มีการโจมตี ransomware เพิ่มขึ้นในช่วงครึ่งแรกของปี 2020 ในขณะที่ผู้คนยังคงทำงานจากที่บ้านเนื่องจากการระบาดของ CoViD-19 อาชญากรไซเบอร์กำลังใช้นวัตกรรมเทคโนโลยีที่เพิ่มขึ้นเพื่อประโยชน์ของพวกเขาและใช้ความสามารถในการทำลายล้างมากขึ้น หนึ่งในความสามารถในการเข้าถึงคอมพิวเตอร์ที่อันตรายถึงตายคือ Ambrosia Ransomware
Ambrosia Ransomware คืออะไร
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระบุว่ามัลแวร์ Ambrosia เป็นเอนทิตีแรนซัมแวร์ นักวิจัยด้านความปลอดภัยทางไซเบอร์ Xiaopao ค้นพบแรนซัมแวร์ Ambrosia ครั้งแรกในเดือนสิงหาคม 2020 พวกเขาระบุว่า Ambrosia เป็นของตระกูล Scarab ransomware ตระกูล Scarab ปรากฏตัวครั้งแรกในปี 2560 และตอนนี้ได้เปิดตัวแรนซัมแวร์หลายรุ่นในปี 2020 รวมถึง Ambrosia
Ambrosia Ransomware ทำอะไรได้บ้าง
แรนซัมแวร์ของ Ambrosia มุ่งเป้าไปที่ไฟล์สำคัญในระบบพีซีของผู้ใช้ เข้ารหัสไฟล์ เปลี่ยนชื่อไฟล์ และทิ้งโน้ตเรียกร้องให้เรียกค่าไถ่ จดหมายเรียกค่าไถ่จะแจ้งให้เหยื่อทราบถึงไฟล์ที่เข้ารหัสและขอให้พวกเขาจ่ายค่าไถ่เพื่อให้สามารถเข้าถึงไฟล์ได้
ไฟล์ที่แรนซัมแวร์ Ambrosia กำหนดเป้าหมาย ได้แก่:
- รูปภาพ/ภาพถ่าย (.jpg)
- เพลง (ดนตรี)
- วิดีโอ
- ฐานข้อมูล
- เอกสารสำคัญ เช่น .doc, .pdf, .Xls, .mpg หรือ zip
- เอกสารสำคัญ
หมายเหตุ :กำหนดเป้าหมายไฟล์ที่ใช้กันทั่วไปเหล่านี้เพื่อเพิ่มความเสียหายให้กับผู้ใช้สูงสุด
แรนซัมแวร์ของ Ambrosia เข้ารหัสไฟล์และแก้ไขชื่อไฟล์โดยเพิ่มนามสกุลไฟล์ .ambrosia เพื่อให้แน่ใจว่าผู้ที่ตกเป็นเหยื่อไม่สามารถเปิดไฟล์ได้ ในขณะที่ ransomware อื่น ๆ ต่อท้ายส่วนขยายของไฟล์ที่เข้ารหัสเท่านั้น Ambrosia จะแทนที่ชื่อทั้งหมดด้วยสตริงแบบสุ่มแล้วผนวกนามสกุล .ambrosia
ตัวอย่างเช่น หลังจากแก้ไขแล้ว จะเปลี่ยนชื่อไฟล์เช่น “1.jpg” เป็น “2g0000000000p0zw9VkBVWnK5dMRu2hk8.ambrosia” ซึ่งจะบล็อกผู้ใช้จากการจดจำข้อมูลของตน
หลังจากการเข้ารหัส Ambrosia ทิ้งหมายเหตุเรียกค่าไถ่ใน HOW TO RECOVER ENCRYPTED FILES.txt บันทึกย่อขอให้เหยื่อติดต่อการโจมตีทางอีเมล – [email protected] หรือ [email protected] นอกจากนี้ บันทึกย่อขอให้เหยื่อจ่ายค่าไถ่เป็น Bitcoin เพื่อกู้คืนไฟล์ที่เข้ารหัส
