Ransomware เป็นมัลแวร์ที่น่ารังเกียจมากเพราะผู้โจมตีต้องการให้เหยื่อจ่ายเงินสำหรับข้อมูลสำคัญของเขาหรือเธอเพื่อปลดปล่อยจากการเป็นตัวประกัน แรนซัมแวร์แพร่ระบาดในอุปกรณ์ของเหยื่ออย่างลับๆ เข้ารหัสข้อมูลสำคัญ (รวมถึงไฟล์สำรอง) จากนั้นทิ้งคำแนะนำว่าควรจ่ายค่าไถ่เท่าไหร่และควรจ่ายอย่างไร หลังจากความยุ่งยากเหล่านี้ เหยื่อไม่มีการรับประกันว่าผู้โจมตีจะปล่อยคีย์ถอดรหัสเพื่อปลดล็อกไฟล์จริง ๆ และหากเป็นเช่นนั้น ไฟล์บางไฟล์อาจเสียหาย ทำให้ไม่มีประโยชน์ในที่สุด
ในช่วงหลายปีที่ผ่านมา การใช้แรนซัมแวร์ได้รับความนิยมเพิ่มขึ้น เนื่องจากเป็นวิธีที่ตรงที่สุดสำหรับแฮกเกอร์ในการสร้างรายได้ พวกเขาเพียงแค่ต้องปล่อยมัลแวร์ จากนั้นรอให้ผู้ใช้ส่งเงินผ่าน Bitcoin จากข้อมูลจาก Emsisoft จำนวนการโจมตีของแรนซัมแวร์ในปี 2019 เพิ่มขึ้น 41% จากปีก่อนหน้า ซึ่งส่งผลกระทบประมาณ 1,000 องค์กรในสหรัฐอเมริกา Cybersecurity Ventures คาดการณ์ว่าแรนซัมแวร์จะโจมตีธุรกิจทุกๆ 11 วินาที
เมื่อต้นปีนี้ Ragnar Locker มัลแวร์สายพันธุ์ใหม่ โจมตี Energias de Portugal (EDP) ซึ่งเป็นบริษัทสาธารณูปโภคด้านไฟฟ้าของโปรตุเกส ซึ่งมีสำนักงานใหญ่ในลิสบอน ผู้โจมตีเรียกร้องค่าไถ่ 1,580 bitcoins ซึ่งเทียบเท่ากับประมาณ 11 ล้านดอลลาร์
Ragnar Locker Ransomware คืออะไร
Ragnar Locker เป็นมัลแวร์เรียกค่าไถ่ประเภทหนึ่งที่สร้างขึ้นไม่เพียงเพื่อเข้ารหัสข้อมูลเท่านั้น แต่ยังฆ่าแอปพลิเคชันที่ติดตั้งไว้ เช่น ConnectWise และ Kaseya ซึ่งมักใช้โดยผู้ให้บริการที่มีการจัดการและบริการ Windows หลายรายการ Ragnar Locker เปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยต่อท้ายส่วนขยายที่ไม่ซ้ำกันซึ่งประกอบด้วยคำว่า ragnar ตามด้วยชุดตัวเลขและอักขระสุ่ม ตัวอย่างเช่น ไฟล์ชื่อ A.jpg จะเปลี่ยนชื่อเป็น A.jpg.ragnar_0DE48AAB
หลังจากเข้ารหัสไฟล์แล้ว จะสร้างข้อความเรียกค่าไถ่โดยใช้ไฟล์ข้อความซึ่งมีรูปแบบชื่อเดียวกับตัวอย่างด้านบน ข้อความเรียกค่าไถ่อาจมีชื่อว่า RGNR_0DE48AAB.txt
แรนซัมแวร์นี้ทำงานบนคอมพิวเตอร์ที่ใช้ Windows เท่านั้น แต่ยังไม่แน่ใจว่าผู้สร้างมัลแวร์นี้ได้ออกแบบ Ragnar Locker เวอร์ชัน Mac ด้วยหรือไม่ โดยปกติแล้วจะกำหนดเป้าหมายกระบวนการและแอปพลิเคชันที่ผู้ให้บริการที่มีการจัดการมักใช้เพื่อป้องกันการตรวจพบและหยุดการโจมตี Ragnar Locker มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาอังกฤษเท่านั้น
Ragnar Locker ransomware ถูกตรวจพบครั้งแรกประมาณปลายเดือนธันวาคม 2019 เมื่อมีการใช้เป็นส่วนหนึ่งของการโจมตีเครือข่ายที่ถูกบุกรุก ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าการโจมตี Ragnar Locker ต่อยักษ์ใหญ่ด้านพลังงานของยุโรปนั้นเป็นการโจมตีที่มีการวางแผนมาอย่างดีและรอบคอบ
นี่คือตัวอย่างข้อความเรียกค่าไถ่ Ragnar Locker:
สวัสดี * !
