tag:blogger.com,1999:blog-24509689997421171292024-08-28T20:20:50.529+07:00วิธีป้องกันและแก้ไขเครื่องติดไวรัส Cryptolocker หรือไวรัสเรียกค่าไถ่วิธีป้องกันและการแก้ไขปัญหาติดไวรัส Decrypt virus, Cryptolocker, Ransomware , Cryptowall,CTB Locker, CryptoBit, Locker, PowerLocker, CryptoDefense, BitCrypt และไวรัสเข้ารหัสไฟล์เรียกค่าไถ่อื่นๆ
Unknownnoreply@blogger.comBlogger9125tag:blogger.com,1999:blog-2450968999742117129.post-46805954335517567772015-11-02T15:21:00.000+07:002015-11-02T15:21:05.953+07:00ข่าวดี!! กุญแจถอดรหัสกว่าหมื่นชุดถูกปล่อยหลังบุกยึดเซิร์ฟเวอร์ควบคุมมัลแวร์ CoinVault และ BitCryptor ได้<div style="-webkit-text-stroke-width: 0px; background-color: white; border: 0px; color: #333333; font-family: Helvetica, Arial, Thonburi, Tahoma, FreeSans, sans-serif; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.5px; margin: 0px; orphans: auto; outline: 0px; padding: 0.4em 0px; text-align: start; text-indent: 0px; text-transform: none; vertical-align: baseline; white-space: normal; widows: 1; word-spacing: 0px;">
หน่วยอาชญากรรมเทคโนโลยีระดับสูงแห่งเนเธอร์แลนด์ (National High Tech Crime Unit - NHTCU) บุกยึดเซิร์ฟเวอร์ควบคุมมัลแวร์ CoinVault และ BitCryptor หลังจากผู้ต้องสงสัยว่าเป็นผู้สร้างมัลแวร์ทั้งสองตัว<a href="http://www.theregister.co.uk/2015/09/18/coinvault_ransomware_arrests_dutch_netherlands/" style="border: 0px; color: #1d5fb3; font-size: 13px; margin: 0px; outline: 0px; padding: 0px; text-decoration: none; vertical-align: baseline;">ถูกจับไปตั้งแต่เดือนกันยายนที่ผ่านมา</a><span class="Apple-converted-space"> </span>ตอนนี้กุญแจถอดรหัสชุดสุดท้ายที่ได้มาจากเซิร์ฟเวอร์ถูกเปิดเผยในเว็บ<span class="Apple-converted-space"> </span><a href="https://noransom.kaspersky.com/" style="border: 0px; color: #1d5fb3; font-size: 13px; margin: 0px; outline: 0px; padding: 0px; text-decoration: none; vertical-align: baseline;">No Ransom ของ Kaspersky</a><span class="Apple-converted-space"> </span>แล้ว</div>
<div style="-webkit-text-stroke-width: 0px; background-color: white; border: 0px; color: #333333; font-family: Helvetica, Arial, Thonburi, Tahoma, FreeSans, sans-serif; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.5px; margin: 0px; orphans: auto; outline: 0px; padding: 0.4em 0px; text-align: start; text-indent: 0px; text-transform: none; vertical-align: baseline; white-space: normal; widows: 1; word-spacing: 0px;">
เซิร์ฟเวอร์ที่ถูกยึด พบทั้งค่า IV, กุญแจเข้ารหัส, และกุญแจลับของบัญชีบิตคอยน์ ก่อนหน้านี้มีรายงานว่ามัลแวร์ทั้งสองตัวเข้ารหัสเครื่องคอมพิวเตอร์ไปอย่างน้อย 1,500 เครื่อง แต่กุญแจที่เปิดเผยออกมามีมากถึง 14,755 ชุด</div>
