ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ແຈ້ງເຕືອນ Aurora / Zorro Ransomware ກຳ​ລັງ​ແຜ່​ກະ​ຈາຍ​ຢ່າງ​ຕໍ່​ເນື່ອງ

            Aurora Ransomware ​ມີ​ການ​ກະ​ຈາຍ​ຕັ້ງ​ແຕ່​ຊ່ວງ​ປະມານກາງປີ 2018 ແລະ ກັບ​ມາ​ປາກົດ​ຕົວຂຶ້ນ​ອີກ​ເທື່ອໜຶ່ງໃນ​ຮູບ​ແບບ​ສາຍ​ພັນ​ໃໝ່​ຮຽກວ່າ Zorro Ransomware ປັດຈຸບັນ​ຍັງ​ບໍ່ຊັດເຈນເທື່ອ​ວ່າ Ransomware ນີ້​ຈະມີ​ການ​ກະ​ຈາຍ​ແນວໃດ ແຕ່ມີ​ຂໍ້​ບົ່ງ​ບອກວ່າ ​ອາດ​ຖືກ​ຕິດ​ຕັ້ງ​ໂດຍ​ການ​ແຮັກ​ເຂົ້າ​ສູ່​ຄອມພິວເຕີ​ທີ່​ໃຊ້ Remote Desktop Service ແລະ ຄອມພິວເຕີ​ທີ່​ມີ​ການ​ເປີດ​ໃຫ້​ເຂົ້າ​ເຖິງ​ຈາກ Internet ຊຶ່ງ​ແຮັກ​ເກີ​​ຈະ​ສຸ່ມ​ລະ​ຫັດ​ຜ່ານ​ໃນບັນ​ຊີ RDP ເພື່ອ​ເຂົ້າ​ເຖິງ​ຄອມພິວເຕີ ​ແລະ ​ຕິດ​ຕັ້ງ Ransomware ລົງ​ໃນຄອມພິວເຕີ.

          ຂ່າວ​ດີ​ກໍ​ຄື Michael Gillespie ແລະ Francesco Muroni ໄດ້​ຄົ້ນ​ພົບ​ວິທີ​ຖອດ​ລະ​ຫັດ Ransomware ຕົວ​ນີ້​ແລ້ວ. ຈາກ​ການ​ກວດ​ສອບ wallet ທີ່​ຖືກ​ໃຊ້​ໃນ​ການ​ຈ່າຍ​ເງິນ ປັດ​ຈຸ​ບັນ​ມີການ​ທຸລະ​ກຳ 105 ລາຍ​ການ ຕັ້ງ​ແຕ່​ທ້າຍເດືອນ​ກັນຍາ ໂດຍ​ໄດ້​ເງິນ​ໄປ 2.7 bitcoins ຊຶ່ງ​ເທົ່າ​ກັບ 12,000 $.

          ເມື່ອ​ຕິດ​ຕັ້ງ Ransomware ແລ້ວ ຈະ​ເຊື່ອມ​ຕໍ່​ກັບ​ເ​ຊິ​​ເວີຄຳ​ສັ່ງ (C&C) ເພື່ອ​ຮັບ​ຂໍ້​ມູນ​ ແລະ​ ໃຊ້​ໃນ​ການ​ເຂົ້າ​ລະຫັດ​ໄຟ​ລ໌ຂ​ອງ​ເຫຍື່ອ ຈາກ​ນັ້ນ​ຈະ​ເຊື່ອມ​ຕໍ່​ກັບ http://www.geoplugin[.]net/php.gp ເພື່ອ​ລະ​ບຸ​ວ່າ​ເຫຍື່ອ​ຢູ່ໃນ​ປະເທດ​ໃດ​ໄດ້ດ້ວຍ​ຈາກ IP ພ້ອມ​ນີ້​ຍັງມີ​ການຄົ້ນ​ພົບ​ຄຳ​ວ່າ "Russia" ໃນ​ໄຟ​ລ໌​ທີ່​ໃຊ້​ຣັນ ຈຶ່ງ​ມີ​ການ​ຄາດ​ກາ​ນ​ວ່າ Ransomware ນີ້​ຈະ​ບໍ່​ເຂົ້າ​ລະ​ຫັດ​ເຫຍື່ອ​ທີ່​ຢູ່ໃນ​ປະເທດ​ຣັດ​ເຊຍ ເມື່ອ​ມີ​ການ​ຣັນ​ໄຟ​ລ໌​ແລ້ວ​ຈະ​ສະ​ແກນ​ຄອມພິວເຕີ​ເພື່ອ​ຫາ​ຊະນິດ​ຂອງ​ໄຟ​ລ໌ທີ່​ເປັນ​ເປົ້າ​ໝາຍ ແລະ​ ທຳການ​ເຂົ້າ​ລະຫັດ ເມື່ອ​​ເຂົ້າ​ລະ​ຫັດ​ແລ້ວ​ຈະ​ເພີ່ມ​ນາມ​ສ​ະກຸນ​ໄຟ​ລ໌ .aurora ຕໍ່​ທ້າຍ ແລະ​ ສ້າງ​ໃບ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ແຕ່​ລະ​ໂຟນ​ເດີ​ທີ່​ເຂົ້າ​ລະຫັດ ເພື່ອ​ບອກ​ຄຳ​ແນະ​ນຳ ແລະ ​ວິທີ​ຈ່າຍ​ຄ່າ​ໄຖ່. ສຸດ​ທ້າຍ Ransomware ຈະ​ສ້າງ​ໄຟ​ລ໌ %UserProfile%wall.i ຊຶ່ງ​ເປັນ​ໄຟ​ລ໌ jpg ແລະ ​ຕັ້ງ​ເປັນ​ພາບ​ພື້ນ​ຫຼັງ Desktop ໃນ​ພາບ​ມີ​ຄຳ​ແນະ​ນຳ​ເພື່ອ​ໃຫ້​ເຫຍື່ອ​ຮູ້​ວ່າ​ຕ້ອງ​ໄປ​ເປີດອ່ານ​ໃບ​ຮຽກ​ຄ່າ​ໄຖ່​ຈາກ​ໃສ.