**********************
หากคุณอ่านข้อความนี้ แสดงว่าเครือข่ายของคุณถูกเจาะ และไฟล์และข้อมูลทั้งหมดของคุณได้รับการเข้ารหัสแล้ว
โดย RAGNAR_LOCKER !
**********************
************เกิดอะไรขึ้นกับระบบของคุณ ?************
เครือข่ายของคุณถูกเจาะ ไฟล์และข้อมูลสำรองทั้งหมดของคุณถูกล็อค! ดังนั้นจากนี้ไปจะไม่มีใครช่วยคุณได้ในการเอาไฟล์ของคุณคืน ยกเว้นเรา
คุณสามารถ google ได้ ไม่มีโอกาสในการถอดรหัสข้อมูลโดยไม่มี SECRET KEY ของเรา
แต่ไม่ต้องห่วง ! ไฟล์ของคุณไม่เสียหายหรือสูญหาย เป็นเพียงการแก้ไข คุณจะได้รับเงินคืนทันทีที่คุณชำระเงิน
เรากำลังมองหาเพียง MONEY ดังนั้นจึงไม่มีความสนใจที่จะตรวจสอบหรือลบข้อมูลของคุณ เป็นเพียงธุรกิจ $-)
อย่างไรก็ตาม คุณสามารถทำลายข้อมูลของคุณได้ด้วยตัวเอง หากคุณพยายามถอดรหัสด้วยซอฟต์แวร์อื่น โดยไม่ต้องใช้คีย์การเข้ารหัสเฉพาะของเรา !!!
นอกจากนี้ ข้อมูลที่ละเอียดอ่อนและเป็นส่วนตัวของคุณทั้งหมดยังถูกรวบรวม และหากคุณตัดสินใจที่จะไม่ชำระเงิน
เราจะอัปโหลดให้คนทั่วไปเห็น !
****
***********จะกู้คืนไฟล์ของคุณได้อย่างไร ?******
ในการถอดรหัสไฟล์และข้อมูลทั้งหมดของคุณ คุณต้องจ่ายสำหรับการเข้ารหัส KEY:
กระเป๋าสตางค์ BTC สำหรับการชำระเงิน:*
จำนวนเงินที่ต้องจ่าย (เป็น Bitcoin):25
****
***********คุณต้องใช้เวลาเท่าไร*************
* คุณควรติดต่อเราภายใน 2 วันหลังจากที่คุณสังเกตเห็นการเข้ารหัสเพื่อให้ได้ราคาที่ดีขึ้น
* ราคาจะเพิ่มขึ้น 100% (ราคาสองเท่า) หลังจาก 14 วันหากไม่มีการติดต่อ
* คีย์จะถูกลบออกอย่างสมบูรณ์ใน 21 วันหากไม่มีการติดต่อหรือไม่มีการตกลงใดๆ
ข้อมูลที่ละเอียดอ่อนบางอย่างที่ถูกขโมยจากไฟล์เซิร์ฟเวอร์จะถูกอัปโหลดในที่สาธารณะหรือขายต่อ
****
***********จะเกิดอะไรขึ้นหากไฟล์ไม่สามารถกู้คืนได้ ******
เพื่อพิสูจน์ว่าเราสามารถถอดรหัสข้อมูลของคุณได้จริงๆ เราจะถอดรหัสไฟล์ที่ล็อกไฟล์ใดไฟล์หนึ่งของคุณ !