<div style="-webkit-text-stroke-width: 0px; background-color: white; border: 0px; color: #333333; font-family: Helvetica, Arial, Thonburi, Tahoma, FreeSans, sans-serif; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.5px; margin: 0px; orphans: auto; outline: 0px; padding: 0.4em 0px; text-align: start; text-indent: 0px; text-transform: none; vertical-align: baseline; white-space: normal; widows: 1; word-spacing: 0px;">
ทาง Kaspersky ไม่ได้เปิดเผยกุญแจออกมาเป็นฐานข้อมูลตรงๆ แต่เปิดเป็นเครื่องมือถอดรหัสไฟล์ ถ้าใครเป็นเหยื่อ<a href="https://noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf" style="border: 0px; color: #1d5fb3; font-size: 13px; margin: 0px; outline: 0px; padding: 0px; text-decoration: none; vertical-align: baseline;">เข้าไปอ่านวิธีใช้ได้ในเว็บ</a></div>
<div style="-webkit-text-stroke-width: 0px; background-color: white; border: 0px; color: #333333; font-family: Helvetica, Arial, Thonburi, Tahoma, FreeSans, sans-serif; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.5px; margin: 0px; orphans: auto; outline: 0px; padding: 0.4em 0px; text-align: start; text-indent: 0px; text-transform: none; vertical-align: baseline; white-space: normal; widows: 1; word-spacing: 0px;">
<br /></div>
<div style="-webkit-text-stroke-width: 0px; background-color: white; border: 0px; color: #333333; font-family: Helvetica, Arial, Thonburi, Tahoma, FreeSans, sans-serif; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.5px; margin: 0px; orphans: auto; outline: 0px; padding: 0.4em 0px; text-align: start; text-indent: 0px; text-transform: none; vertical-align: baseline; white-space: normal; widows: 1; word-spacing: 0px;">
ที่มา https://www.blognone.com/node/74303 </div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2450968999742117129.post-37373614052143992152015-06-03T18:01:00.003+07:002015-06-03T18:05:17.408+07:00ไวรัส CryptoLocker สามารถถอดรหัสได้แล้วครับ<span style="color: red;"><span style="background-color: yellow;"><b>ที่มาจากเพจ https://www.facebook.com/hackandsecbook</b></span></span><br />
<br />
<div style="text-align: center;">
<img border="0" height="235" src="https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-xaf1/v/t1.0-9/s720x720/11393112_1064335236928513_8673991702288547900_n.png?oh=276152f81adf0b09eb442ed3d38ef6c4&oe=55EF2D01&__gda__=1441395725_1b3165fa599a08fcdba2369561b601bc" width="400" /></div>
<br />
<br />
<br />
"เราจะทำตามสัญญาขอเวลาอีกไม่นาน แล้วไฟล์ทั้งหลายจะคืนกลับมาาาาาา"<br />
ก่อนหน้านี้เคยมีข่าวว่าคนที่เขียน CryptoLocker ปล่อย private key สำหรับการ decrypt ไฟล์ที่ถูกเข้ารหัส แล้วจะปล่อยเครื่องมือมาใช้ในการถอดรหัสไฟล์มาให้อีกที<br />
<br />
มาวันนี้ปล่อยออกมาแล้วครับ สามารถ download ได้ตาม link (1) ตามที่แปะไว้ด้านล่างครับ มีคนลองแล้วด้วยว่าแก้ไขได้จริงๆ แถมตอนสุดท้ายหลังจาก decrypt เสร็จมีการขึ้นข้อความ "I'm sorryabout the encryption, your files are unlocked for free. Be good to the world and don't forget to smile smile emoticon"<br />
<br />
