วิธีจัดการกับ Ragnar Locker Ransomware (05.20.24)
แรนซัมแวร์เป็นมัลแวร์ที่น่ารังเกียจมาก เนื่องจากผู้โจมตีต้องการให้เหยื่อจ่ายเงินสำหรับข้อมูลสำคัญของเขาหรือเธอเพื่อปลดปล่อยจากการเป็นตัวประกัน Ransomware ลอบโจมตีอุปกรณ์ของเหยื่อ เข้ารหัสข้อมูลสำคัญ (รวมถึงไฟล์สำรอง) จากนั้นทิ้งคำแนะนำว่าควรจ่ายค่าไถ่เท่าไหร่และควรจ่ายอย่างไร หลังจากความยุ่งยากเหล่านี้ เหยื่อไม่มีการรับประกันว่าผู้โจมตีจะปล่อยคีย์ถอดรหัสเพื่อปลดล็อกไฟล์จริง ๆ และหากเป็นเช่นนั้น ไฟล์บางไฟล์อาจเสียหาย ทำให้ไม่มีประโยชน์ในท้ายที่สุด
ในช่วงหลายปีที่ผ่านมา การใช้แรนซัมแวร์ได้รับความนิยมเพิ่มขึ้น เนื่องจากเป็นวิธีที่ตรงที่สุดสำหรับแฮกเกอร์ในการสร้างรายได้ พวกเขาเพียงแค่ต้องทิ้งมัลแวร์ แล้วรอให้ผู้ใช้ส่งเงินผ่าน Bitcoin จากข้อมูลจาก Emsisoft จำนวนการโจมตีของแรนซัมแวร์ในปี 2019 เพิ่มขึ้น 41% จากปีก่อนหน้า ซึ่งส่งผลกระทบประมาณ 1,000 องค์กรในสหรัฐอเมริกา Cybersecurity Ventures คาดการณ์ว่าแรนซัมแวร์จะโจมตีธุรกิจทุกๆ 11 วินาที
เมื่อต้นปีนี้ Ragnar Locker มัลแวร์สายพันธุ์ใหม่โจมตี Energias de Portugal (EDP) บริษัทสาธารณูปโภคด้านไฟฟ้าของโปรตุเกสซึ่งมีสำนักงานใหญ่ในลิสบอน . ผู้โจมตีเรียกร้องค่าไถ่ 1,580 bitcoins ซึ่งเทียบเท่ากับประมาณ 11 ล้านดอลลาร์
Ragnar Locker Ransomware คืออะไร?Ragnar Locker เป็นมัลแวร์เรียกค่าไถ่ประเภทหนึ่งที่สร้างขึ้นไม่เพียงเพื่อเข้ารหัสข้อมูลเท่านั้น แต่ยังทำลายแอปพลิเคชันที่ติดตั้งไว้ เช่น ConnectWise และ Kaseya ซึ่งมักใช้โดยผู้ให้บริการที่มีการจัดการและบริการ Windows หลายรายการ Ragnar Locker เปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยต่อท้ายส่วนขยายที่ไม่ซ้ำกันซึ่งประกอบด้วยคำว่า ragnar ตามด้วยสตริงของตัวเลขและอักขระแบบสุ่ม ตัวอย่างเช่น ไฟล์ชื่อ A.jpg จะถูกเปลี่ยนชื่อเป็น A.jpg.ragnar_0DE48AAB
หลังจากเข้ารหัสไฟล์แล้ว ไฟล์จะสร้างข้อความเรียกค่าไถ่โดยใช้ไฟล์ข้อความซึ่งมีรูปแบบชื่อเหมือนกับ ด้วยตัวอย่างข้างต้น ข้อความเรียกค่าไถ่อาจมีชื่อว่า RGNR_0DE48AAB.txt
แรนซัมแวร์นี้ทำงานบนคอมพิวเตอร์ที่ใช้ Windows เท่านั้น แต่ยังไม่แน่ใจว่าผู้สร้างมัลแวร์นี้ได้ออกแบบ Ragnar Locker เวอร์ชัน Mac ด้วยหรือไม่ โดยปกติแล้วจะกำหนดเป้าหมายกระบวนการและแอปพลิเคชันที่ผู้ให้บริการที่มีการจัดการมักใช้เพื่อป้องกันการตรวจพบและหยุดการโจมตี Ragnar Locker มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาอังกฤษเท่านั้น
แรนซัมแวร์ Ragnar Locker ตรวจพบครั้งแรกประมาณปลายเดือนธันวาคม 2019 เมื่อมีการใช้เป็นส่วนหนึ่งของการโจมตีเครือข่ายที่ถูกบุกรุก ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าการโจมตี Ragnar Locker กับยักษ์ใหญ่ด้านพลังงานของยุโรปนั้นเป็นการโจมตีที่มีการวางแผนมาอย่างดีและรอบคอบ
นี่คือตัวอย่างข้อความเรียกค่าไถ่ Ragnar Locker:
สวัสดีค่ะ* !