เพียงส่งมาให้เรา แล้วคุณจะได้รับมันคืนฟรี
ราคาของตัวถอดรหัสขึ้นอยู่กับขนาดเครือข่าย จำนวนพนักงาน รายได้ต่อปี
โปรดติดต่อเราสำหรับจำนวน BTC ที่ควรจะจ่าย
****
! หากคุณไม่ทราบวิธีรับ bitcoin เราจะให้คำแนะนำในการแลกเปลี่ยนเงินแก่คุณ
!!!!!!!!!!!!!
! นี่คือคู่มือง่ายๆ วิธีติดต่อเรา !
!!!!!!!!!!!!!
1) ไปที่เว็บไซต์ทางการของ TOX messenger ( hxxps://tox.chat/download.html )
2) ดาวน์โหลดและติดตั้ง qTOX บนพีซีของคุณ เลือกแพลตฟอร์ม (Windows, OS X, Linux ฯลฯ )
3) เปิด Messenger คลิก “New Profile” และสร้างโปรไฟล์
4) คลิกปุ่ม “เพิ่มเพื่อน” และค้นหาผู้ติดต่อของเรา *
5) เพื่อระบุตัวตน ส่งข้อมูลการสนับสนุนของเราจาก —RAGNAR SECRET—
สำคัญ ! หากคุณไม่สามารถติดต่อเราใน qTOX ได้ด้วยเหตุผลบางประการ นี่คือกล่องจดหมายสำรองของเรา ( * ) ส่งข้อความพร้อมข้อมูลจาก —RAGNAR SECRET—
คำเตือน!
-อย่าพยายามถอดรหัสไฟล์ด้วยซอฟต์แวร์ของบุคคลที่สาม (ไฟล์จะเสียหายอย่างถาวร)
-อย่าติดตั้งระบบปฏิบัติการใหม่ เพราะอาจทำให้ข้อมูลสูญหายโดยสมบูรณ์ และไฟล์ไม่สามารถถอดรหัสลับได้ ไม่เคย!
-Your SECRET KEY สำหรับการถอดรหัสอยู่ในเซิร์ฟเวอร์ของเรา แต่จะไม่ถูกเก็บไว้ตลอดไป อย่าเสียเวลา!