งานนี้ไม่ทราบว่าทำไมคนเขียน CryptoLocker ถึงตัดสินใจทำแบบนี้ แต่ก็ถือว่าเยี่ยมไปเลยครับ<br />
<br />
<a href="https://easysyncbackup.com/Downloads/LockerUnlocker.exe">https://easysyncbackup.com/Downloads/LockerUnlocker.exe</a><br />
<br />
<a href="http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/">http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/</a><br />
<br />
<a href="http://www.bleepingcomputer.com/forums/t/578182/today-locker-ransomware-dev-decrypted-everyones-files-for-free/#entry3723675">http://www.bleepingcomputer.com/forums/t/578182/today-locker-ransomware-dev-decrypted-everyones-files-for-free/#entry3723675</a><br />
<br />
ลองชั่งน้ำหนักดูละกันนะครับว่าจะลองใช้มั้ย(เห็นถามเข้ามากันเยอะ) เบื้องต้นตาม link ที่ให้ไว้ยังไม่มีคนไหนพบสิ่งผิดปกติครับ โดยส่วนตัวถ้าเป็นผมจะทำดังนี้<br />
1. decrypt file ด้วยเครื่องมือนี้<br />
2. backup file ทั้งหมด<br />
3. wipe เครื่องใหม่หมด จากนั้นลง windows ใหม่<br />
<br />
ปล. หากใครไม่ทราบ bitcoin address แล้วต้องการ decrypt ไฟล์(ยังไม่ได้ลง Windows ทับ)ให้ทำตามนี้ครับ<br />
1. Download ShadowExplorer.<br />
2. Export the file C:\ProgramData\rkcl\data.aa6 to any location. (Just access the file through Windows Explorer, if you haven't deleted the rkcl folder.)<br />
3. Open the file in Notepad or similar.<br />
<br />
<br />
<a href="http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-33#entry3721707">http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-33#entry3721707</a>Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-2450968999742117129.post-3477720254623964022015-05-26T20:48:00.001+07:002015-05-26T20:48:41.208+07:00มัลแวร์แนวแรนซั่มแวร์ (ransomware/cryptolocker) สามารถติดเครื่องที่เป็น Android ได้แล้ว<span style="-webkit-text-stroke-width: 0px; background-color: white; color: #141823; display: inline !important; float: none; font-family: helvetica, arial, 'lucida grande', sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.3199996948242px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px;">จากเพจ https://www.facebook.com/longhackz </span><br />
<br />
<span style="-webkit-text-stroke-width: 0px; background-color: white; color: #141823; display: inline !important; float: none; font-family: helvetica, arial, 'lucida grande', sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.3199996948242px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px;">มัลแวร์แนวแรนซั่มแวร์ (ransomware/cryptolocker) เริ่มล่ามมาเครื่อง Android อีกแล้วครับล่าสุด Bitdefender ตรวจพบสแปมเมลจำนวนมากแนบไฟล์ที่อ้างว่าเป็นอัพเดทสำหรับ Flash Player ของ Andriod ให้ติดตั้ง เมื่อเหยื่อเผลอติดตั้งจะขึ้นหน้าจอ เตือนว่า FBI พบว่าเครื่องของคุณ "เคยใช้ดูหนังโป๊น่ะ" ต้องจ่ายเงินค่าไถ่ 16000 บาท เพื่อปลดล็อค แต่ถ้าไม่จ่ายเงินแล้วแอพพบว่า user มีความพยายามจะเข้าใช้เครื่องต่อ ค่าไถ่จะเพิ่มขึ้นถึงสามเท่า! โดยแรนซั่มแวร์ตัวนี้จะปิดทำการปุ่ม