วิธีจัดการกับ Ragnar Locker Ransomware (05.20.24)

แรนซัมแวร์เป็นมัลแวร์ที่น่ารังเกียจมาก เนื่องจากผู้โจมตีต้องการให้เหยื่อจ่ายเงินสำหรับข้อมูลสำคัญของเขาหรือเธอเพื่อปลดปล่อยจากการเป็นตัวประกัน Ransomware ลอบโจมตีอุปกรณ์ของเหยื่อ เข้ารหัสข้อมูลสำคัญ (รวมถึงไฟล์สำรอง) จากนั้นทิ้งคำแนะนำว่าควรจ่ายค่าไถ่เท่าไหร่และควรจ่ายอย่างไร หลังจากความยุ่งยากเหล่านี้ เหยื่อไม่มีการรับประกันว่าผู้โจมตีจะปล่อยคีย์ถอดรหัสเพื่อปลดล็อกไฟล์จริง ๆ และหากเป็นเช่นนั้น ไฟล์บางไฟล์อาจเสียหาย ทำให้ไม่มีประโยชน์ในท้ายที่สุด

ในช่วงหลายปีที่ผ่านมา การใช้แรนซัมแวร์ได้รับความนิยมเพิ่มขึ้น เนื่องจากเป็นวิธีที่ตรงที่สุดสำหรับแฮกเกอร์ในการสร้างรายได้ พวกเขาเพียงแค่ต้องทิ้งมัลแวร์ แล้วรอให้ผู้ใช้ส่งเงินผ่าน Bitcoin จากข้อมูลจาก Emsisoft จำนวนการโจมตีของแรนซัมแวร์ในปี 2019 เพิ่มขึ้น 41% จากปีก่อนหน้า ซึ่งส่งผลกระทบประมาณ 1,000 องค์กรในสหรัฐอเมริกา Cybersecurity Ventures คาดการณ์ว่าแรนซัมแวร์จะโจมตีธุรกิจทุกๆ 11 วินาที

เมื่อต้นปีนี้ Ragnar Locker มัลแวร์สายพันธุ์ใหม่โจมตี Energias de Portugal (EDP) บริษัทสาธารณูปโภคด้านไฟฟ้าของโปรตุเกสซึ่งมีสำนักงานใหญ่ในลิสบอน . ผู้โจมตีเรียกร้องค่าไถ่ 1,580 bitcoins ซึ่งเทียบเท่ากับประมาณ 11 ล้านดอลลาร์

Ragnar Locker Ransomware คืออะไร?

Ragnar Locker เป็นมัลแวร์เรียกค่าไถ่ประเภทหนึ่งที่สร้างขึ้นไม่เพียงเพื่อเข้ารหัสข้อมูลเท่านั้น แต่ยังทำลายแอปพลิเคชันที่ติดตั้งไว้ เช่น ConnectWise และ Kaseya ซึ่งมักใช้โดยผู้ให้บริการที่มีการจัดการและบริการ Windows หลายรายการ Ragnar Locker เปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยต่อท้ายส่วนขยายที่ไม่ซ้ำกันซึ่งประกอบด้วยคำว่า ragnar ตามด้วยสตริงของตัวเลขและอักขระแบบสุ่ม ตัวอย่างเช่น ไฟล์ชื่อ A.jpg จะถูกเปลี่ยนชื่อเป็น A.jpg.ragnar_0DE48AAB

หลังจากเข้ารหัสไฟล์แล้ว ไฟล์จะสร้างข้อความเรียกค่าไถ่โดยใช้ไฟล์ข้อความซึ่งมีรูปแบบชื่อเหมือนกับ ด้วยตัวอย่างข้างต้น ข้อความเรียกค่าไถ่อาจมีชื่อว่า RGNR_0DE48AAB.txt

แรนซัมแวร์นี้ทำงานบนคอมพิวเตอร์ที่ใช้ Windows เท่านั้น แต่ยังไม่แน่ใจว่าผู้สร้างมัลแวร์นี้ได้ออกแบบ Ragnar Locker เวอร์ชัน Mac ด้วยหรือไม่ โดยปกติแล้วจะกำหนดเป้าหมายกระบวนการและแอปพลิเคชันที่ผู้ให้บริการที่มีการจัดการมักใช้เพื่อป้องกันการตรวจพบและหยุดการโจมตี Ragnar Locker มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาอังกฤษเท่านั้น

แรนซัมแวร์ Ragnar Locker ตรวจพบครั้งแรกประมาณปลายเดือนธันวาคม 2019 เมื่อมีการใช้เป็นส่วนหนึ่งของการโจมตีเครือข่ายที่ถูกบุกรุก ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าการโจมตี Ragnar Locker กับยักษ์ใหญ่ด้านพลังงานของยุโรปนั้นเป็นการโจมตีที่มีการวางแผนมาอย่างดีและรอบคอบ

นี่คือตัวอย่างข้อความเรียกค่าไถ่ Ragnar Locker:

สวัสดีค่ะ* !

