"Malware Fix รวมวิธีแก้ปัญหา virus computer โครงการทำดีเพื่อสังคม" "เนื่องจากภาระหน้าที่ทางการงาน ต้องขออภัยผู้เยี่ยมชมทุกท่านนะครับ ที่เ้ข้ามาแล้ว ไม่มีการ update virus ตัวใหม่ นะครับ"

Information

http://malwarefighting.blogspot.com


Photobucket
แจ้งเตือนภัย ! Crypt0L0cker (Ransomware)
เข้ารหัสข้อมูลใน คอมพิวเตอร์ กำลังระบาดในไทย
และกำลังระบาดหนักในเกาหลี
ThaiCERT , Crytpo Prevention Tool

*ห้ามจ่ายเงินโดยเด็ดขาด เพราะจะเสียทั่้งเงินและกู้ข้อมูลไม่ได้
รบกวนคนที่เข้ามาอ่านช่วยแชร์ด้วยนะครับ
http://hotzone-it.blogspot.com/2015/07/how-to-remove-crypt0l0cker-not.html
==============================================
PeeTechFix >> JupiterFix
==============================================
Photobucket

วิธีใช้งาน : JupiterFix-Win32.PSW.OnlineGames
ท่านสามารถตรวจสอบรายชื่อ Virus ที่โปรแกรม สามารถ Clean ได้ ใน VirusList.txt
-------------------------------------------------------------------------------------
ท่านใดที่ Download PeeTechFix tool ไปใช้แล้วมีปัญหาหรือลบไม่ออก โปรดแจ้งปัญหา ที่ email : MalwareHunter.info@gmail.com ด้วยครับ หรือส่งไฟล์ virus ให้ด้วย จะขอบพระคุณอย่างยิ่ง
-------------------------------------------------------------------------------------
Safemode Recovery (.reg) แก้ปัญหา Virus ลบ Key Safeboot แล้วเข้า safemode ไม่ได้
------------------------------------------------------------------------------------
วิธีแก้ Error message (แก้อาการเปิดไฟล์ .exe ใน USB Drive ไม่ได้)
"Windows cannot open this program because it has been prevented by a software restriction policy. For more information, open Event Viewer or contact your system administrator"
วิธีแก้ ดูที่ link นี้ครับ
-------------------------------------------------------------------------------------
วิธีแก้ MSN /Windows Live Messenger Disconnect (จาก virus OnlineGames)
-------------------------------------------------------------------------------------
How to start Windows in Safe Mode


Tuesday

Ransomware knowledge

Ransomware Alert ! ระวังถูกเรียกค่าไถ่ ใช้ข้อมูลเป็นตัวประกัน ! + วิธีแก้ไข ป้องกัน

ในยุคที่ข้อมูลเกือบทุกอย่างถูก digitalize (ถูกเก็บในรูปแบบดิจิทัล) ไม่ว่าจะเพื่อความสะดวกในการประมวลผล, การค้นหา และ การเข้าถึง นั้น ส่งผลให้ชีวิตของผู้ใช้งานระบบใด ๆ ก็ตามง่ายขึ้น ไม่ว่าจะเป็นการเก็บรูปภาพ ซึ่งสามารถเก็บไว้ดูได้นานขึ้นพร้อมกับความละเอียดที่ดีขึ้น หรือการทำงานผ่าน spreadsheet ที่สามารถช่วยให้การคำนวณต่างๆ ทำได้เร็วขึ้น และการเก็บข้อมูลอื่น ๆ ที่นอกจากจะง่ายแล้ว ยังสามารถเก็บได้ในปริมาณมาก ๆ ไว้ในอุปกรณ์ที่ขนาดเล็กกว่าฝ่ามือ ที่ส่งผลให้การพกพาสะดวก และกลายเป็นส่วนหนึ่งในชีวิตของผู้คนไป และ จุดนี้เองเป็นจุดที่ทำให้ผู้ไม่ประสงค์ดีสามารถคิดวิธีหาเงินแบบแปลก ๆ ซึ่งก็คือการจับข้อมูลเราเป็นตัวประกันเพื่อเรียกค่าไถ่ ผ่านโปรแกรมประสงค์ร้ายที่เราเรียกกันว่า “MalWare” ที่เป็นประเภท “Ransomware” หรือ “โปรแกรมเรียกค่าไถ่” นั่นเอง