**********************
—RAGNAR SECRET—
*
—RAGNAR SECRET—
**********************
Ragnar Locker ทำหน้าที่อะไร
Ragnar Locker มักจะส่งผ่านเครื่องมือ MSP เช่น ConnectWise โดยที่อาชญากรไซเบอร์จะปล่อยไฟล์ปฏิบัติการแรนซัมแวร์ที่มีเป้าหมายสูง เทคนิคการแพร่กระจายนี้เคยถูกใช้โดย ransomware ที่เป็นอันตรายอย่างสูงก่อนหน้านี้ เช่น Sodinokibi เมื่อการโจมตีประเภทนี้เกิดขึ้น ผู้เขียน ransomware จะแทรกซึมองค์กรหรือสิ่งอำนวยความสะดวกผ่านการเชื่อมต่อ RDP ที่ไม่ปลอดภัยหรือมีความปลอดภัยไม่ดี จากนั้นจะใช้เครื่องมือเพื่อส่งสคริปต์ Powershell ไปยังปลายทางที่สามารถเข้าถึงได้ทั้งหมด จากนั้นสคริปต์จะดาวน์โหลดเพย์โหลดผ่าน Pastebin ที่ออกแบบมาเพื่อรันแรนซัมแวร์และเข้ารหัสปลายทาง ในบางกรณี เพย์โหลดมาในรูปแบบของไฟล์ปฏิบัติการที่เปิดใช้งานโดยเป็นส่วนหนึ่งของการโจมตีแบบไฟล์ นอกจากนี้ยังมีกรณีที่มีการดาวน์โหลดสคริปต์เพิ่มเติมซึ่งเป็นส่วนหนึ่งของการโจมตีแบบไม่ใช้ไฟล์โดยสิ้นเชิง
Ragnar Locker กำหนดเป้าหมายซอฟต์แวร์ที่เรียกใช้โดยผู้ให้บริการที่มีการจัดการโดยเฉพาะ ซึ่งรวมถึงสตริงต่อไปนี้:
- เทียบกับ
- sql
- memtas
- เมป็อก
- โซฟอส
- วีม
- สำรอง
- พัลส์เวย์
- ล็อกมี
- ล็อกเมน
- เชื่อมต่อ
- สแปลชท็อป
- คาเซยะ
แรนซัมแวร์ก่อนจะขโมยไฟล์ของเป้าหมายและอัปโหลดไปยังเซิร์ฟเวอร์ของตน จุดเด่นของ Ragnar Locker คือไม่เพียงแค่เข้ารหัสไฟล์เท่านั้น แต่ยังคุกคามเหยื่อด้วยว่าข้อมูลจะถูกเปิดเผยต่อสาธารณะหากยังไม่มีการจ่ายเงินค่าไถ่ เช่น กรณีที่มี EDP ด้วย EDP ผู้โจมตีขู่ว่าจะปล่อยข้อมูลที่ถูกขโมยมา 10TB ซึ่งอาจเป็นหนึ่งในการรั่วไหลของข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ ผู้โจมตีอ้างว่าพันธมิตร ลูกค้า และคู่แข่งทั้งหมดจะได้รับแจ้งการละเมิด และข้อมูลรั่วไหลจะถูกส่งไปยังแหล่งข่าวและสื่อเพื่อการบริโภคสาธารณะ แม้ว่าโฆษกของ EDP ได้ประกาศว่าการโจมตีไม่ได้ส่งผลกระทบต่อบริการด้านพลังงานและโครงสร้างพื้นฐานของสาธารณูปโภค แต่การละเมิดข้อมูลที่ปรากฏเป็นสิ่งที่พวกเขากังวล
การปิดใช้งานบริการและกระบวนการยุติเป็นกลวิธีทั่วไปที่มัลแวร์ใช้เพื่อปิดใช้งานโปรแกรมความปลอดภัย ระบบสำรองข้อมูล ฐานข้อมูล และเมลเซิร์ฟเวอร์ เมื่อโปรแกรมเหล่านี้ถูกยกเลิก ข้อมูลของโปรแกรมจะถูกเข้ารหัส