Home บนเครื่อง แต่โชคดีที่มันไม่ได้เข้ารหัสไฟล์ในเครื่องผู้ใช้สามารถใช้ adb เพื่อกู้กลับมาได้ครับ ใครจะเปิดไฟล์แนบจากอีเมลต้องสงสัยอาจตกเป็นเหยื่อได้ ถ้าได้รับอีเมลที่บอกให้เราต้องเปิดไฟล์แนบจากแหล่งที่มาไม่น่าเชื่อถือแนะนำให้ลบทิ้งครับ</span><br style="-webkit-text-stroke-width: 0px; background-color: white; color: #141823; font-family: helvetica, arial, 'lucida grande', sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.3199996948242px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px;" /><span style="-webkit-text-stroke-width: 0px; background-color: white; color: #141823; display: inline !important; float: none; font-family: helvetica, arial, 'lucida grande', sans-serif; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.3199996948242px; orphans: auto; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 1; word-spacing: 0px;">ที่มา:<span class="Apple-converted-space"> </span></span>http://www.net-security.org/malware_news.php?id=3046Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-2450968999742117129.post-40652399239765094872015-05-06T19:09:00.001+07:002016-11-17T06:41:38.110+07:00รวมโปรแกรมถอดรหัสไวรัส cryptolocker<h3 class="post-title entry-title" itemprop="name">
โปรแกรมถอดรหัส
cryptolocker
</h3>
<div class="post-header">
</div>
ให้ลองใช้โปรแกรมถอดรหัสเหล่านี้ดูก่อน เพราะว่าตัว cryptolocker
มันมีหลายสายพันธุ์บางตัวอาจจะถอดรหัสได้ (แต่ก่อนอื่นต้อง remove ตัว
มัลแวร์ออกก่อนครับ)<br />
<br />
<b>Anti Malware </b><br />
- Malwarebytes' Anti-Malware <br />
<br />
<br />
<b>Decryptor</b><br />
<b>-</b> decryptcryptolocker.com<b><br /></b><br />
<b><br /></b>
<b>Decryptor ของ kaspersky </b><br />
<b>- </b>RectorDecryptor<br />
to encrypted by <i>Trojan-Ransom.Win32.Rector.</i><br />
<b> </b> <br />
<b>- </b>XoristDecryptor<br />
to decrypt files crypted by Trojan-Ransom.Win32.Xorist family (or Trojan-Ransom.MSIL.Vandev )<br />
<br />
- RakhniDecryptor<br />
to encrypted by<i> Trojan-Ransom.Win32.Rakhni.</i><br />
<br />
<b>- </b>RannohDecryptor <br />
to encrypt files on a victim-computer by changing files' names and extensions. <b> </b><br />
<i>Trojan-Ransom.Win32.Rannoh family</i><br />
<br />
- ScatterDecryptor<br />
to decrypt files crypted by <i>Trojan-Ransom.BAT.Scatter.</i><br />
<br />
- ScraperDecryptor <br />
to decrypt files affected by the <i>Trojan-Ransom.Win32.Scraper </i><br />
<br />
<br />
ตรวจสอบไฟล์หรือเวปไซด์ที่ไม่แน่ใจก่อนเปิด<br />
Virustotal.comUnknownnoreply@blogger.com0tag:blogger.com,1999:blog-2450968999742117129.post-64461504360521999072015-05-05T10:00:00.001+07:002016-11-17T06:39:13.418+07:00การแก้ปัญหา ไวรัส cryptowall<b>การแก้ปัญหา ไวรัส cryptowall</b> แชร์โดยคุณ <b>ลมธรรม</b> สมาชิกบอร์ดพันทิบครับ<br />
<br />