************************
หากคุณอ่านข้อความนี้ แสดงว่าเครือข่ายของคุณถูกเจาะและไฟล์ทั้งหมดของคุณ และข้อมูลได้รับการเข้ารหัส
โดย RAGNAR_LOCKER !
************************
************ จะเกิดอะไรขึ้นกับระบบของคุณ ?* ***********
เครือข่ายของคุณถูกเจาะ ไฟล์และข้อมูลสำรองทั้งหมดของคุณถูกล็อค! ดังนั้นต่อจากนี้ไปจะไม่มีใครช่วยคุณได้ในการนำไฟล์ของคุณกลับมา ยกเว้นเรา
คุณสามารถ google ได้ ไม่มีโอกาสในการถอดรหัสข้อมูลหากไม่มี SECRET KEY ของเรา
แต่ไม่ต้องห่วง ! ไฟล์ของคุณไม่เสียหายหรือสูญหาย เป็นเพียงการแก้ไข คุณจะได้รับเงินคืนทันทีที่คุณชำระเงิน
เรากำลังมองหาเพียง MONEY ดังนั้นจึงไม่มีความสนใจที่จะตรวจสอบหรือลบข้อมูลของคุณ เป็นเพียงธุรกิจ $-)
อย่างไรก็ตาม คุณสามารถทำลายข้อมูลของคุณได้ด้วยตัวเอง หากคุณพยายามถอดรหัสด้วยซอฟต์แวร์อื่น โดยไม่ต้องใช้คีย์การเข้ารหัสเฉพาะของเรา !!!
นอกจากนี้ ข้อมูลที่ละเอียดอ่อนและเป็นส่วนตัวของคุณทั้งหมดยังถูกรวบรวม และหากคุณตัดสินใจที่จะไม่ชำระเงิน
เราจะอัปโหลดให้บุคคลทั่วไปเห็น!
****
***********จะกู้คืนไฟล์ของคุณได้อย่างไร ******
ไปที่ ถอดรหัสไฟล์และข้อมูลทั้งหมดของคุณที่คุณต้องจ่ายสำหรับการเข้ารหัส KEY:
BTC wallet สำหรับการชำระเงิน: *
จำนวนเงินที่ต้องจ่าย (เป็น Bitcoin): 25
****
*********** คุณต้องจ่ายเวลาเท่าไร************
* คุณควรติดต่อเราภายใน 2 วันหลังจากที่คุณสังเกตเห็นการเข้ารหัสเพื่อให้ได้ราคาที่ดีขึ้น
* ราคาจะเพิ่มขึ้น 100% (ราคาสองเท่า) หลังจาก 14 วันหากไม่มีการติดต่อ
* คีย์จะถูกลบออกอย่างสมบูรณ์ใน 21 วันหากไม่มีการติดต่อหรือไม่มีการทำข้อตกลง
ข้อมูลสำคัญบางอย่างที่ถูกขโมยจากไฟล์เซิร์ฟเวอร์จะถูกอัปโหลดในที่สาธารณะ ขายซ้ำ
****
***********จะเกิดอะไรขึ้นหากไฟล์ไม่สามารถกู้คืนได้ ******
เพื่อพิสูจน์ว่าเราสามารถถอดรหัสข้อมูลของคุณได้จริง เราจะถอดรหัสไฟล์ที่ล็อคไว้ไฟล์หนึ่งของคุณ !
