ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ເຕືອນ​ໄພ​ມັລແວ CTB Locker ລະ​ບາດ​ໜັກ​ທົ່ວ​ໂລກ ເອີ້ນຄ່າ​ໄຖ່​ຜູ້​ໃຊ້​ງານ​ໃນ​ການ​ກູ້​ໄຟລ໌​ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ລັບ 

News Images: ctb_locker.png

ຈາກ​ຂໍ້​ມູນ​ຮູ້ວ່າ​ຜູ້​ບໍ່​ປະສົງ​ດີໄດ້ສົ່ງ​ອີ​ເມວພ້ອມ​ແນບ​ໄຟລ໌​ມາຍັງ​ຜູ້​ໃຊ້​ງານ​ໃນ​ຫນ່ວຍ​ງານ ເມື່ອ​ຜູ້​ໃຊ້​ງານ​ຄລິກ​ເປີດ​ໄຟລ໌​ດັ່ງ​ກ່າວ​ຈຶ່ງ​ເຮັດໃຫ້​ເກີດ​ການ​ຕິດ​ມັລ​ແວ​ທັນ​ທີ ຊື່​ເຕັມ​ຂອງ​ມັລແວ​ຕົວ​ດັ່ງ​ກ່າວ​ຄື Curve-Tor-Bitcoin Locker ເປັນມັລແວປະ​ເພດ Ransomware ມີ​ຈຸດປະສົງ​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ໄຟລ໌​ເອກະສານ​ປະ​ເພດ​ຕ່າງໆ ເທິງ​ເຄື່ອງ​ຄອມພິວເຕີ​ທີ່​ຕິດ​ມັລແວ ລວມ​ເຖິງ​ເອກະສານ​ທີ່​ແຊລ໌​ຜ່ານ​ເຄືອ​ຂ່າຍ ​ແລະ ​ຈາກ​ອຸປະກອນ External Drive ທີ່​ສຽບ​ຢູ່​ກັບ​ເຄື່ອງ​ຄອມພິວເຕີ ເຊັ່ນ .pdf, .xls, .ppt, .txt, .py, .wb2, .jpg, .odb, .dbf, .md, .js, .pl, .doc ເປັນ​ຕົ້ນ ແລະ​ ຈະ​ພົບ​ໜ້າ​ຕ່າງ​ສະແດງ​ຂໍ້​ມູນ​ຂອງ​ການ​ເອີ້ນ​ຄ່າ​ໄຖ່​ກັບ​ຜູ້​ໃຊ້​ງານ​ທີ່​ເປັນ​ເຈົ້າ​ຂອງ​ໄຟລ໌​ດັ່ງ​ກ່າວ ໃນ​ການ​ຖອດລະ​ຫັດ​ລັບ​ໄຟລ໌​ຂໍ້​ມູນ​ທັງ​ໝົດ​ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ໄວ້ ເຈົ້າ​ຂອງ​ໄຟລ໌​ຈະ​ຕ້ອງ​ເສຍ​ເງິນ​ເປັນ​ຈຳນວນ​ປະ​ມານ 630 ໂດ​ລາ​ສະ​ຫະລັດ (ຄິດ​ເປັນ​ເງິນ​ກີບ​ປະ​ມານ 5,000,000 ກວ່າ ກີບ) ຈ່າຍ​ໃຫ້​ກັບ​ຜູ້​ບໍ່​ປະສົງ​ດີ ໂດຍ​ມີ​ເງື່ອນໄຂ​ວ່າ​ຕ້ອງ​ຊຳ​ລະ​ດ້ວຍ​ສະ​ກຸນ​ເງີນອີເລັກໂທນິກຊື່ Bitcoin (ເນື່ອງ​ຈາກ​ຜູ້​ບໍ່​ປະສົງ​ດີ​ຕ້ອງ​ການ​ບໍ່​ໃຫ້​ສາມາດ​ມີ​ການ​ກວດ​ສອບ​ແຫຼ່ງ​ທີ່​ມາ​ໄດ້​ໂດຍ​ງ່າຍ) ຈາກ​ນັ້ນ​ຜູ້​ບໍ່​ປະສົງ​ດີ​ຈຶ່ງ​ຈະ​ສົ່ງຊ໋ອບແວ ​ແລະ ​ກະ​ແຈ​ທີ່​ໃຊ້​ໃນ​ການຖອດລະ​ຫັດ​ລັບ​ໄຟລ໌​ກັບ​ມາ ແຕ່​ຢ່າງໃດ​ກໍ່​ຕາມ ຍັງ​ບໍ່​ມີ​ໃຜ​ສາມາດຮັບປະກັນ​ໄດ້​ວ່າ​ການ​ຈ່າຍ​ເງິນ​ໃຫ້​ຈະ​ເຮັດໃຫ້​ສາມາດ​ໄດ້​ຂໍ້​ມູນ​ກັບ​ຄືນ​ມາ​ໄດ້​ຈິງ​ຢ່າງ​ທີ່​ອ້າງ​ໄວ້​ ຫຼື ​ບໍ່