รูปแบบของโปรแกรมเรียกค่าไถ่ Ransomware

การทำงานของ Ransomware จะมีใน 2 รูปแบบหลัก ๆ ด้วยกัน
  1. Lockscreen Ransomware การเรียกค่าไถ่แบบนี้ โปรแกรม Ransomware จะทำการใช้งานฟังก์ชัน Lock Screen ของระบบปฏิบัติการของอุปกรณ์ที่ติด Ransomware (ทั้งที่เป็น Computer และ Mobile) ทำให้เราไม่สามารถเข้าสู่ Interface ปกติของอุปกรณ์ เพื่อเรียกใช้ Application หรือเข้าถึงข้อมูลใด ๆ ได้ แต่ข้อมูลและ Application ไม่ได้ถูกแตะต้องแต่อย่างใด
  2. Files-Encrypting Ransomware การเรียกค่าไถ่แบบนี้ผู้ใช้งานสามารถใช้งานอุปกรณ์ได้ และใช้งาน application ได้ตามปกติ แต่ Ramsomware จะใช้วิธีการเข้ารหัสไฟล์ไว้ (ภาษาชาวบ้านคือ ล็อกไฟล์ไว้) ไม่ให้ผู้ใช้งานสามารถเข้าถึงไฟล์ของตัวเองได้
การเรียกค่าไถ่แบบที่ 1. นั้นสามารถถูกแก้ไข เพื่อ bypass การ lock screen ได้โดยผู้เชี่ยวชาญด้านคอมพิวเตอร์ โดยที่ไม่จำเป็นต้องจ่ายค่าไถ่แต่อย่างใด
แต่สำหรับแบบที่ 2. นั้น ใน Ramsomware เวอร์ชั่นใหม่ ๆ (ที่โด่งดังก็มี CryptoWall, CryptoLocker, CryptoDefense และ TeslaCrypt)  ถูกพัฒนาให้ยากแก่การแก้ไข ทางที่ง่ายที่สุดที่จะได้วิธีถอดรหัสไฟล์ของเราคือการจ่ายเงินให้อาชญากร (การเรียกค่าไถ่เป็นอาชญากรรม) ที่ทำการเรียกค่าไถ่เรานั่นเอง
ซึ่งในบทความนี้จะกล่าวถึง Ransomware ในแบบที่ 2 – File Encrypting Ransomware

ระบบปฏิบัติการที่เป็นเป้าหมาย

ส่วนใหญ่เป็นระบบปฏิบัติการ Windows เป็นหลัก และ เริ่มพบในระบบปฏิบัติการณ์ Android บ้างแล้ว สำหรับระบบปฏิบัติการ อื่น ๆ ก็ใช่ว่าจะปลอดภัย 100% ในอนาคต