เครื่องของแฟนผมใช้win7โดนเขัาไปวันที่17มค ไฟล์งานวิจัย ไฟล์งานที่เก็บไว้เปิดไม่ได้ทั้งหมด<br />
รูปภาพ power point โดนเกลี้ยง แฟนผมร้องไห้เลยเพราะงานสะสมมากมาย แมัจะแบคอัพมาบ้างแล้ว<br />
ในครั้งแรกตัดสินใจว่าคงต้องจ่ายค่าไถ่ แต่ก็หวั่นใจว่าจ่ายไปแล้วก็แก้ไม่ได้ เสียเงินเปล่า<br />
<br />
หาในgoogle เจอกระทู้ในpantipกระทู้เดียว บอกว่าโดนเหมือนกัน<br />
เจอแนวแก้ในกระทู้ของ ตปทเลยลองดู<br />
<br />
ประเด็นสำคัญพบว่า<br />
1 ไวรัสตัวนี้ฆ่าตายไม่ยาก โปรแกรมมัลแวร์ธรรมดาก็ใช้ได้แล้ว<br />
2ความเสียหายคือไฟล์ถูกเข้ารหัสทั้งหมด แม้ฆ่าไวรัสไปแล้วก็ติดรหัสอยู่ดี<br />
3ผมลองใช้ shadow explores กู้ข้อมูลดู ไม่น่าเชื่อ กู้กลับได้เกือบครบ<br />
คือได้จนถึงวันที่11 มค ทำให้เราเสียข้อมูลไปไม่มาก<br />
<br />
วิธีการใช้ <br />
1. หาdownload shadow explorer มาติดตั้งในเครื่องหลังฆ่าไวรัสไปแล้ว<br />
2. เปิดโปรแกรม มันจะโชว์drive ที่มีในเครื่อง คือ c และอื่นพร้อมช่องวันที่<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi14C7lIL8k14lD-chhk-uV2dHk_q-179KZJk2DEpIkhEOpkVOsYQs_LKhxnSiW59y-jCMYLdidO1gP21UpY6Hrkc8R8Q_4V8QGoODbNPUy40zGBpccB7r011EnnP3GmzGTUYq1ER2RcuTu/s1600/shadowexplorer.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi14C7lIL8k14lD-chhk-uV2dHk_q-179KZJk2DEpIkhEOpkVOsYQs_LKhxnSiW59y-jCMYLdidO1gP21UpY6Hrkc8R8Q_4V8QGoODbNPUy40zGBpccB7r011EnnP3GmzGTUYq1ER2RcuTu/s400/shadowexplorer.png" width="400" /></a></div>
<br />
<br />
3. คลิกเลือกdrive แล้วคลิกช่องวันที่ (ของผมได้ถึง11 มค)มันจะแสดงข้อมูลระบบในวันนั้นๆออกมา<br />
4. เลือกข้อมูลที่ต้องการ แล้วคลิกขวา มันจะโชว์คำว่า export<br />
กดเลือกให้มันส่งไฟล์ไปที่ๆเราต้องการ(ของผมให้ส่งไป memory stick ที่ผมเสียบไว้) แล้วย้ายไฟล์ไปไว้ในอีกเครื่องหนึ่ง ค่อยๆย้ายไปเรื่อยจนหมด แล้วผมก็เตรียมลงwinใหม่เลย<br />
<br />
ดีใจเลยรีบแบ่งปันครับ ไม่ทราบว่ามีใครแนะนำก่อนผมหรือยังถ้าซ้ำก็ขออภัยนะครับ<br />
ขอขอบคุณท่านที่แนะนำให้ลองใช้ shadow explorer เป็นอย่างสูงครับ<br />
<br />
<br />
<br />
ดาวน์โหลดไฟล์ที่นี่ <br />
shadowexplorer<br />
<br />
<br />
อ่านกระทู้เพิ่มเติมได้ที่นี่ครับ<br />
<a href="http://adf.ly/9849833/www.pantip.com/topic/33134319" rel="nofollow" target="_blank">http://www.pantip.com/topic/3313431</a><br />
<br />
<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2450968999742117129.post-49339577841561124082015-05-05T09:37:00.001+07:002015-05-05T09:37:53.450+07:00ตัวอย่างวีดีโอวิธีการถอดรหัส CryptoLocker Ransomware<b>ตัวอย่างวีดีโอวิธีการถอดรหัส CryptoLocker Ransomware </b><br />
<br />
CryptoLocker Ransomware มีอยู่หลายสายพันธุ์ วิธีการนี้อาจจะใช้ไม่ได้กับทุกตัวครับ<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="270" src="https://www.youtube.com/embed/G2sUQFME0bE" width="480"></iframe>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2450968999742117129.post-80365001064925790352015-05-04T16:45:00.001+07:002015-05-04T16:58:45.540+07:00มารู้จักกับไวรัส CryptoLocker<b>CrytoLocker คือ Ransomware , Ransomware ก็คือ Malware ชนิดหนึ่งนั่นเอง</b><br />