ໂດຍ​ມັລແວ CTB-Locker ທີ່​ພົບ​ການ​ແພ່​ລະ​ບາດ​ໃນ​ຊ່ວງ​ນີ້ ຖື​ເປັນ​ເວີ​ຊັ່ນ​ທີ 2 ຂອງ CTB-Locker ທີ່​ມີ​ຈຸດ​ສັງເກດ​ຄື​ມີ​ການ​ແປ​ເປັນ​ພາສາ​ຈຳນວນ 4 ພາສາ (ພາສາ​ຝຣັ່ງ, ພາສາ​ອີ​ຕາ​ລີ, ພາສາ​ເຢຍລະມັນ, ພາສາ​ອັງ​ກິດ) ມີ​ການ​ສະເໜີ​ໃຫ້​ຜູ້​ໃຊ້​ງານ​ສາມາດຖອດລະ​ຫັດ​ລັບ​ໄຟລ໌​ໄດ້ຟຣີ​ຈຳນວນ 5 ໄຟລ໌ ແລະ​ ມີ​ການ​ຂະຫຍາຍ​ເວລາ​ຂອງ​ການເອີ້ນ​ຄ່າ​ໄຖ່​ອອກ​ເປັນ 96 ມື້ ລວມ​ເຖິງ​ມີ​ການ​ເພີ່ມ​ຈຳນວນ​ເງິນ​ທີ່​ໃຊ້​ໃນ​ການ​ເອີ້ນຄ່າ​ໄຖ່​ຫຼາຍ​ຂຶ້ນ​ດ້ວຍ

ການ​ຕິດ​ມັລແວ CTB-Locker

News Images: ctb_locker1.png

ຮູບ​ທີ 1 ຂັ້ນ​ຕອນ​ການ​ຕິດ​ມັລ​ແວ CTB-Locker  [1]

News Images: ctb_locker2.png

ຮູບ​ທີ 2 ອ້າງ​ອີງ​ຕົວ​ຢ່າງ​ຂອງ​ອີ​ເມວ​ທີ່​ຖືກ​ໃຊ້​ສົ່ງ​ມັລແວ  [2]

ລັກສະນະ​ຂອງ​ການ​ຕິດ​ມັລ​ແວ​ທີ່​ໄດ້ຮັບ​ແຈ້ງ ສາມາດ​ອະທິບາຍ​ຕາມ​ຮູບ​ແບບ​ການ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ທີ 1 ເລີ່ມ​ຕົ້ນ​ຈາກ​ການ​ທີ່ເຫຍື່ອ​ໄດ້ຮັບ​ອີ​ເມວ​ຫຼອກລວງ​ທີ່​ມີ​ໄຟລ໌​ແນບ (ໄຟລ໌​ນາ​ມສະ​ກຸນ .zip) ຫຼັງ​ຈາກ​ທີ່​ເຫຍື່ອດາວ​ໂຫຼດ​ໄຟລ໌​ດັ່ງ​ກ່າວ​ ແລະ​ ສັ່ງ​ລັນ​ໄຟລ໌​ດ້ານ​ໃນ (ໄຟລ໌​ນາມສະ​ກຸນ .scr) ມັລແວຈຶ່ງ​ເລີ່ມ​ເຮັດວຽກ ແລະ​ ຈະ​ມີ​ການ​ສະແດງ​ເອກະສານ​ຕາມ​ຮູບ​ທີ 3 ຂຶ້ນ​ມາ ໃນ​ຂະນະ​ດຽວ​ກັນ​ຟັງ​ຊັ່ນ​ຂອງມັລ​ແວ​ຈະ​ຄົ້ນ​ຫາ​ໄຟລ໌​ເອກະສານ​ທັງ​ໝົດ​ທີ່​ຢູ່ໃນ​ເຄື່ອງ ເພື່ອ​ເຮັດການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ຂໍ້​ມູນເຮັດໃຫ້​ຜູ້​ໃຊ້​ງານ​ບໍ່​ສາມາດ​ອ່ານ ​ຫຼື​ ແກ້​ໄຂ​ໄຟລ໌​ເອກະສານ​ໄດ້ ໂດຍ​ຊ່ວງ​ເວລາ​ທີ່​ມັລແວເລີ່ມ​ເຮັດວຽກ​ໄປ​ຈົນ​ເຖິງ​ເຮັດການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ໄຟລ໌​ຂໍ້​ມູນ​ທັງ​ໝົດ​ທີ່​ເປີດ​ໄດ້​ຈາກ​ເຄື່ອງ​ຄອມພິວເຕີ​ຈະ​ຢູ່​ທີ່​ປະ​ມານ 8-10 ນາ​ທີ