ขั้นตอนการทำงานของ File Encrypting Ransomware

เมื่อ Ransomware เริ่มทำงานบนเครื่องคอมพิวเตอร์ของเครื่องเป้าหมายแล้ว จะมีขั้นตอนดังต่อไปนี้เพื่อเข้ารหัสไฟล์และเรียกค่าไถ่จากเหยื่อ
  1. การติดตั้ง (Installation)
  • โปรแกรมจะติดตั้งตัวเองลงบนคอมพิวเตอร์รวมถึงการตั้งค่าให้ตัวมันเองทำงานทุกครั้งที่มีการเปิดเครื่องคอมพิวเตอร์
  1. เชื่อมต่อไปยัง Command & Control Center (C&C)
  • Command & Control Center ถือเป็นศูนย์กลางการควบคุม Ransomware ที่ทำการเก็บข้อมูล และ key สำหรับถอดรหัสของเครื่องคอมพิวเตอร์เหยื่อแต่ละราย ซึ่ง Ransomware จะทำการติดต่อกับ C&C ให้ได้ก่อนที่จะกระทำการใด ๆ ต่อไป
  1. ทำการระบุเครื่องเป้าหมาย และ สร้าง key เพื่อเข้ารหัสเครื่องไฟล์บนเป้าหมาย
  • Ransomware ที่ติดตั้งบนเครื่องเหยื่อแต่ละราย เมื่อติดต่อกับ C&C ได้แล้ว จะมีขั้นตอนเพื่อระบุให้ได้ว่าใครคือใครผ่านขั้นตอนที่เรียกว่าการทำ handshake จากนั้นจะทำการสร้าง key ที่จะใช้ใน Asymmetric Key Encryption (จะกล่าวถึงในรายละเอียดต่อไป) เพื่อเข้ารหัสไฟล์บนเครื่องของเหยื่อมา 2 key ทั้ง 2 key นี้จะถูกเรียกว่า Public key และ Private key ซึ่ง Public key คือ key ที่จะใช้เข้ารหัสและส่งมามาที่เครื่องของเหยื่อ ส่วน Private Key ที่จะใช้ถอดรหัส จะถูกเก็บไว้ที่เครื่อง C&C โดยใช้ key 1 คู่ ต่อเหยื่อ 1 เครื่อง
  1. เข้ารหัสไฟล์บนเครื่องเป้าหมาย
  • เมื่อ Ramsomware ได้ทำการเตรียมการกับ C&C แล้ว และ Public Key ถูกส่งมาที่เครื่องของเหยื่อแล้ว Ransomware จะทำการค้นหาไฟล์ที่มันคิดว่ามีความสำคัญกับผู้ใช้งาน เช่น รูปภาพ (เช่น .jpg, .gif, .png), วิดีโอ (เช่น .avi, .mpeg, .mov), เอกสาร office (เช่น .doc, .docx, .xls, .xlsx) โดยดูจาก File extension หรือนามสกุลของไฟล์นั่นเอง จากนั้นจะทำการเข้ารหัสไฟล์ทั้งหมด ผ่าน RSA Algorithm โดยใช้ Public Key เป็นกุญแจในการเข้ารหัส ในทางเทคนิคแล้วไฟล์ที่ถูกเข้ารหัสแล้วจะยังสามารถอ่านได้ แต่จะไม่ใช่ในแบบที่เคยเป็น และดูไม่รู้เรื่อง สำหรับคนทั่วไปคือ ไฟล์ของท่านใช้งานไม่ได้แล้ว
  1. แสดงตัวเพื่อขู่กรรโชกทรัพย์ (Extortion)
  • หลังจากที่ Ransomware เข้า รหัสไฟล์เรียบร้อย จะแสดงหน้าจอเตือนผู้ใช้งานว่าไฟล์ทั้งหมดถูกเข้ารหัสแล้วและไม่สามารถใช้ งานได้ และต้องยอมจ่ายเงินเป็นจำนวนตามที่ Ransomware เรียกร้อง แล้วจะส่ง Private key ที่ใช้ในการเข้ารหัสมาให้ ไม่เช่นนั้นจะทำการลบ Private Key ทิ้งและจะไม่สามารถเข้าถึงไฟล์ได้อีกต่อไป
