วีดีโอ: Sglh virus (ransomware). How to decrypt .Sglh files. Sglh File Recovery Guide. (ธันวาคม 2024)
นักวิจัยได้ค้นพบตัวแปรใหม่ของ CryptoLocker ransomware ซึ่งอาจทำให้ผู้ใช้ติดเชื้อได้มากกว่าเวอร์ชั่นดั้งเดิม
อาชญากรที่อยู่เบื้องหลัง CryptoLocker ดูเหมือนจะปรับเปลี่ยนค่าไถ่ ransomware จากโทรจันเป็นหนอน USB แพร่กระจายเวิร์มนักวิจัยจาก Trend Micro เขียนลงในบล็อก Security Intelligence เมื่อเร็ว ๆ นี้ ในฐานะโทรจัน CryptoLocker ไม่สามารถแพร่กระจายตัวเองเพื่อแพร่เชื้อคอมพิวเตอร์ผู้ใช้ มันอาศัยผู้ใช้เพื่อเปิดไฟล์แนบอีเมลหรือคลิกลิงก์ในอีเมลเพื่อดำเนินการและติดตั้งตัวเองบนคอมพิวเตอร์ อย่างไรก็ตามในฐานะเวิร์ม CryptoLocker สามารถทำซ้ำตัวเองและแพร่กระจายผ่านไดรฟ์แบบถอดได้
ในกรณีที่คุณต้องการทบทวน CryptoLocker เป็น ransomware นี่คือประเภทของมัลแวร์ที่ล็อคไฟล์ในคอมพิวเตอร์ของคุณและต้องการค่าไถ่เพื่อปลดล็อกไฟล์ ไฟล์ถูกเข้ารหัสดังนั้นการลบมัลแวร์จะไม่ปล่อยไฟล์ วิธีเดียวที่จะได้ไฟล์กลับมาคือจ่ายอาชญากรไม่ว่าพวกเขาจะเลือกจำนวนเท่าใด (การโจมตีเมื่อเร็ว ๆ นี้มีความต้องการฟีเจอร์ BitCoins) หรือเพียงแค่ล้างคอมพิวเตอร์และกู้คืนจากการสำรองข้อมูล
Trend Micro กล่าวว่ามัลแวร์เวอร์ชั่นใหม่อ้างว่าเป็น activator สำหรับซอฟต์แวร์เช่น Adobe Photoshop และ Microsoft Office บนเว็บไซต์แชร์ไฟล์แบบ peer-to-peer (P2P) Trend Micro กล่าว การอัปโหลดมัลแวร์ไปยังไซต์ P2P ช่วยให้คนร้ายสามารถติดเชื้อระบบได้โดยไม่ต้องกังวลกับข้อความสแปมตามโพสต์บล็อก
Graham Cluley นักวิจัยด้านความปลอดภัยกล่าวว่า "คนร้ายที่อยู่เบื้องหลังตัวแปรใหม่นี้ไม่จำเป็นต้องทำลายแคมเปญอีเมลขยะเพื่อแพร่กระจายมัลแวร์" Graham Cluley นักวิจัยด้านความปลอดภัยกล่าว
วิธีการที่หนอนติดเชื้อ
ลองนึกภาพสถานการณ์ง่าย ๆ คุณยืมไดรฟ์ USB เพื่อย้ายไฟล์จากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งหรือให้สำเนาไฟล์กับใครบางคน หากไดรฟ์นั้นติดเวิร์ม CryptoLocker คอมพิวเตอร์ทุกเครื่องที่เชื่อมต่อด้วยจะติดไวรัส และหากคอมพิวเตอร์นั้นเชื่อมต่อกับเครือข่ายงาน Cryptolocker สามารถค้นหาไดรฟ์ที่เชื่อมต่ออื่น ๆ ได้
"มันอาจทำให้การเข้ารหัส CryptoLocker ง่ายขึ้นสำหรับพีซีทั่วทั้งองค์กรของคุณ" Cluley กล่าว
มีสัญญาณหนึ่งที่ดีเกี่ยวกับตัวแปรใหม่นี้คือแม้ว่า มัลแวร์ CryptoLocker ดั้งเดิมใช้อัลกอริธึมการสร้างโดเมน (DGA) เพื่อสร้างชื่อโดเมนจำนวนมากเป็นระยะเพื่อเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) ในทางกลับกันเวอร์ชันใหม่ของ CryptoLocker ไม่ได้ใช้ DGA เป็น URL ของเซิร์ฟเวอร์คำสั่งและการควบคุมที่ได้รับการ hardcoded ใน ransomware Trend Micro กล่าว ทำให้ง่ายต่อการตรวจจับและบล็อก URL ที่เป็นอันตรายที่เกี่ยวข้อง
อย่างไรก็ตามนั่นอาจหมายถึงว่ามัลแวร์ยังอยู่ในขั้นตอนการปรับปรุงและปรับปรุงและเวิร์มรุ่นต่อมาอาจมีความสามารถ DGA Trend Micro เตือน เมื่อรวม DGA มันจะยากต่อการตรวจจับและบล็อก ransomware
ฉันจะทำอย่างไร
Trend Micro และ Cluley มีคำแนะนำเล็กน้อยเกี่ยวกับสิ่งที่ต้องทำ:
ผู้ใช้ควรหลีกเลี่ยงการใช้ไซต์ P2P เพื่อรับซอฟต์แวร์และติดกับเว็บไซต์ที่เป็นทางการหรือมีชื่อเสียง
ผู้ใช้ควรระมัดระวังอย่างยิ่งเกี่ยวกับการเสียบไดรฟ์ USB เข้ากับคอมพิวเตอร์ หากคุณพบว่ามีคนนอนอยู่รอบ ๆ อย่าเพิ่งเสียบเข้าไปดูว่ามีอะไรอยู่บ้าง
"ตรวจสอบให้แน่ใจว่าคุณปฏิบัติตามแนวทางปฏิบัติด้านคอมพิวเตอร์ที่ปลอดภัยและระมัดระวังเกี่ยวกับสิ่งที่คุณเรียกใช้บนคอมพิวเตอร์ของคุณและอย่าลืมอัปเดตโปรแกรมป้องกันไวรัสและความคิดของคุณเกี่ยวกับตัวคุณ" Cluley กล่าว