เราไม่สนับสนุนให้ติดต่อผู้โจมตีหรือจ่ายค่าไถ่ คุณไม่แน่ใจว่าเครื่องมือถอดรหัสจะใช้งานได้หรือไม่ หรือผู้โจมตีจะวางมัลแวร์เพิ่มเติมในพีซีของคุณ
Ambrosia Ransomware เข้ามาในคอมพิวเตอร์ของฉันได้อย่างไร
อาชญากรไซเบอร์ได้สร้างวิธีการมากมายในการรับเอนทิตีมัลแวร์ที่พวกเขาสร้างขึ้นในระบบพีซี พวกเขายังพบกลยุทธ์การกระจายที่หลากหลายเพื่อให้การติดมัลแวร์แพร่กระจายไปยังเหยื่อให้ได้มากที่สุด นักวิจัยระบุว่าแรนซัมแวร์ Ambrosia แพร่กระจายในรูปแบบต่างๆ เช่น:
- ไฟล์แนบอีเมลสแปมที่เป็นอันตรายและไฮเปอร์ลิงก์ที่ฝังไว้
- การติดตั้งพร้อมกับแชร์แวร์และฟรีแวร์
- โปรแกรมติดตั้งซอฟต์แวร์และซอฟต์แวร์ละเมิดลิขสิทธิ์ (ฟรี)
- อีเมลสแปมพร้อมไฟล์แนบที่เป็นอันตรายและไฮเปอร์ลิงก์ที่ฝังไว้
- การเชื่อมต่อเดสก์ท็อประยะไกลที่ไม่มีการป้องกัน (RDP)
- ใช้ประโยชน์จากชุดเครื่องมือและช่องโหว่ของซอฟต์แวร์
- การแจ้งเตือนการติดไวรัสปลอมหรือการอัปเดต Flash Player
วิธีการลบ Ambrosia Ransomware
คุณต้องลบ Ambrosia ransomware ทันทีที่คุณพบมันบนพีซีหรือระบบของคุณ หากปล่อยไว้บนระบบ Ambrosia สามารถ:
- ติดตั้งมัลแวร์รูปแบบอื่นๆ
- ติดตั้งโปรแกรมขโมยข้อมูลอื่นๆ บนเบราว์เซอร์ของคุณ
- เข้ารหัสไฟล์ใหม่อื่นๆ หรือไฟล์ที่กู้คืน
นี่คือคำแนะนำในการเอา Ambrosia ransomware ออก:
โซลูชัน #1:สแกนระบบของคุณโดยใช้เครื่องมือป้องกันมัลแวร์ระดับมืออาชีพ
แรนซัมแวร์ของ Ambrosia ใช้อัลกอริธึมการเข้ารหัสข้อมูลที่แข็งแกร่งซึ่งอยู่นอกเหนือการทำงานของซอฟต์แวร์ป้องกันไวรัสทั่วไป
ใช้โปรแกรมป้องกันมัลแวร์แบบมืออาชีพเพื่อทำการสแกนทั้งระบบบนพีซีของคุณ ตรวจสอบให้แน่ใจว่าโปรแกรมป้องกันมัลแวร์มีความสามารถต่อต้านแรนซัมแวร์เพื่อให้สามารถลบแรนซัมแวร์ของ Ambrosia ได้
เนื่องจาก Ambrosia ransomware ใช้อัลกอริธึมการเข้ารหัสข้อมูลที่แข็งแกร่ง การป้องกันมัลแวร์จึงไม่ใช่วิธีแก้ปัญหาที่แน่นอน หากคุณโชคดี โปรแกรมป้องกันมัลแวร์จะระบุและลบแรนซัมแวร์ Ambrosia และมัลแวร์อื่นๆ ที่อยู่บนพีซี
วิธีแก้ปัญหา #2:ลบ Ambrosia ransomware โดยใช้ Safe Mode with Networking
ในการบูตพีซีของคุณในเซฟโหมดด้วยการเชื่อมต่อเครือข่าย (ตรวจสอบให้แน่ใจว่าคุณมีการเชื่อมต่อเครือข่ายที่แรง):
- กดปุ่มเปิด/ปิดที่หน้าจอเข้าสู่ระบบ Windows