News Images: ctb_locker3.png

ຮູບ​ທີ 3 ສະແດງ​ຕົວ​ຢ່າງ​ພາຍຫຼັງ​ຈາກ​ການ​ສັ່ງ​ລັນ​ໄຟລ໌​ມັລແວ ຊຶ່ງ​ພົບ​ວ່າ​ຄອມພິວເຕີ​ສັ່ງ​ເປີດ​ໄຟລ໌​ເອກະສານ​ໃນ​ຮູບ​ຂຶ້ນ​ມາ​ທັນ​ທີ

ຫຼງ​ຈາກ​ທີ່​ໄຟລ໌​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ​ແລ້ວ​ຈະ​ມີ​ຂໍ້ຄວາມ​ແຈ້ງ​ເຕືອນ​ປະກົດຂຶ້ນ ເພື່ອ​ຮຽກຮ້ອງ​ໃຫ້​ຈ່າຍ​ເງິນ​ເປັນ​ຈຳນວນ 3 BTC ຫຼື ​ປະ​ມານ 630 ໂດລາສະ​ຫະລັດ ພາຍ​ໃນ 96 ຊົ່ວ​ໂມງ​ແລກ​ກັບ​ກຸນ​ແຈ​ທີ່​ໃຊ້​ໃນ​ການ​ຖອດລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ​ຕາມ​ຮູບ​ທີ 4 ໂດຍ​ມີ​ການ​ສະເໜີ​ເລື່ອງ​ການ​ຖອດລະຫັດ​ລັບ​ໄຟລ໌​ຂໍ້​ມູນ​ໃຫ້​ຟຣີຈຳນວນ 5 ໄຟລ໌ ເພື່ອ​ເປັນ​ການ​ຢືນຢັນ​ວ່າ​ຫາກ​ມີ​ການ​ຈ່າຍ​ເງິນ​ມາຍັງ​ຜູ້​ບໍ່​ປະສົງ​ດີ​ແລ້ວ ໄຟລ໌​ທັງ​ໝົດ​ທີ່​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ໄວ້​ຈະ​ສາມາດ ຖອດລະຫັດ​ລັບ​ອອກ​ມາ​ຢູ່ໃນ​ຮູບ​ໄຟລ໌​ປົກກະຕິ​ໄດ້

News Images: ctb_locker4.png

ຮູບ​ທີ 4 ຂໍ້ຄວາມ​ທີ່​ມັລແວ​ແຈ້ງ​ເຕືອນ​ຫລັງ​ຈາກ​ທີ່​ໄຟລ໌​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ

ພຶດຕິກຳ​ການ​ເຊື່ອມ​ຕໍ່​ທາງ​ເຄືອ​ຂ່າຍ​ຂອງ CTB-Locker 

ຈາກ​ການ​ວິ​ເຄາະ​ການເຮັດວຽກ ຂອງ​ມັລ​ແວ ພົບ​ວ່າ​ມັລ​ແວ​ມີ​ລັກສະນະ​ການ​ເຊື່ອມ​ຕໍ່ໄປຫາ​ໂດ​ເມນ​ປາຍ​ທາງ​ຫຼາຍ​ບ່ອນ ຊຶ່ງ​ການປິດການ​ເຊື່ອມ​ຕໍ່​ກັບ​ໂດ​ເມນ​ດັ່ງ​ກ່າວ ອາດ​ເປັນ​ແນວ​ທາງ​ໜຶ່ງ​ໃນ​ການ​ຕັດ​ວົງ​ຈອນ​ຊີວິດ​ການ​ຕິດ​ມັລແວໃນ​ໜ່ວຍ​ງານ​ໄດ້ ໂດຍ​ມີ​ລາຍ​ລະອຽດ​ດັ່ງ​ຕໍ່ໄປ​ນີ້

 [ລາຍ​ການ​ໂດ​ເມນ​ເນມ​ຕ້ອງ​ສົງ​ໄສ]

breteau-photographe.com
jbmsystem.fr
maisondessources.com
pleiade.asso.fr
scolapedia.org
voigt-its.de

ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ 

ມັລແວດັ່ງ​ກ່າວ​ມີ​ວັດ​ຖຸ​ປະສົງ​ເພື່ອ​ເຮັດວຽກ​ເທິງ​ລະບົບ​ປະຕິບັດການ Windows ໂດຍ​ສະເພາະ ແລະ ​ເມື່ອ​ຄອມພິວເຕີ​ຖືກ​ຕິດ​ຕັ້ງ​ມັລແວ CTB Locker ແລ້ວ ມັລແວຈະ​ເຮັດການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ​ເຮັດໃຫ້​ບໍ່​ສາມາດ​ອ່ານ ຫຼື ​ແກ້​ໄຂ​ໄຟລ໌​ເອກະສານ​ໃນ​ເຄື່ອງ​ຂອງ​ຜູ້​ໃຊ້​ງານ ລວມ​ເຖິງ​ບໍ່​ສາມາດ​ກູ້​ໄຟລ໌​ຄືນ​ໄດ້​ເນື່ອງ​ຈາກ​ມັລແວມີ​ລັກສະນະ​ຂອງ​ການ​ພະຍາຍາມ​ອ່ານ​ຂຽນ​ໄຟລ໌​ທັບ​ໃນ​ພື້ນ​ທີ່​ເກົ່າຊ້ຳ​ກັນໄປມາ ຕາມ​ຮູບ​ທີ 5

News Images: ctb_locker5.png

ຮູບ​ທີ 5 ມັລແວ​ມີ​ຄວາມ​ພະຍາຍາມ​ໃນ​ການ​ອ່ານ​ຂໍ້​ມູນ​ຈາກ Directory ເທິງ Windows ແລະ​ ມີ​ການ​ຂຽນ​ໄຟລ໌​ຊ້ຳໆ ໃນ Temp

 

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ແກ້​ໄຂ​ ແລະ​ ປ້ອງ​ກັນ 

1. ແຍກ​ເຄື່ອງ​ຄອມພິວເຕີ​ທີ່​ຕິດ​ມັລແວອອກຈາກ​ລະບົບ ແລະ​ ບໍ່​ເຊື່ອມ​ຕໍ່ External Drive ກັບ​ເຄື່ອງ​ດັ່ງ​ກ່າວ

2. ສຳ​ຮອງ​ຂໍ້​ມູນ​ເທິງ​ເຄື່ອງ​ຄອມພິວເຕີ​ທີ່​ຕິດ​ມັລແວ​ອອກ​ມາ ພ້ອມ​ກັບ Public Key ທີ່​ສະແດງ​ຜົນ​ໄວ້​ເທິງ​ໜ້າ​ຈໍ ຕາມ​ຮູບ​ທີ 6 ຊຶ່ງ​ຂໍ້​ມູນ​ດັ່ງ​ກ່າວ​ສາມາດ​ໃຊ້​ເປັນ​ສ່ວນ​ປະກອບ​ໃນ​ການຖອດລະຫັດ​ລັບ​ໄຟລ໌​ຂໍ້​ມູນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ​ມັລແວ CTB-Locker ໃນ​ອະນາຄົດ​ໄດ້ ແຕ່​ການ​ຖອດລະ​ຫັດ​ລັບ​ໄຟລ໌​ຂໍ້​ມູນ​ໄດ້​ຈຳ​ເປັນ​ຕ້ອງ​ສາມາດ​ເຂົ້າ​ຄວບ​ຄຸມ​ເຄື່ອງ​ບໍລິການ​ຂອງ​ຜູ້​ບໍ່​ປະສົງ​ດີ​ກ່ອນ​ ແລະ​ ຈຶ່ງ​ນຳ​ຂໍ້​ມູນ Private Key ທີ່​ຈັບ​ຄູ່​ກົງ​ກັບ Public Key ດັ່ງ​ກ່າວ​ມາຖອດລະ​ຫັດ​ລັບ​ໄຟລ໌​ຂໍ້​ມູນ​ຕໍ່ໄປ

News Images: ctb_locker6.png

ຮູບ​ທີ 6 ສ່ວນ​ທີ່​ສະແດງ​ຂໍ້​ມູນ Public Key ທີ່​ສະແດງ​ເທິງ​ໜ້າ​ຈໍ ເມື່ອ​ມີ​ການ​ຕິດ​ມັລແວ CTB-Locker

3. ຫາກ​ມີ​ຄວາມ​ຕ້ອງ​ການ​ໃຊ້​ງານ​ຄອມພິວເຕີ​ນັ້ນ​ອີກ​ເທື່ອ ໃຫ້ Format ຂໍ້​ມູນ​ໃນ​ເຄື່ອງ ​ແລະ​ ຕິດ​ຕັ້ງ​ລະບົບ​ປະຕິບັດການ​ໃໝ່