ransomware-alert-01
รูปที่ 1 : ภาพหน้าจอคอมพิวเตอร์เมื่อโดน Ransomware เข้ารหัสไฟล์เรียบร้อย
ransomware-alert-02
รูปที่ 2 : Ransomware จะบอกด้วยว่าไฟล์ใดถูกเข้ารหัสบ้าง
Asymmetric Key Encryption (การเข้ารหัสแบบที่การเข้ากับถอดรหัสจะใช้ key คนละ key หรือ Public key Encryption)
โดยทั่วไป หากเราเปรียบเทียบการเข้ารหัสกับการล็อกแม่กุญแจแล้ว คงจะไม่แปลกที่จะเห็นภาพการล็อกและปลดแม่กุญแจด้วยลูกกุญแจเพียงดอกเดียว ซึ่งการเข้ารหัสตามหลักการนี้เรียกว่า Symmetric Key Encryption ตามรูปที่ 3
Symmetric Key Encryption (ภาพจาก access.redhat.com)
Symmetric Key Encryption (ภาพจาก access.redhat.com)
Original Data คือข้อมูลปกติก่อนเข้ารหัส, Scrambled Data คือข้อมูลที่ถูกเข้ารหัสแล้วไม่สามารถอ่านเข้าใจหรือใช้งานได้
โดยที่จุดอ่อนของ Symmetric Key Encryption คือการแจกจ่ายคีย์ให้กับผู้เกี่ยวข้อง เนื่องจาก key ที่ถูกใช้เข้ารหัสและถอดรหัสคือ key เดียวกัน ฉะนั้นหากรั่วไหลไประหว่างการส่งหรือที่ใด ๆ ก็ตามจะส่งผลต่อความลับของข้อมูลได้
ด้วยเหตุนี้เอง Asymmetric Key Encryption จึงถูกคิดค้นมาเพื่อแก้จุดอ่อนของ Symmetric Key Encryption โดยอาศัยฟังก์ชั่นทางคณิตศาสตร์ ทำให้การเข้ารหัสและถอดรหัสต้องกระทำผ่านกุญแจ (Key) คนละตัว โดยทั้งสอง Key นี้ หากใช้อันใดอันหนึ่งเข้ารหัสแล้ว ต้องใช้อีกอันที่ถูกสร้างขึ้นมาคู่กันเท่านั้นในการถอดรหัส ซึ่งตัวใดตัวหนึ่งจะถูกเก็บเป็นความลับ เรียกว่า Private Key และอีกตัวจะเป็น Public Key ทีนี้หาก Key ที่เป็น Public ถูกเปิดเผย ไม่ว่าจะด้วยเหตุใดก็ตาม ก็จะไม่ส่งผลต่อข้อมูลที่ถูกเข้ารหัสแล้ว การทำงานของ Asymmetric Key Encryption จะเป็นดังรูปที่ 4
รูปที่ 4 : Asymmetric Key Encryption (ภาพจาก packetlife.net)
รูปที่ 4 : Asymmetric Key Encryption (ภาพจาก packetlife.net)
การเข้ารหัสทั้งสองวิธีนั้น จะมีเพียง key อย่างเดียวก็ไม่ได้ ต้องประกอบด้วย Algorithm (วิธีการในการเข้ารหัสด้วย) ซึ่งหากทั้ง 2 องค์ประกอบที่ว่านี้ มีความแข็งแกร่งแล้ว การถอดรหัสก็จะทำได้ยากมาก ๆ
Ransomware จะใช้ Asymmetric Key Encryption ในการเข้ารหัสไฟล์ของเหยื่อ โดยความยาวของ key จะมีขนาด 2048 bits ขึ้นไป (คิดง่าย ๆ 2048 bits ก็ 256 ตัวอักษร เดายากแค่ไหนคงไม่ต้องบอก) ประกอบกับ Algorithm (วิธีการในการเข้ารหัส) ที่แข็งแรงอย่างเช่น RSA