************************

หากคุณอ่านข้อความนี้ แสดงว่าเครือข่ายของคุณถูกเจาะและไฟล์ทั้งหมดของคุณ และข้อมูลได้รับการเข้ารหัส

โดย RAGNAR_LOCKER !

************************

************ จะเกิดอะไรขึ้นกับระบบของคุณ ?* ***********

เครือข่ายของคุณถูกเจาะ ไฟล์และข้อมูลสำรองทั้งหมดของคุณถูกล็อค! ดังนั้นต่อจากนี้ไปจะไม่มีใครช่วยคุณได้ในการนำไฟล์ของคุณกลับมา ยกเว้นเรา

คุณสามารถ google ได้ ไม่มีโอกาสในการถอดรหัสข้อมูลหากไม่มี SECRET KEY ของเรา

แต่ไม่ต้องห่วง ! ไฟล์ของคุณไม่เสียหายหรือสูญหาย เป็นเพียงการแก้ไข คุณจะได้รับเงินคืนทันทีที่คุณชำระเงิน

เรากำลังมองหาเพียง MONEY ดังนั้นจึงไม่มีความสนใจที่จะตรวจสอบหรือลบข้อมูลของคุณ เป็นเพียงธุรกิจ $-)

อย่างไรก็ตาม คุณสามารถทำลายข้อมูลของคุณได้ด้วยตัวเอง หากคุณพยายามถอดรหัสด้วยซอฟต์แวร์อื่น โดยไม่ต้องใช้คีย์การเข้ารหัสเฉพาะของเรา !!!

นอกจากนี้ ข้อมูลที่ละเอียดอ่อนและเป็นส่วนตัวของคุณทั้งหมดยังถูกรวบรวม และหากคุณตัดสินใจที่จะไม่ชำระเงิน

เราจะอัปโหลดให้บุคคลทั่วไปเห็น!

****

***********จะกู้คืนไฟล์ของคุณได้อย่างไร ******

ไปที่ ถอดรหัสไฟล์และข้อมูลทั้งหมดของคุณที่คุณต้องจ่ายสำหรับการเข้ารหัส KEY:

BTC wallet สำหรับการชำระเงิน: *

จำนวนเงินที่ต้องจ่าย (เป็น Bitcoin): 25

****

*********** คุณต้องจ่ายเวลาเท่าไร************

* คุณควรติดต่อเราภายใน 2 วันหลังจากที่คุณสังเกตเห็นการเข้ารหัสเพื่อให้ได้ราคาที่ดีขึ้น

* ราคาจะเพิ่มขึ้น 100% (ราคาสองเท่า) หลังจาก 14 วันหากไม่มีการติดต่อ

* คีย์จะถูกลบออกอย่างสมบูรณ์ใน 21 วันหากไม่มีการติดต่อหรือไม่มีการทำข้อตกลง

ข้อมูลสำคัญบางอย่างที่ถูกขโมยจากไฟล์เซิร์ฟเวอร์จะถูกอัปโหลดในที่สาธารณะ ขายซ้ำ

****

***********จะเกิดอะไรขึ้นหากไฟล์ไม่สามารถกู้คืนได้ ******

เพื่อพิสูจน์ว่าเราสามารถถอดรหัสข้อมูลของคุณได้จริง เราจะถอดรหัสไฟล์ที่ล็อคไว้ไฟล์หนึ่งของคุณ !

เพียงส่งมาให้เรา แล้วคุณจะได้รับมันกลับมาฟรี

ราคาสำหรับ decryptor ขึ้นอยู่กับขนาดเครือข่าย จำนวนพนักงาน รายได้ต่อปี

โปรดติดต่อเราสำหรับจำนวน BTC ที่ควรจะจ่าย

****

! หากคุณไม่ทราบวิธีรับ bitcoin เราจะให้คำแนะนำในการแลกเปลี่ยนเงิน

!!!!!!!!!!!!!

! นี่คือคู่มือง่ายๆ ในการติดต่อกับเรา !

!!!!!!!!!!!!!!