เพียงส่งมาให้เรา แล้วคุณจะได้รับมันกลับมาฟรี
ราคาสำหรับ decryptor ขึ้นอยู่กับขนาดเครือข่าย จำนวนพนักงาน รายได้ต่อปี
โปรดติดต่อเราสำหรับจำนวน BTC ที่ควรจะจ่าย
****
! หากคุณไม่ทราบวิธีรับ bitcoin เราจะให้คำแนะนำในการแลกเปลี่ยนเงิน
!!!!!!!!!!!!!
! นี่คือคู่มือง่ายๆ ในการติดต่อกับเรา !
!!!!!!!!!!!!!!
1) ไปที่เว็บไซต์ทางการของ TOX messenger ( hxxps://tox.chat/download.html )
2) ดาวน์โหลดและติดตั้ง qTOX บนพีซีของคุณ เลือกแพลตฟอร์ม ( Windows, OS X, Linux เป็นต้น )
3) เปิด Messenger คลิก “New Profile” และสร้างโปรไฟล์
4) คลิกปุ่ม “เพิ่มเพื่อน” และค้นหาผู้ติดต่อของเรา *
5) เพื่อระบุตัวตน ส่งข้อมูลการสนับสนุนของเราจาก —RAGNAR SECRET—
สำคัญ ! หากคุณไม่สามารถติดต่อเราใน qTOX ได้ด้วยเหตุผลบางประการ นี่คือกล่องจดหมายสำรองของเรา ( * ) ส่งข้อความพร้อมข้อมูลจาก —RAGNAR SECRET—
คำเตือน!
-อย่าพยายามถอดรหัสไฟล์ด้วยซอฟต์แวร์ของบุคคลที่สาม (ซอฟต์แวร์ดังกล่าวจะเสียหายอย่างถาวร)
- อย่าติดตั้งระบบปฏิบัติการใหม่ เพราะอาจทำให้ข้อมูลและไฟล์สูญหายโดยสมบูรณ์ ไม่สามารถถอดรหัสได้ ไม่เคย!
-SECRET KEY ของคุณสำหรับการถอดรหัสอยู่ในเซิร์ฟเวอร์ของเรา แต่จะไม่ถูกเก็บไว้ตลอดไป อย่าเสียเวลา !