ช่องทางการส่ง Ransomware ไปยังเหยื่อ

ช่องทางหลักก็จะเป็นทาง Email โดยจะเป็นข้อความในเชิงบอกว่าผู้ใช้งานกำลังประสบปัญหาบางอย่าง หากอยากแก้ไขให้โหลดโปรแกรมไปใช้, ข้อความผ่านโปรแกรม chat เนื้อหาคลายคลึงกับ Email และตามเว็บไซต์ต่าง ๆ เช่น หลอกผู้ใช้งานว่าเป็นโปรแกรม Antivirus ให้โหลดไปใช้งานได้ฟรี รวมถึงการแอบฝังมาพร้อมกับซอฟท์แวร์อื่น ๆ เช่น เกมส์ที่ผิดลิขสิทธิ์และให้ดาวน์โหลดฟรี
และเมื่อโปรแกรมที่ว่า (ซึ่งก็คือ Ransomware) ถูกสั่งให้ทำงานโดยผู้ใช้งานแล้วก็จะดำเนินการตามที่ได้กล่าวมาในข้างต้น
ในการส่งไฟล์ Ransomware ให้เหยื่อโดยตรงนั้น โจรมักจะใช้เทคนิค Double Extension ในการแปลงกายไฟล์ให้ดูน่าเชื่อถือ ผ่านการทำงานของ Windows ที่เรียกว่า “Hide extensions for known file types” ดังรูปที่ 5
รูปที่ 5 : เปรียบเทียบก่อนและหลังการปิด "Hide extension for known file types"
รูปที่ 5 : เปรียบเทียบก่อนและหลังการปิด “Hide extension for known file types”
นอกจากกลยุทธ์ข้างต้นที่เป็นการหลอกให้ผู้ใช้งานเปิดไฟล์ Ransomware ด้วยตัวเองแล้ว ยังมีแบบที่ผู้โจมตีใช้ Backdoor ที่เกิดจาก Malware ตัวอื่น ๆ หรือเข้าสู่ระบบ ด้วย Username/Password ที่คาดเดาได้ง่าย เพื่อมาทำการติดตั้งและสั่งให้ Ransomware ทำงานด้วยตัวเองอีกด้วย

ความเสียหายเกิดกับเฉพาะเครื่องคอมพิวเตอร์ที่ติด Ransomware หรือไม่?

ทั้งใช่ และ ไม่ใช่ เนื่องจาก Ransomware (ในปัจจุบัน) ไม่ได้ถูกออกแบบมาให้ทำงานเหมือน Virus หรือ Worm ที่สามารถแพร่กระจายไปตามที่ต่าง ๆ ได้ แต่หากเครื่องคอมพิวเตอร์ที่ติด Ransomware มี การเชื่อมต่อ Mapped Network Drive, USB Storage และมีสิทธิ์ในการเขียนไฟล์ลงในพื้นที่ดังกล่าวด้วยแล้ว ก็จะทำให้ไฟล์ในพื้นที่เหล่านั้นถูกจับเป็นตัวประกันได้ด้วย เพราะ Ransomware จะควานหาทุกไฟล์ที่เครื่องที่ติด Ransomware สามารถเข้าถึงได้
แต่ก็เป็นไปได้ที่จะเกิด Ransomware ที่มีความสามารถของ Virus และ Worm ซึ่งไม่จำเป็นต้องมีคนไปสั่งการ สามารถที่จะทำงานได้เอง

ช่องทางการจ่ายเงินให้อาชญากร

โดยมากแล้วอาชญากรมักจะให้จ่ายเงินในตระกูล Bitcoin (ค่าเงินในโลกไซเบอร์ซึ่งมีอัตราแลกเปลี่ยนเหมือนเงินปกติทุกประการ) เพราะไม่สามารตามร่องรอยได้แม้จะรู้เลขบัญชีของอาชญากร (หากอาชญากรไม่เคยเผลอเปิดเผยซะเองไว้ที่ไหนสักแห่ง) และช่องทางอื่น ๆ ที่คล้ายกับ Bitcoin ซึ่งไม่สามารถตามรอยได้