เมื่อเปิดตัวครั้งแรก Ragnar Locker จะสแกนการตั้งค่าภาษาของ Windows ที่กำหนดค่าไว้ หากค่ากำหนดภาษาเป็นภาษาอังกฤษ มัลแวร์จะดำเนินการในขั้นตอนต่อไป แต่ถ้า Ragnar Locker ตรวจพบว่าภาษานั้นถูกกำหนดให้เป็นหนึ่งในประเทศที่เคยอยู่ในสหภาพโซเวียต มัลแวร์จะยุติกระบวนการและจะไม่ทำการเข้ารหัสคอมพิวเตอร์
Ragnar Locker ประนีประนอมเครื่องมือความปลอดภัยของ MSP ก่อนที่จะสามารถบล็อก ransomware ไม่ให้ถูกดำเนินการ เมื่อเข้าไปข้างในแล้ว มัลแวร์จะเริ่มกระบวนการเข้ารหัส ใช้คีย์ RSA-2048 ที่ฝังไว้เพื่อเข้ารหัสไฟล์สำคัญ
Ragnar Locker ไม่ได้เข้ารหัสไฟล์ทั้งหมด มันจะข้ามบางโฟลเดอร์ ชื่อไฟล์ และนามสกุล เช่น:
- kernel32.dll
- หน้าต่าง
- Windows.old
- ทอร์เบราว์เซอร์
- Internet Explorer
- โอเปร่า
- ซอฟต์แวร์โอเปร่า
- มอซิลลา
- Mozilla Firefox
- $Recycle.Bin
- ข้อมูลโปรแกรม
- ผู้ใช้ทั้งหมด
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- bootmgr
- bootmgr.efi
- bootmgfw.efi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- .sys
- .dll
- .lnk
- .msi
- .drv
- .exe
นอกเหนือจากการเพิ่มนามสกุลไฟล์ใหม่ให้กับไฟล์ที่เข้ารหัสแล้ว Ragnar Locker ยังเพิ่มตัวทำเครื่องหมายไฟล์ 'RAGNAR' ที่ส่วนท้ายของไฟล์ที่เข้ารหัสทุกไฟล์
จากนั้น Ragnar Locker จะส่งข้อความเรียกค่าไถ่ชื่อ '.RGNR_[ส่วนขยาย].txt' ที่มีรายละเอียดเกี่ยวกับจำนวนเงินค่าไถ่ ที่อยู่การชำระเงิน bitcoin รหัสแชท TOX ที่จะใช้เพื่อสื่อสารกับผู้โจมตี และที่อยู่อีเมลสำรองหากมี ปัญหาเกี่ยวกับ TOX ต่างจากแรนซัมแวร์อื่น ๆ Ragnar Locker ไม่มีค่าไถ่ที่แน่นอน แตกต่างกันไปตามเป้าหมายและคำนวณเป็นรายบุคคล ในรายงานบางฉบับ จำนวนเงินค่าไถ่อาจแตกต่างกันระหว่าง $200,000 ถึง $600,000 ในกรณีของ EDP ค่าไถ่ที่ถามคือ 1,580 bitcoin หรือ 11 ล้านดอลลาร์
วิธีการลบ Ragnar Locker
หากคอมพิวเตอร์ของคุณโชคไม่ดีที่ติด Ragnar Locker สิ่งแรกที่คุณต้องทำคือตรวจสอบว่าไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสหรือไม่ คุณต้องตรวจสอบว่าไฟล์สำรองของคุณได้รับการเข้ารหัสด้วยหรือไม่ การโจมตีในลักษณะนี้เน้นย้ำถึงความสำคัญของการสำรองข้อมูลสำคัญของคุณ เพราะอย่างน้อย คุณจะไม่ต้องกังวลว่าจะไม่สามารถเข้าถึงไฟล์ของคุณได้
อย่าพยายามจ่ายค่าไถ่เพราะมันจะไร้ประโยชน์ ไม่มีการรับประกันว่าผู้โจมตีจะส่งคีย์ถอดรหัสที่ถูกต้องและไฟล์ของคุณจะไม่มีวันรั่วไหลสู่สาธารณะ มีความเป็นไปได้สูงที่ผู้โจมตีจะรีดไถเงินจากคุณต่อไป เพราะพวกเขารู้ว่าคุณยินดีจ่าย