************************
—ความลับสุดยอด—
*
—RAGNAR SECRET—
**********************
Ragnar Locker ทำอะไร?Ragnar Locker มักจะส่งผ่านเครื่องมือ MSP เช่น ConnectWise โดยที่อาชญากรไซเบอร์จะปล่อยไฟล์ปฏิบัติการแรนซัมแวร์ที่มีเป้าหมายสูง เทคนิคการแพร่กระจายนี้เคยถูกใช้โดย ransomware ที่เป็นอันตรายอย่างสูงก่อนหน้านี้ เช่น Sodinokibi เมื่อการโจมตีประเภทนี้เกิดขึ้น ผู้เขียน ransomware จะแทรกซึมองค์กรหรือสิ่งอำนวยความสะดวกผ่านการเชื่อมต่อ RDP ที่ไม่ปลอดภัยหรือมีความปลอดภัยไม่ดี จากนั้นจะใช้เครื่องมือเพื่อส่งสคริปต์ Powershell ไปยังปลายทางที่สามารถเข้าถึงได้ทั้งหมด จากนั้นสคริปต์จะดาวน์โหลดเพย์โหลดผ่าน Pastebin ที่ออกแบบมาเพื่อรันแรนซัมแวร์และเข้ารหัสปลายทาง ในบางกรณี เพย์โหลดมาในรูปแบบของไฟล์ปฏิบัติการที่เปิดใช้งานโดยเป็นส่วนหนึ่งของการโจมตีแบบไฟล์ นอกจากนี้ยังมีกรณีที่ดาวน์โหลดสคริปต์เพิ่มเติมโดยเป็นส่วนหนึ่งของการโจมตีแบบไม่ใช้ไฟล์โดยสิ้นเชิง
Ragnar Locker กำหนดเป้าหมายซอฟต์แวร์โดยเฉพาะที่เรียกใช้โดยผู้ให้บริการที่มีการจัดการ รวมถึงสตริงต่อไปนี้:
- vss
- sql
- memtas
- mepocs
- sophos
- veeam
- แบ็คอัพ
- pulseway
- logme
- logmein
- connectwise
- splashtop
- kaseya
แรนซัมแวร์ก่อนจะขโมยไฟล์ของเป้าหมายและอัปโหลดไปยังเซิร์ฟเวอร์ของตน จุดเด่นของ Ragnar Locker คือไม่เพียงแค่เข้ารหัสไฟล์เท่านั้น แต่ยังคุกคามเหยื่อด้วยว่าข้อมูลจะถูกเปิดเผยต่อสาธารณะหากยังไม่ได้จ่ายค่าไถ่ เช่น กรณีที่มี EDP ด้วย EDP ผู้โจมตีขู่ว่าจะปล่อยข้อมูลที่ถูกขโมยมา 10TB ซึ่งอาจเป็นหนึ่งในการรั่วไหลของข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ ผู้โจมตีอ้างว่าพันธมิตร ลูกค้า และคู่แข่งทั้งหมดจะได้รับแจ้งการละเมิด และข้อมูลรั่วไหลจะถูกส่งไปยัง imgs ข่าวและสื่อเพื่อการบริโภคสาธารณะ แม้ว่าโฆษกของ EDP ได้ประกาศว่าการโจมตีไม่ได้ส่งผลกระทบต่อบริการด้านพลังงานและโครงสร้างพื้นฐานของสาธารณูปโภค แต่การละเมิดข้อมูลที่ปรากฏเป็นสิ่งที่พวกเขากังวล
การปิดใช้งานบริการและกระบวนการยุติเป็นกลวิธีทั่วไปที่ใช้โดยมัลแวร์เพื่อปิดใช้งานโปรแกรมความปลอดภัย ระบบสำรองข้อมูล ฐานข้อมูล และเมลเซิร์ฟเวอร์ เมื่อโปรแกรมเหล่านี้ถูกยกเลิก ข้อมูลของโปรแกรมก็จะถูกเข้ารหัสได้