จ่ายแล้วจะได้ข้อมูลคืนจริงหรือ

เท่าที่ผู้เขียนได้ข้อมูลมานั้น ผู้ที่ยอมจ่ายค่าไถ่มักจะได้ข้อมูลคืนจริง เพื่อที่ว่าโจรนั้นจะได้หากินได้เรื่อย ๆแต่ก็มีบ้างที่ไม่ได้คืน

ควรจ่ายค่าไถ่หรือไม่

ท้ายที่สุดแล้วการตัดสินใจก็ต้องเป็นไปตามที่ผู้ถูกโจมตีเห็นสมควรว่าจะจ่ายหรือไม่ แต่ผู้เขียนอยากให้ข้อคิดไว้นิดหนึ่งว่า
  1. ในทุก ๆ วัน เราเสี่ยงกับการเสียหายของข้อมูลอยู่แล้วไม่ทางใดก็ทางหนึ่ง และหลาย ๆ แบบก็ทำให้เราไม่สามารถกู้ข้อมูลกลับมาได้ก็มี เช่น ความเสียหายทางกายภาพของอุปกรณ์ที่เก็บข้อมูล, ภัยจากการขโมยและจารกรรม และอื่น ๆ ซึ่งโอกาสในการจะได้ข้อมูลคืนแทบไม่ต่างจากการโดน Ransomware เล่นงาน
  2. การขู่กรรโชกทรัพย์ด้วย Ransomware ถือเป็นอาชญากรรม ซึ่งหมายความว่าเรากำลังเผชิญกับอาชญากรซึ่งหากินอยู่บนความเดือดร้อนของคน อื่น และเป็นสิ่งที่เราสามารถเลือกได้ว่าจะให้อาชญากรเห็นว่าการกระทำนี้สามารถ ที่จะสร้างรายได้ให้กับเขาจริง ๆ หรือ