- กดปุ่ม Shift ค้างไว้> แล้วคลิกรีสตาร์ท
- เลือกแก้ไข> ตัวเลือกขั้นสูง> การตั้งค่าเริ่มต้น
- กดรีสตาร์ท
- ในหน้าต่างการตั้งค่าเริ่มต้น ให้เลือกเปิดใช้งาน Safe Mode with Networking (รายการที่ห้าในรายการ)
เมื่ออยู่ในเซฟโหมด คุณสามารถค้นหาและลบแรนซัมแวร์ Ambrosia บนแอปที่ติดตั้งของคุณ
วิธีแก้ปัญหา #3:ลบ Ambrosia Ransomware โดยใช้ “System Restore”
ขอแนะนำให้ใช้ System restore ร่วมกับ Safe Mode with Networking
- เมื่อ Windows เริ่มทำงาน ให้กด F8 อย่างต่อเนื่องจนกว่าคุณจะเห็นเมนู "ตัวเลือกขั้นสูง"
- จากรายการให้เลือก 'Safe Mode with Command Prompt' จากนั้นกด Enter
- ในหน้าต่างพรอมต์คำสั่ง ให้พิมพ์ cd restore> และกด Enter
- อีกครั้ง พิมพ์ rstrui.exe> และกด Enter
- ในหน้าต่างใหม่ ให้คลิกถัดไป และเลือกจุดคืนค่า Windows ของคุณก่อนการแทรกซึมของ Ambrosia จากนั้นคลิกถัดไป
- หลังจากดำเนินการแล้ว ให้คลิกใช่เพื่อกู้คืน
เมื่อคุณกู้คืน PC เป็นการทำงานก่อนหน้านี้แล้ว ให้ดาวน์โหลดเครื่องมือป้องกันมัลแวร์ระดับมืออาชีพ และทำการสแกนระบบทั้งหมดเพื่อลบไฟล์ Ambrosia Ransomware ที่เหลืออยู่ในพีซีของคุณ
วิธีแก้ปัญหา #4:ใช้เครื่องมือของบุคคลที่สามที่มีคุณภาพเพื่อกู้คืน (กู้คืน) ไฟล์
ใช้เครื่องมือการกู้คืนข้อมูลที่มีคุณภาพของบริษัทอื่นเพื่อกู้คืนและกู้คืนข้อมูลที่เข้ารหัส .ambrosia คุณจะทำการสแกนระบบทั้งหมดและสั่งให้เครื่องมือกู้คืนไฟล์ที่เข้ารหัสทั้งหมด ทั้งนี้ขึ้นอยู่กับเครื่องมือของบุคคลที่สามที่คุณเลือก
เครื่องมือกู้คืนข้อมูลจะกู้คืนข้อมูลของคุณ ล้างข้อมูล และกลับสู่การทำงานปกติก่อนการโจมตีของ Ambrosia ransomware
สรุป
เราเชื่อว่าคู่มือนี้มีความลึกซึ้งในการทำความเข้าใจและลบแรนซัมแวร์ของ Ambrosia แม้ว่าการโจมตีของแรนซัมแวร์ส่วนใหญ่จะเกิดขึ้นโดยไม่มีการเตือนล่วงหน้า แต่บางกรณีสามารถหลีกเลี่ยงได้ด้วยการปกป้องคอมพิวเตอร์ของคุณ
เพื่อปกป้องพีซีของคุณ ตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งโปรแกรมป้องกันมัลแวร์ที่ทรงพลังในพีซีของคุณ นอกจากนี้ อย่าเปิดไฟล์แนบหรือลิงก์อีเมลที่เป็นอันตราย หลีกเลี่ยงซอฟต์แวร์ฟรีแวร์และละเมิดลิขสิทธิ์ และใช้รหัสผ่านที่รัดกุมเพื่อให้พีซีของคุณปลอดภัย