<br />
CryptoLocker เป็น Ransomware บนระบบปฏิบัติการ Windows โดยถูกเผยแพร่ผ่านทางไฟล์แนบในอีเมลหลอกลวง พร้อมกับแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ EXE ที่ถูกปลอมแปลงว่าเป็นไฟล์ PDF หรือผ่านทางมัลแวร์ประเภทบอตเน็ตที่เคยถูกติดตั้งลงบนเครื่องของผู้ใช้มาก่อน หลักการทำงานโดยทั่วไปของ CryptoLocker นั้นคือทำการเข้ารหัสลับข้อมูลไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่น ๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ จากนั้นจะขึ้นข้อความข่มขู่ให้ผู้ใช้ทำการชำระเงินภายในเวลาที่กำหนด ก่อนที่ข้อมูลทั้งหมดจะไม่สามารถถูกถอดรหัสลับได้อีกตลอดไป<br />
ทั้งนี้ตัว CrytoLocker ยังสามารถแพร่ผ่านเครือข่ายที่ถูกแชร์ได้ด้วย (Map Drive)<br />
<br />
CryptoLocker หลังจากที่ติดตั้งตัวเองลงในคอมพิวเตอร์แล้ว จะทำการดาวน์โหลด Public key ที่ใช้สำหรับเข้ารหัสลับ โดย Public key ที่ถูกดาวน์โหลดมานั้นใช้อัลกอริทึม RSA ที่มีความยาวถึง 2048 bits ซึ่งคอมพิวเตอร์ธรรมดาไม่มีทางที่จะถอดรหัสสุ่มหา Private key ได้เลย ทั้งนี้ RAS publickey นี้เพื่อเอามาครอบรหัสลับ Secret key ที่ใช้ในการเข้ารหัสลับข้อมูลในคอมพิวเตอร์ของเหยื่อจริง ๆ อีกทอดหนึ่ง โดย Secret key ดังกล่าวใช้อัลกอริทึม AES ความยาว 256 bits <br />
สิ่งที่เราต้องการที่จะต้องจ่ายให้กับแฮกเกอร์คือตัว Private key นี่ล่ะ<br />
<br />
ช่องทางการชำระเงินจะต้องจ่ายทาง Bitcoin (ตัวย่อ: BTC) ซึ่งเป็นสกุลเงินดิจิทัล<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.thaicert.or.th/papers/images/pa2013te011-3.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img alt="https://www.thaicert.or.th/papers/images/pa2013te011-3.png" border="0" height="246" src="https://www.thaicert.or.th/papers/images/pa2013te011-3.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br />
<br />
วิธีการชำระเงินนั้นจะเริ่มจากการให้ผู้ใช้อัพโหลดไฟล์ที่ถูกเข้ารหัสลับผ่านหน้าเว็บไซต์เพื่อทำการตรวจสอบหา Private key ที่ใช้ในการถอดรหัสลับ <br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.thaicert.or.th/papers/images/pa2013te011-4.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="343" src="https://www.thaicert.or.th/papers/images/pa2013te011-4.jpg" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<br />
<br />
หน้าต่างชำระเงินหลังจากเสร็จสิ้นการค้นหา Private key<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.thaicert.or.th/papers/images/pa2013te011-5.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="343" src="https://www.thaicert.or.th/papers/images/pa2013te011-5.jpg" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: left;">
<br /></div>
<b>วิธีการป้องกัน</b> <br />
- Backup ข้อมูลอย่างสม่ำเสมอ<br />
- ติดตั้ง/อัปเดตโปรแกรมป้องกันไวรัส/มัลแวร์<br />
- อัปเดตโปรแกรมอื่นๆ สม่ำเสมอ เช่น Java และ Adobe Reader<br />
- อัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ<br />
- ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย<br />
- หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิ์ในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิ์เหล่านั้น<br />
- ตั้งค่า Policy ของระบบปฏิบัติการ เพื่อป้องกันไม่ให้มัลแวร์สามารถทำงานตาม Directory หรือ Path ที่ระบุได้ <br />
<br />
<br />
<br />
สามารถอ่านแบบละเอียดได้ที่<br />
https://www.thaicert.or.th/papers/technical/2013/pa2013te011.html Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-2450968999742117129.post-22552849869327792662015-05-04T15:53:00.003+07:002015-05-04T15:57:28.748+07:00Ransomware และ Cryptolocker คืออะไร ป้องกัน-แก้ไขยังไงแบบเข้าใจง่าย ๆ ในรูปเดียวทางเพจ สอนแฮกเว็บแบบแมวๆ https://www.facebook.com/longhackz ได้ทำ infographic เกี่ยวกับเจ้า Ransomware และ Cryptolocker คืออะไร ป้องกัน-แก้ไขยังไงแบบเข้าใจง่ายมาให้ดูกันครับ<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://loadfree.ga/1k6G" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhF7gpexeGCY89-xZKdXRFD2POaPlP-qBAmcDxTuIOj9sNCvLVlQ8eTMzP20vbfT7jd5bcBRW9T323ypdDoZ7acRRNSyHIu1X00j8QcVBzBKQx7iqXu-2oEPy8WYwifnjqT6RZe7u3pTcUQ/s400/ransomware-cryptolocker.jpg" width="331" /></a></div>
<br />Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-2450968999742117129.post-9055612978101171872015-05-04T10:24:00.003+07:002016-11-17T06:39:44.636+07:00ครั้งแรกที่รู้จักไวรัส Cryptolocker เรียกค่าไถ่<b>ครั้งแรกที่รู้จักไวรัส Cryptolocker เรียกค่าไถ่</b><br />
<br />
ผมเป็นคนที่เข้าบอร์ด thaiseoboard ประจำอยู่แล้ว มีอยู่วันนึง ก็มีสมาชิกในบอร์ด คุณ killrerb โพสขอความช่วยเหลือเรื่องโดนไวรัส <b>Cyptolocker</b> เรียกค่าไถ่ ต้องซื้อโปรแกรมถอดรหัสจากเขาเป็นเงิน 11,900 บาท หนำซ้ำถ้าเกินเวลาจะต้องจ่ายเงินเพิ่มอีก การจ่ายเงินก็จะต้องจ่ายในระบบ bitcoin เท่านั้นซึ่งไม่สามารถที่จะเรียกคืนหรือแจ้งระงับได้เหมือน paypal<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTJITHhs1-Y0vNTJAwVmlWFu2ZWg3bjN-Cx4zGcYFvXDMJuk0mC-5Ephj4_awiOg-us6oucVAxN_4NLFnLvaoKbzKr6pctqB6ilDN70Q6nwge5e9GCu1npPw3UIrKnaIm6mgcZFK9IecVc/s1600/CryptolockerScreenThai+.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiTJITHhs1-Y0vNTJAwVmlWFu2ZWg3bjN-Cx4zGcYFvXDMJuk0mC-5Ephj4_awiOg-us6oucVAxN_4NLFnLvaoKbzKr6pctqB6ilDN70Q6nwge5e9GCu1npPw3UIrKnaIm6mgcZFK9IecVc/s400/CryptolockerScreenThai+.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
(ขู่มาเป็นภาษาไทยเลยครับ) </div>
<br />
ตามนี้ครับ <a href="http://adf.ly/9849833/banner/www.thaiseoboard.com/index.php/topic,367987.0.html" rel="nofollow" target="_blank">http://www.thaiseoboard.com/index.php/topic,367987.0.html</a><br />
<br />
<br />
ขู่มาเป็นภาษาไทยแบบไม่ผิดเพี้ยนแบบนี้ หรือว่าถูกปล่อยมาจากคนไทยเองนะน่าคิด .......<br />
<br />
<br />
<b>อาการเครื่องที่ติดไวรัส Cyptolocker</b><br />
<br />