ວິທີ​ປ້ອງ​ກັນ​ຈາກ Aurora/Zorro Ransomware

          ການ​ຮຽກ​ຄ່າ​ໄຖ່​ອື່ນ​ໆ ຄື​ການ​ຕິດ​ຕັ້ງ​ຊອບ​ແວ​ປ້ອງ​ກັນ​ຄວາມ​ປອດ​ໄພ​ໃນ​ເຄື່ອງຄອມພິວເຕີ ແລະ​ ຄວນ​ມີ​ການ​ສຳ​ຮອງ​ຂໍ້​ມູນ​ຢ່າງ​ສ​ະໝ່ຳ​ສະເໝີ ນອກ​ຈາກ​ນີ້ ransomware ສ່ວນ​ຫລາຍ ຈະ​ໄດ້ຮັບ​ການ​ຕິດ​ຕັ້ງ​ຜ່ານ​ບໍລິການ Remote Desktop ຈຶ່ງ​ຄວນ​ເປີດ​ໃຊ້ Remote Desktop ເທົ່າ​ທີ່​ຈຳ​ເປັນ​ເທົ່າ​ນັ້ນ ລວມ​ເຖິງ​ການ​ກວດ​ສອບ​ໃຫ້​ແນ່​ໃຈ​ວ່າ​ບໍ່​ມີ​ຄອມພິວເຕີ​ທີ່​ໃຊ້​ບໍລິການ Remote Desktop ເຊື່ອມ​ຕໍ່​ກັບ​ອິນ​ເຕີ​ເນັດ​ໂດຍ​ກົງ ຫາກ​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ການ Remote ຄວນ​ຈະ​ຕໍ່ VPN ກ່ອນ ເພື່ອ​ໃຫ້​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້​ສະເພາະ​ກັບ​ຜູ້​ທີ່​ມີ​ບັນ​ຊີ VPN ໃນ​ເຄືອ​ຂ່າຍ​ຂອງ​ທ່ານ​ເທົ່າ​ນັ້ນ ນອກ​ຈາກ​ນີ້​ ບໍ່​ຄວນ​ເປີດ​ໄຟ​ລ໌​​ທີ່ຄັດຕິດ​ມາ​ຈາກ​ບຸກ​ຄົນ​ທີ່​ບໍ່​ໜ້າ​ເຊື່ອ​ຖື ແລະ ​ໝັ່ນ​ອັບ​ເດດ​ໂປຣ​ແກຣມ​ຮັກສາ​ຄວາມ​ປອດ​ໄພ​ ລວມທັງ​ໂປຣ​ແກຣມ​ອື່ນ​ໆ ທີ່​ມີ​ການ​ໃຊ້​ງານ​ໃຫ້​ໃໝ່​ຢູ່​ສະເໝີ.

ເອກະສານອ້າງອີງ:

  1. https://www.facebook.com/187949347882491/posts/2226644934012912/
  2. https://www.bleepingcomputer.com/news/security/aurora-zorro-ransomware-actively-being-distributed/