น Outbyte PC Repair . เครื่องมือนี้จะสแกนความสมบูรณ์ของพีซีของคุณอย่างต่อเนื่อง นอกจากนี้ยังจะทำความสะอาดพื้นที่เก็บข้อมูลของคุณ ช่วยซ่อมแซมรายการรีจิสตรีที่เสียหายหรือเสียหาย และเพิ่มประสิทธิภาพการทำงานของ RAM
สร้างการสำรองไฟล์ของคุณ
คุณควรมีฟิสิคัลดิสก์ที่คุณเก็บไฟล์ที่สำคัญที่สุดบางไฟล์ไว้ในกรณีที่มีสิ่งที่น่าประหลาดใจ เช่น มัลแวร์ PureLocker โจมตีระบบของคุณ หากไม่มีภัยคุกคามจากการสูญเสียไฟล์ของคุณ การโจมตีของแรนซัมแวร์จะเหมือนกับวันเว้นวันในสำนักงาน
หวังว่าบทความนี้จะช่วยคุณในการจัดการกับมัลแวร์ PureLocker หากคุณมีคำถาม ข้อเสนอแนะ หรืออะไรเพิ่มเติม อย่าลังเลที่จะทำในส่วนความคิดเห็นด้านล่าง