1) ไปที่เว็บไซต์ทางการของ TOX messenger ( hxxps://tox.chat/download.html )

2) ดาวน์โหลดและติดตั้ง qTOX บนพีซีของคุณ เลือกแพลตฟอร์ม ( Windows, OS X, Linux เป็นต้น )

3) เปิด Messenger คลิก “New Profile” และสร้างโปรไฟล์

4) คลิกปุ่ม “เพิ่มเพื่อน” และค้นหาผู้ติดต่อของเรา *

5) เพื่อระบุตัวตน ส่งข้อมูลการสนับสนุนของเราจาก —RAGNAR SECRET—

สำคัญ ! หากคุณไม่สามารถติดต่อเราใน qTOX ได้ด้วยเหตุผลบางประการ นี่คือกล่องจดหมายสำรองของเรา ( * ) ส่งข้อความพร้อมข้อมูลจาก —RAGNAR SECRET—

คำเตือน!

-อย่าพยายามถอดรหัสไฟล์ด้วยซอฟต์แวร์ของบุคคลที่สาม (ซอฟต์แวร์ดังกล่าวจะเสียหายอย่างถาวร)

- อย่าติดตั้งระบบปฏิบัติการใหม่ เพราะอาจทำให้ข้อมูลและไฟล์สูญหายโดยสมบูรณ์ ไม่สามารถถอดรหัสได้ ไม่เคย!

-SECRET KEY ของคุณสำหรับการถอดรหัสอยู่ในเซิร์ฟเวอร์ของเรา แต่จะไม่ถูกเก็บไว้ตลอดไป อย่าเสียเวลา !

************************

—ความลับสุดยอด—

*

—RAGNAR SECRET—

**********************

Ragnar Locker ทำอะไร?

Ragnar Locker มักจะส่งผ่านเครื่องมือ MSP เช่น ConnectWise โดยที่อาชญากรไซเบอร์จะปล่อยไฟล์ปฏิบัติการแรนซัมแวร์ที่มีเป้าหมายสูง เทคนิคการแพร่กระจายนี้เคยถูกใช้โดย ransomware ที่เป็นอันตรายอย่างสูงก่อนหน้านี้ เช่น Sodinokibi เมื่อการโจมตีประเภทนี้เกิดขึ้น ผู้เขียน ransomware จะแทรกซึมองค์กรหรือสิ่งอำนวยความสะดวกผ่านการเชื่อมต่อ RDP ที่ไม่ปลอดภัยหรือมีความปลอดภัยไม่ดี จากนั้นจะใช้เครื่องมือเพื่อส่งสคริปต์ Powershell ไปยังปลายทางที่สามารถเข้าถึงได้ทั้งหมด จากนั้นสคริปต์จะดาวน์โหลดเพย์โหลดผ่าน Pastebin ที่ออกแบบมาเพื่อรันแรนซัมแวร์และเข้ารหัสปลายทาง ในบางกรณี เพย์โหลดมาในรูปแบบของไฟล์ปฏิบัติการที่เปิดใช้งานโดยเป็นส่วนหนึ่งของการโจมตีแบบไฟล์ นอกจากนี้ยังมีกรณีที่ดาวน์โหลดสคริปต์เพิ่มเติมโดยเป็นส่วนหนึ่งของการโจมตีแบบไม่ใช้ไฟล์โดยสิ้นเชิง

Ragnar Locker กำหนดเป้าหมายซอฟต์แวร์โดยเฉพาะที่เรียกใช้โดยผู้ให้บริการที่มีการจัดการ รวมถึงสตริงต่อไปนี้:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • แบ็คอัพ
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

แรนซัมแวร์ก่อนจะขโมยไฟล์ของเป้าหมายและอัปโหลดไปยังเซิร์ฟเวอร์ของตน จุดเด่นของ Ragnar Locker คือไม่เพียงแค่เข้ารหัสไฟล์เท่านั้น แต่ยังคุกคามเหยื่อด้วยว่าข้อมูลจะถูกเปิดเผยต่อสาธารณะหากยังไม่ได้จ่ายค่าไถ่ เช่น กรณีที่มี EDP ด้วย EDP ผู้โจมตีขู่ว่าจะปล่อยข้อมูลที่ถูกขโมยมา 10TB ซึ่งอาจเป็นหนึ่งในการรั่วไหลของข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ ผู้โจมตีอ้างว่าพันธมิตร ลูกค้า และคู่แข่งทั้งหมดจะได้รับแจ้งการละเมิด และข้อมูลรั่วไหลจะถูกส่งไปยัง imgs ข่าวและสื่อเพื่อการบริโภคสาธารณะ แม้ว่าโฆษกของ EDP ได้ประกาศว่าการโจมตีไม่ได้ส่งผลกระทบต่อบริการด้านพลังงานและโครงสร้างพื้นฐานของสาธารณูปโภค แต่การละเมิดข้อมูลที่ปรากฏเป็นสิ่งที่พวกเขากังวล