เมื่อเปิดตัวครั้งแรก Ragnar Locker จะสแกนการตั้งค่าภาษาของ Windows ที่กำหนดค่าไว้ หากค่ากำหนดภาษาเป็นภาษาอังกฤษ มัลแวร์จะดำเนินการในขั้นตอนต่อไป แต่ถ้า Ragnar Locker ตรวจพบว่าภาษานั้นถูกกำหนดให้เป็นหนึ่งในประเทศที่เคยอยู่ในสหภาพโซเวียต มัลแวร์จะยุติกระบวนการและจะไม่เข้ารหัสคอมพิวเตอร์ด้วย
Ragnar Locker ประนีประนอมเครื่องมือความปลอดภัยของ MSP ก่อนที่พวกเขาจะสามารถบล็อก แรนซัมแวร์จากการถูกเรียกใช้งาน เมื่อเข้าไปข้างในแล้ว มัลแวร์จะเริ่มกระบวนการเข้ารหัส ใช้คีย์ RSA-2048 แบบฝังเพื่อเข้ารหัสไฟล์สำคัญ
Ragnar Locker ไม่ได้เข้ารหัสไฟล์ทั้งหมด มันจะข้ามบางโฟลเดอร์ ชื่อไฟล์ และนามสกุล เช่น:
- kernel32.dll
- Windows
- Windows.old
- เบราว์เซอร์ Tor
- Internet Explorer
- Opera
- Opera Software
- Mozilla
- Mozilla Firefox
- $Recycle.Bin
- ProgramData
- ผู้ใช้ทั้งหมด
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- bootmgr
- bootmgr .efi
- bootmgfw.efi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- .sys
- .dll
- .lnk
- .msi
- .drv
- .exe
นอกเหนือจากการต่อท้าย นามสกุลไฟล์ใหม่สำหรับไฟล์ที่เข้ารหัส Ragnar Locker ยังเพิ่มตัวทำเครื่องหมายไฟล์ 'RAGNAR' ที่ส่วนท้ายของไฟล์ที่เข้ารหัสทุกไฟล์
Ragnar Locker จะทิ้งข้อความเรียกค่าไถ่ชื่อ '.RGNR_[extension].txt' ที่มีรายละเอียดเกี่ยวกับจำนวนเงินค่าไถ่ ที่อยู่การชำระเงิน bitcoin รหัสแชท TOX ที่จะใช้สื่อสารกับผู้โจมตี และที่อยู่อีเมลสำรอง หากมีปัญหากับ TOX ต่างจากแรนซัมแวร์อื่น ๆ Ragnar Locker ไม่มีค่าไถ่ที่แน่นอน แตกต่างกันไปตามเป้าหมายและคำนวณเป็นรายบุคคล ในรายงานบางฉบับ จำนวนเงินค่าไถ่อาจแตกต่างกันระหว่าง $200,000 ถึง $600,000 ในกรณีของ EDP ค่าไถ่ที่ถามคือ 1,580 bitcoin หรือ 11 ล้านเหรียญสหรัฐ
วิธีลบ Ragnar Lockerหากคอมพิวเตอร์ของคุณโชคร้ายที่ติด Ragnar Locker สิ่งแรกที่คุณต้องทำคือตรวจสอบ หากไฟล์ทั้งหมดของคุณได้รับการเข้ารหัส คุณต้องตรวจสอบว่าไฟล์สำรองของคุณได้รับการเข้ารหัสด้วยหรือไม่ การโจมตีในลักษณะนี้เน้นย้ำถึงความสำคัญของการสำรองข้อมูลสำคัญของคุณ เพราะอย่างน้อย คุณจะไม่ต้องกังวลว่าจะสูญเสียการเข้าถึงไฟล์ของคุณ
อย่าพยายามจ่ายค่าไถ่เพราะมันจะไร้ประโยชน์ ไม่มีการรับประกันว่าผู้โจมตีจะส่งคีย์ถอดรหัสที่ถูกต้องและไฟล์ของคุณจะไม่มีวันรั่วไหลสู่สาธารณะ ในความเป็นจริง มีความเป็นไปได้สูงที่ผู้โจมตีจะรีดไถเงินจากคุณต่อไปเพราะพวกเขารู้ว่าคุณยินดีจ่าย