สิ่งที่คุณสามารถทำได้คือลบแรนซัมแวร์ออกจากคอมพิวเตอร์ของคุณก่อนก่อนที่จะพยายามถอดรหัส คุณสามารถใช้แอปป้องกันไวรัสหรือโปรแกรมป้องกันมัลแวร์เพื่อสแกนหามัลแวร์ในคอมพิวเตอร์และปฏิบัติตามคำแนะนำเพื่อลบภัยคุกคามที่ตรวจพบทั้งหมด ถัดไป ถอนการติดตั้งแอปหรือส่วนขยายที่น่าสงสัยที่อาจเกี่ยวข้องกับมัลแวร์
สุดท้าย ให้มองหาเครื่องมือถอดรหัสที่ตรงกับ Ragnar Locker มีตัวถอดรหัสลับหลายตัวที่ได้รับการออกแบบมาสำหรับไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ แต่คุณควรตรวจสอบผู้ผลิตซอฟต์แวร์ความปลอดภัยของคุณก่อนว่ามีซอฟต์แวร์ดังกล่าวหรือไม่ ตัวอย่างเช่น Avast และ Kaspersky มีเครื่องมือถอดรหัสของตัวเองที่ผู้ใช้สามารถใช้ได้ นี่คือรายการเครื่องมือถอดรหัสอื่นๆ ที่คุณสามารถลองใช้ได้
วิธีป้องกันตัวเองจาก Ragnar Locker
แรนซัมแวร์อาจสร้างปัญหาได้ โดยเฉพาะอย่างยิ่งหากไม่มีเครื่องมือถอดรหัสที่มีอยู่ซึ่งสามารถเลิกทำการเข้ารหัสที่ทำโดยมัลแวร์ได้ เพื่อปกป้องอุปกรณ์ของคุณจากแรนซัมแวร์ โดยเฉพาะอย่างยิ่ง Ragnar Locker นี่คือเคล็ดลับบางส่วนที่คุณต้องจำไว้:
- ใช้นโยบายรหัสผ่านที่รัดกุม โดยใช้การตรวจสอบสิทธิ์แบบสองปัจจัยหรือหลายปัจจัย (MFA) หากเป็นไปได้ หากไม่สามารถทำได้ ให้สร้างรหัสผ่านแบบสุ่มและไม่ซ้ำกันซึ่งยากต่อการคาดเดา
- อย่าลืมล็อกคอมพิวเตอร์เมื่อออกจากโต๊ะทำงาน ไม่ว่าคุณจะออกไปรับประทานอาหารกลางวัน พักระยะสั้น ๆ หรือเพียงแค่ไปเข้าห้องน้ำ ให้ล็อกคอมพิวเตอร์ของคุณเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- สร้างแผนสำรองและกู้คืนข้อมูล โดยเฉพาะอย่างยิ่งสำหรับข้อมูลสำคัญบนคอมพิวเตอร์ของคุณ จัดเก็บข้อมูลที่สำคัญที่สุดที่เก็บไว้นอกเครือข่ายหรือบนอุปกรณ์ภายนอก ถ้าเป็นไปได้ ทดสอบข้อมูลสำรองเหล่านี้เป็นประจำเพื่อให้แน่ใจว่าทำงานได้อย่างถูกต้องในกรณีที่เกิดวิกฤตจริง
- ทำให้ระบบของคุณได้รับการอัปเดตและติดตั้งด้วยแพตช์ความปลอดภัยล่าสุด แรนซัมแวร์มักจะหาช่องโหว่ในระบบของคุณ ดังนั้นตรวจสอบให้แน่ใจว่าความปลอดภัยของอุปกรณ์ของคุณแน่นหนา
- ระวังพาหะทั่วไปของฟิชชิ่ง ซึ่งเป็นวิธีการแจกจ่ายแรนซัมแวร์ที่พบบ่อยที่สุด อย่าคลิกลิงก์แบบสุ่มและสแกนไฟล์แนบอีเมลทุกครั้งก่อนดาวน์โหลดลงในคอมพิวเตอร์ของคุณ
- ติดตั้งซอฟต์แวร์ความปลอดภัยที่แข็งแกร่งบนอุปกรณ์ของคุณและอัปเดตฐานข้อมูลด้วยภัยคุกคามล่าสุด