การปิดใช้งานบริการและกระบวนการยุติเป็นกลวิธีทั่วไปที่ใช้โดยมัลแวร์เพื่อปิดใช้งานโปรแกรมความปลอดภัย ระบบสำรองข้อมูล ฐานข้อมูล และเมลเซิร์ฟเวอร์ เมื่อโปรแกรมเหล่านี้ถูกยกเลิก ข้อมูลของโปรแกรมก็จะถูกเข้ารหัสได้

เมื่อเปิดตัวครั้งแรก Ragnar Locker จะสแกนการตั้งค่าภาษาของ Windows ที่กำหนดค่าไว้ หากค่ากำหนดภาษาเป็นภาษาอังกฤษ มัลแวร์จะดำเนินการในขั้นตอนต่อไป แต่ถ้า Ragnar Locker ตรวจพบว่าภาษานั้นถูกกำหนดให้เป็นหนึ่งในประเทศที่เคยอยู่ในสหภาพโซเวียต มัลแวร์จะยุติกระบวนการและจะไม่เข้ารหัสคอมพิวเตอร์ด้วย

Ragnar Locker ประนีประนอมเครื่องมือความปลอดภัยของ MSP ก่อนที่พวกเขาจะสามารถบล็อก แรนซัมแวร์จากการถูกเรียกใช้งาน เมื่อเข้าไปข้างในแล้ว มัลแวร์จะเริ่มกระบวนการเข้ารหัส ใช้คีย์ RSA-2048 แบบฝังเพื่อเข้ารหัสไฟล์สำคัญ

Ragnar Locker ไม่ได้เข้ารหัสไฟล์ทั้งหมด มันจะข้ามบางโฟลเดอร์ ชื่อไฟล์ และนามสกุล เช่น:

  • kernel32.dll
  • Windows
  • Windows.old
  • เบราว์เซอร์ Tor
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • ผู้ใช้ทั้งหมด
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr .efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

นอกเหนือจากการต่อท้าย นามสกุลไฟล์ใหม่สำหรับไฟล์ที่เข้ารหัส Ragnar Locker ยังเพิ่มตัวทำเครื่องหมายไฟล์ 'RAGNAR' ที่ส่วนท้ายของไฟล์ที่เข้ารหัสทุกไฟล์

Ragnar Locker จะทิ้งข้อความเรียกค่าไถ่ชื่อ '.RGNR_[extension].txt' ที่มีรายละเอียดเกี่ยวกับจำนวนเงินค่าไถ่ ที่อยู่การชำระเงิน bitcoin รหัสแชท TOX ที่จะใช้สื่อสารกับผู้โจมตี และที่อยู่อีเมลสำรอง หากมีปัญหากับ TOX ต่างจากแรนซัมแวร์อื่น ๆ Ragnar Locker ไม่มีค่าไถ่ที่แน่นอน แตกต่างกันไปตามเป้าหมายและคำนวณเป็นรายบุคคล ในรายงานบางฉบับ จำนวนเงินค่าไถ่อาจแตกต่างกันระหว่าง $200,000 ถึง $600,000 ในกรณีของ EDP ค่าไถ่ที่ถามคือ 1,580 bitcoin หรือ 11 ล้านเหรียญสหรัฐ

วิธีลบ Ragnar Locker

หากคอมพิวเตอร์ของคุณโชคร้ายที่ติด Ragnar Locker สิ่งแรกที่คุณต้องทำคือตรวจสอบ หากไฟล์ทั้งหมดของคุณได้รับการเข้ารหัส คุณต้องตรวจสอบว่าไฟล์สำรองของคุณได้รับการเข้ารหัสด้วยหรือไม่ การโจมตีในลักษณะนี้เน้นย้ำถึงความสำคัญของการสำรองข้อมูลสำคัญของคุณ เพราะอย่างน้อย คุณจะไม่ต้องกังวลว่าจะสูญเสียการเข้าถึงไฟล์ของคุณ

อย่าพยายามจ่ายค่าไถ่เพราะมันจะไร้ประโยชน์ ไม่มีการรับประกันว่าผู้โจมตีจะส่งคีย์ถอดรหัสที่ถูกต้องและไฟล์ของคุณจะไม่มีวันรั่วไหลสู่สาธารณะ ในความเป็นจริง มีความเป็นไปได้สูงที่ผู้โจมตีจะรีดไถเงินจากคุณต่อไปเพราะพวกเขารู้ว่าคุณยินดีจ่าย