สิ่งที่คุณทำได้คือลบแรนซัมแวร์ออกจากคอมพิวเตอร์ของคุณก่อนก่อนที่จะพยายามถอดรหัส มัน. คุณสามารถใช้แอปป้องกันไวรัสหรือโปรแกรมป้องกันมัลแวร์เพื่อสแกนหามัลแวร์ในคอมพิวเตอร์และปฏิบัติตามคำแนะนำเพื่อลบภัยคุกคามที่ตรวจพบทั้งหมด ถัดไป ถอนการติดตั้งแอปหรือส่วนขยายที่น่าสงสัยที่อาจเกี่ยวข้องกับมัลแวร์
สุดท้าย ให้มองหาเครื่องมือถอดรหัสที่ตรงกับ Ragnar Locker มีตัวถอดรหัสลับหลายตัวที่ได้รับการออกแบบมาสำหรับไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ แต่คุณควรตรวจสอบผู้ผลิตซอฟต์แวร์ความปลอดภัยของคุณก่อนว่ามีซอฟต์แวร์ดังกล่าวหรือไม่ ตัวอย่างเช่น Avast และ Kaspersky มีเครื่องมือถอดรหัสของตัวเองที่ผู้ใช้สามารถใช้ได้ นี่คือรายการเครื่องมือถอดรหัสอื่นๆ ที่คุณสามารถลองใช้ได้
วิธีป้องกันตัวเองจาก Ragnar LockerRansomware อาจค่อนข้างลำบาก โดยเฉพาะอย่างยิ่งหากไม่มีเครื่องมือถอดรหัสอยู่แล้วที่สามารถยกเลิกการเข้ารหัสที่ทำโดยมัลแวร์ . เพื่อปกป้องอุปกรณ์ของคุณจากแรนซัมแวร์ โดยเฉพาะอย่างยิ่ง Ragnar Locker ต่อไปนี้เป็นเคล็ดลับบางประการที่คุณต้องจำไว้:
- ใช้นโยบายรหัสผ่านที่รัดกุม โดยใช้การตรวจสอบสิทธิ์แบบสองปัจจัยหรือหลายปัจจัย (สธ.) ถ้าเป็นไปได้ หากไม่สามารถทำได้ ให้สร้างรหัสผ่านแบบสุ่มและไม่ซ้ำกันซึ่งยากต่อการคาดเดา
- อย่าลืมล็อกคอมพิวเตอร์เมื่อออกจากโต๊ะทำงาน ไม่ว่าคุณจะออกไปรับประทานอาหารกลางวัน หยุดพัก หรือเพียงแค่ไปห้องน้ำ ให้ล็อกคอมพิวเตอร์เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
- สร้างแผนสำรองและกู้คืนข้อมูล โดยเฉพาะอย่างยิ่งสำหรับข้อมูลสำคัญเกี่ยวกับ คอมพิวเตอร์. จัดเก็บข้อมูลที่สำคัญที่สุดที่เก็บไว้นอกเครือข่ายหรือบนอุปกรณ์ภายนอก ถ้าเป็นไปได้ ทดสอบการสำรองข้อมูลเหล่านี้เป็นประจำเพื่อให้แน่ใจว่าทำงานได้อย่างถูกต้องในกรณีที่เกิดวิกฤตจริง
- ทำให้ระบบของคุณได้รับการอัปเดตและติดตั้งด้วยแพตช์ความปลอดภัยล่าสุด แรนซัมแวร์มักจะหาช่องโหว่ในระบบของคุณ ดังนั้นตรวจสอบให้แน่ใจว่าความปลอดภัยของอุปกรณ์ของคุณแน่นหนา
- โปรดระวังพาหะทั่วไปสำหรับฟิชชิง ซึ่งเป็นวิธีการกระจายทั่วไปของแรนซัมแวร์ อย่าคลิกลิงก์แบบสุ่มและสแกนไฟล์แนบอีเมลทุกครั้งก่อนดาวน์โหลดลงในคอมพิวเตอร์ของคุณ
- ติดตั้งซอฟต์แวร์รักษาความปลอดภัยที่มีประสิทธิภาพบนอุปกรณ์ของคุณและอัปเดตฐานข้อมูลด้วยภัยคุกคามล่าสุด
วิดีโอ YouTube: วิธีจัดการกับ Ragnar Locker Ransomware
05, 2024