เจ้าของกระทู้คาดว่าน่าจะติดมาจากการไปลองดาวน์โหลดโปรแกรมในเน็ทมาติดตั้ง แล้วมีไวรัสแฝงอยู่ อาการเริ่มแรกคือ เครื่องจะทำงานช้าลงๆ หลังจาก restart เครื่องไปก็จะขึ้นหน้าจอเรียกค่าไถ่ ไฟล์ต่างๆก็ถูกเข้ารหัสหมดไม่สามารถใช้งานได้เลย ซึ่งถึงแม้เราย้ายข้อมูลไปไว้ที่อื่นก็ไม่สามารถเปิดได้<br />
<br />
<b>การแก้ไข </b><br />
มีสมาชิกหลายๆท่านได้ช่วยแนะวิธีการต่างๆ บางสมาชิกแนะนำไว่าถ้าเป็นไฟล์งานที่สำคัญมากๆ ก็ให้จ่ายเงินไปจะคุ้มกว่า ถ้าไม่สำคัญก็ให้ format เครื่องไปเลย การแก้ไขเบื้องต้นทำได้เพียงใช้โปรแกรม remove เจ้าไวรัสตัวนี้ออกไป แต่ส่วนไฟล์ที่ถูกเข้ารหัสไว้จะไม่สามารถเปิดได้ ซึ่งเดี๋ยวผมจะรวบรวมแนวทางวิธีการถอดรหัสให้อีกทีครับ<br />
<br />
ตัวอย่างคนที่จ่ายค่าไถ่แล้วใช้งานได้ (ทำไมถึงจับไม่ได้เสียทีพวกนี้)<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOTynk-k-MhEe2LVLnsogpiKCxOvXslmdduc0y5pURR3dPJ893o_U7U12FdxNbxydFFMWiyn3GgS8hU4RbHYpeSOndRwl5x-AbDkrqboJUi4W1vN1WAma5rrK-bozLx49bIZOLwFWAESGT/s1600/CryptolockerDecrypt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="126" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjOTynk-k-MhEe2LVLnsogpiKCxOvXslmdduc0y5pURR3dPJ893o_U7U12FdxNbxydFFMWiyn3GgS8hU4RbHYpeSOndRwl5x-AbDkrqboJUi4W1vN1WAma5rrK-bozLx49bIZOLwFWAESGT/s400/CryptolockerDecrypt.png" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh6G1bP8AagKamLqEmJghIgTWHJBKh20pG_OtvagLUoon2N2jCmkqWnujr0-jgjmYUuMosF1285psdXkc96jXy4hxBK-nUKKAnra83Y43CygnZeL6tDLtGX__DqIpWbYk8fRNcEF_83E1ds/s1600/2015-05-04+09_04_05-%E0%B9%81%E0%B8%81%E0%B9%89%E0%B9%84%E0%B8%A7%E0%B8%A3%E0%B8%B1%E0%B8%AA+Decrypt+virus,Cryptolocker+virus+,Ransomware+virus+%E0%B9%81%E0%B8%A5%E0%B8%B0+CTB+Locker+virus.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><br /></a></div>
<br />
ใครจะลอง Decrypt ไฟล์ลองดูที่นี่ครับ<br />
<a href="http://adf.ly/9849833/www.decryptcryptolocker.com" rel="nofollow" target="_blank">https//www.decryptcryptolocker.com</a><br />
<a href="http://adf.ly/9849833/support.kaspersky.com/viruses/utility" rel="nofollow" target="_blank">http://support.kaspersky.com/viruses/utility</a><br />
<br />
<br />
<b>การป้องกันเบื้องต้น</b> <br />
- update antivirus, antimalware <br />
- ให้สแกนไฟล์ที่แนบมากับอีเมล์ทุกครั้งก่อนเปิด ถ้าเป็นไฟล์นามสกุล exe ห้ามเปิดเด็ดขาด ไวรัสตัวนี้มักจะปลอมตัวคล้ายๆ PDF ซึ่งจริงๆแล้วคือ PDF.EXE<br />
- อย่าเปิดไฟล์ที่ดาวน์โหลดมา ให้สแกนดูก่อน <br />
- สำรองข้อมูลเป็นประจำ<br />
<br />
นี่เป็นข้อมูลเบื้องต้นเกี่ยวกับเจ้าไวรัสเรียกค่าไถ่ <b>Cryptolocker </b>ส่วนในโพสถัดไปเราจะมาทำความรู้จักกับที่มาที่ไปของเจ้าไวรัสตัวนี้กันครับ<br />
<br />
<br />
<br />
<b>แหล่งข้อมูล</b><br />
<a href="http://adf.ly/9849833/www.thaiseoboard.com/index.php/topic,367987.0.html" rel="nofollow" target="_blank">http://www.thaiseoboard.com/index.php/topic,367987.0.html</a><br />
<a href="http://adf.ly/9849833/pantip.com/topic/31188765" rel="nofollow" target="_blank">http://pantip.com/topic/3118876</a><br />
<br />
<br />
<br />
<br />
<br />Unknownnoreply@blogger.com0