4. ສຳ​ຮອງ​ຂໍ້​ມູນ​ເທິງ​ເຄື່ອງ​ຄອມພິວເຕີ​ທີ່​ໃຊ້​ງານ​ຢ່າ​ງສະໝ່ຳສະເໝີ ແລະ​ ຫາກ​ເປັນ​ໄປ​ໄດ້​ໃຫ້​ເກັບ​ຂໍ້​ມູນ​ໄດ້​ສຳ​ຮອງ​ໄວ້​ໃນ​ອຸປະກອນ​ທີ່​ບໍ່​ມີ​ການ​ເຊື່ອມ​ຕໍ່​ກັບ​ຄອມພິວເຕີ ​ຫຼື ລະບົບ​ເຄືອ​ຂ່າຍ​ອື່ນໆ

5. ຕິດ​ຕັ້ງ/ປັບປຸງ​ໂປຣ​ແກຣມ​ປ້ອງ​ກັນ​ໄວຣັສລວມ​ເຖິງ​ປັບປຸງ​ໂປຣ​ແກຣມ​ອື່ນໆ ໂດຍ​ສະເພາະ​ໂປ​ຣແກຣມ​ທີ່​ມັກ​ມີ​ບັນຫາ​ເລື່ອງ​ຊ່ອງ​ໂຫ່ວ​ຢູ່​ເລື້ອຍໆ ເຊັ່ນ Java ແລະ Adobe Reader ລວມ​ເຖິງ​ປັບປຸງ​ລະບົບ​ປະຕິບັດການ​ຢ່າ​ງສະໝ່ຳສະເໝີ

6. ບໍ່​ຄລິກລິ້ງ ​ຫຼື ​ເປີດ​ໄຟລ໌​ທີ່​ມາ​ພ້ອມ​ກັບ​ອີ​ເມວທີ່​ໜ້າ​ສົງ​ໄສ ຫາກ​ບໍ່​ໝັ່ນໃຈ​ວ່າ​ເປັນ​ອີ​ເມວ​ທີ່​ໜ້າ​ເຊື່ອ​ຖື​ ຫຼື ​ບໍ່ ໃຫ້​ສອບ​ຖາມ​ຈາກ​ຜູ້​ສົ່ງ​ໂດຍ​ກົງ

7. ຫາກ​ມີ​ການ​ແຊລ໌​ຂໍ້​ມູນ​ຮ່ວມ​ກັນ​ຜ່ານ​ລະບົບ​ເຄືອ​ຂ່າຍ ໃຫ້​ກວດ​ສອບ​ສິດ​ທິ​ໃນ​ການ​ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ແຕ່​ລະ​ສ່ວນ ແລະ​ກຳນົດ​ສິດ​ໃຫ້​ຜູ້​ໃຊ້​ມີ​ສິດ​ອ່ານ​ ຫຼື​ ແກ້​ໄຂ​ສະເພາະ​ໄຟລ໌​ທີ່​ມີ​ຄວາມ​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ສິດ​ທິ​ເຫລົ່າ​ນັ້ນ

8. ກໍ່ບັອກ ຫຼື ເຝົ້າ​ລະ​ວັງ​ການ​ເຊື່ອມ​ຕໍ່​ຈາກ​ເຄືອ​ຂ່າຍ​ຜູ້​ໃຊ້​ງານ​ພາຍ​ໃນ​ອອກ​ສູ່​ອິນເຕີ​ເນັດ​ຕາມ​ໂດ​ເມນ​ທີ່​ຢູ່ໃນ​ຫົວຂໍ້  ພຶດຕິກຳ​ການ​ເຊື່ອມ​ຕໍ່​ທາງ​ເຄືອ​ຂ່າຍ​ຂອງ CTB-Locker ຊຶ່ງ​ຫາກ​ສາມາດປິດການ​ເຊື່ອມ​ຕໍ່​ກັບ​ໂດ​ເມນ​ເຫຼົ່າ​ນີ້ ເທົ່າ​ກັບ​ເປັນ​ການ​ຕັດ​ວົງ​ຈົນ​ການເຮັດວຽກງານ​ຂອງ​ມັລແວໄດ້

ອ້າງ​ອີງ

  1. http://blog.trendmicro.com/trendlabs-security-intelligence
  2. https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/25000/PD25696/en_US/McAfee_Labs_Threat_Advisory_CTB-Locker.pdf

ເອກະສານອ້າງອີງຈາກ ThaiCERT