สิ่งที่คุณทำได้คือลบแรนซัมแวร์ออกจากคอมพิวเตอร์ของคุณก่อนก่อนที่จะพยายามถอดรหัส มัน. คุณสามารถใช้แอปป้องกันไวรัสหรือโปรแกรมป้องกันมัลแวร์เพื่อสแกนหามัลแวร์ในคอมพิวเตอร์และปฏิบัติตามคำแนะนำเพื่อลบภัยคุกคามที่ตรวจพบทั้งหมด ถัดไป ถอนการติดตั้งแอปหรือส่วนขยายที่น่าสงสัยที่อาจเกี่ยวข้องกับมัลแวร์

สุดท้าย ให้มองหาเครื่องมือถอดรหัสที่ตรงกับ Ragnar Locker มีตัวถอดรหัสลับหลายตัวที่ได้รับการออกแบบมาสำหรับไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ แต่คุณควรตรวจสอบผู้ผลิตซอฟต์แวร์ความปลอดภัยของคุณก่อนว่ามีซอฟต์แวร์ดังกล่าวหรือไม่ ตัวอย่างเช่น Avast และ Kaspersky มีเครื่องมือถอดรหัสของตัวเองที่ผู้ใช้สามารถใช้ได้ นี่คือรายการเครื่องมือถอดรหัสอื่นๆ ที่คุณสามารถลองใช้ได้

วิธีป้องกันตัวเองจาก Ragnar Locker

Ransomware อาจค่อนข้างลำบาก โดยเฉพาะอย่างยิ่งหากไม่มีเครื่องมือถอดรหัสอยู่แล้วที่สามารถยกเลิกการเข้ารหัสที่ทำโดยมัลแวร์ . เพื่อปกป้องอุปกรณ์ของคุณจากแรนซัมแวร์ โดยเฉพาะอย่างยิ่ง Ragnar Locker ต่อไปนี้เป็นเคล็ดลับบางประการที่คุณต้องจำไว้:

  • ใช้นโยบายรหัสผ่านที่รัดกุม โดยใช้การตรวจสอบสิทธิ์แบบสองปัจจัยหรือหลายปัจจัย (สธ.) ถ้าเป็นไปได้ หากไม่สามารถทำได้ ให้สร้างรหัสผ่านแบบสุ่มและไม่ซ้ำกันซึ่งยากต่อการคาดเดา
  • อย่าลืมล็อกคอมพิวเตอร์เมื่อออกจากโต๊ะทำงาน ไม่ว่าคุณจะออกไปรับประทานอาหารกลางวัน หยุดพัก หรือเพียงแค่ไปห้องน้ำ ให้ล็อกคอมพิวเตอร์เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
  • สร้างแผนสำรองและกู้คืนข้อมูล โดยเฉพาะอย่างยิ่งสำหรับข้อมูลสำคัญเกี่ยวกับ คอมพิวเตอร์. จัดเก็บข้อมูลที่สำคัญที่สุดที่เก็บไว้นอกเครือข่ายหรือบนอุปกรณ์ภายนอก ถ้าเป็นไปได้ ทดสอบการสำรองข้อมูลเหล่านี้เป็นประจำเพื่อให้แน่ใจว่าทำงานได้อย่างถูกต้องในกรณีที่เกิดวิกฤตจริง
  • ทำให้ระบบของคุณได้รับการอัปเดตและติดตั้งด้วยแพตช์ความปลอดภัยล่าสุด แรนซัมแวร์มักจะหาช่องโหว่ในระบบของคุณ ดังนั้นตรวจสอบให้แน่ใจว่าความปลอดภัยของอุปกรณ์ของคุณแน่นหนา
  • โปรดระวังพาหะทั่วไปสำหรับฟิชชิง ซึ่งเป็นวิธีการกระจายทั่วไปของแรนซัมแวร์ อย่าคลิกลิงก์แบบสุ่มและสแกนไฟล์แนบอีเมลทุกครั้งก่อนดาวน์โหลดลงในคอมพิวเตอร์ของคุณ
  • ติดตั้งซอฟต์แวร์รักษาความปลอดภัยที่มีประสิทธิภาพบนอุปกรณ์ของคุณและอัปเดตฐานข้อมูลด้วยภัยคุกคามล่าสุด

วิดีโอ YouTube: วิธีจัดการกับ Ragnar Locker Ransomware

05, 2024