การแก้ไขและป้องกัน

ในกรณีที่ถูก Ransomware โจมตีได้สำเร็จแล้ว (Reactive Action) การแก้ไขสามารถทำได้ดังนี้
  1. Restore File จาก Backup ที่เก็บไว้ หรือใช้งานฟังก์ชัน Restore ของระบบปฏิบัติการ หรือ ฟังก์ชัน Shadow Copy แต่ทั้งหมดนี้นี้จำเป็นที่จะต้องอาศัยการ Backup ข้อมูลมา สร้าง Restore Point ไว้ และ/หรือ เปิดการทำงานของ Shadow Copy ล่วงหน้า แต่ Ransomware ตัวใหม่ ๆ สามารถที่จะลบ Shadow Copy และ Restore Point ทิ้งได้เหมือนกัน
  2. Ransomware บางตัวสามารถถูกถอดรหัสได้โดยใช้เครื่องมือที่ผู้ผลิต Antivirus หรือผู้เชี่ยวชาญจากที่อื่น ๆ ได้ทำไว้ ซึ่งมักจะมีเฉพาะ Ransomware รุ่นเก่า ๆ และผู้ใช้ต้องระมัดระวัง ดาวน์โหลดโปรแกรมแก้ไขนี้จากแหล่งที่น่าเชื่อถือเท่านั้น
  3. โดยปกติแล้วตัว Ransomware จะบอก Algorithm ที่มันใช้เข้ารหัสไฟล์ต่าง ๆ ไว้ เราสามารถใช้ข้อมูลนี้ในการที่จะทำการเดา key (Bruteforce Attack หรือ Dictionary attack) แต่อย่างที่กล่าวไว้ในข้างต้น ว่า key ที่ใช้นั้นจะมีความยาวมาก ๆ ประกอบกับ Algorithm ที่แข็งแกร่ง ทำให้ระยะเวลาที่จะทำสำเร็จนั้นไม่ได้เป็นช่วงระยะเวลาที่ยอมรับได้ คืออาจจะเป็นเดือน หรือเป็นปี และยังมีปัจจัยทางเทคนิคอีกหลายอย่างที่ทำให้วิธีนี้ไม่ถูกมองว่าเป็นการ แก้ไขปัญหาที่มีประสิทธิผลพอ และต่อให้ถอดรหัสได้ที่เครื่องเหยื่อเครื่องใดเครื่องหนึ่งแล้ว ก็ไม่สามารถนำไปช่วยเครื่อง อื่น ๆ ได้อีก อยู่ดี
  4. ใช้โปรแกรม Ransomware Removal ที่จะช่วยลบ Ransomware ออกจากเครื่องให้สิ้นซาก แต่โปรแกรมประเภทนี้ไม่สามารถถอดรหัสไฟล์ที่ถูกเข้ารหัสแล้วได้ ทำได้เพียงเอา Ransomware ออกไปเท่านั้น และต้องทราบไว้ด้วยว่าการล้าง Ransomware ออกจากเครื่องโดยที่ไฟล์ยังเข้ารหัสอยู่ อาจทำให้ไม่สามารถถอดรหัสไฟล์ได้อีกต่อไป
ในกรณีที่จะป้องกันตัวเองจาก Ransomware และ Malware อื่น ๆ (Proactive Action)
  1. แน่นอนว่าต้องมีการทำการ Backup ไฟล์ที่สำคัญอย่างสม่ำเสมอ และแยกที่เก็บข้อมูลในการ Backup กับข้อมูลที่ใช้งาน เพื่อป้องกัน Single Point Of Failure
  2. ระแวดระวังในการเปิดไฟล์ที่ไม่ทราบแหล่งที่มา
  3. ติดตั้ง Antivirus และต้องอัพเดทอยู่เสมอ
  4. ปิดฟังก์ชัน “Hide extensions for known file types” ใน Folder Options เพื่อป้องกันในกรณีที่ผู้ส่ง Ransomware ใช้ เทคนิค Double Extension ในการซ่อนประเภทที่แท้จริงของไฟล์
  5. อัพเดทระบบปฏิบัติการอยู่เสมอ
  6. ไม่ให้สิทธิ์ระดับ Administrator/root กับ user account ที่เราใช้งานปกติบนเครื่องคอมพิวเตอร์ของเรา
  7. กำหนดรหัสผ่านของทุก User account ให้ยากต่อการคาดเดา
  8. ทำการ Scan เครื่องคอมพิวเตอร์ที่ใช้งานอยู่ ด้วย Antivirus เป็นประจำเพื่อค้นหาและกำจัด Malware ที่อาจจะเป็น Backdoor ได้

สรุป

Ransomware ก็เหมือนกับ Software และ Malware อื่น ๆ ที่มีการถูกพัฒนาและเปลี่ยนแปลงการทำงานไปได้เรื่อย ๆ ซึ่งบางตัวก็มีความแตกต่างจากในบทความนี้ไม่มากก็น้อย การป้องกันที่เป็น แบบ Reactive Action (เกิดเหตุก่อนแล้วจึงแก้ไขทีหลัง) นั้นก็จะไม่ได้ประสิทธิภาพ ทั้งยังเสียเวลาโดยที่อาจจะไม่ได้อะไรคืนมาเลย (เพราะบางทีจ่ายเงินแล้วถอดรหัสไม่ได้ก็มี) ดังนั้นการป้องกันแบบ Proactive Action (ดำเนินการป้องกันก่อนเหตุจะเกิด) นั้นย่อมให้ผลที่ดีกว่า ตัวอย่างง่าย ๆ เกี่ยวกับ Concept การ Backup ข้อมูลที่สำคัญอย่างสม่ำเสมอ ที่ไม่ใช่เรื่องใหม่ แต่ก็เป็นการป้องกันที่ให้ผลดีที่สุด ประกอบกับวิธีอื่น ๆ ที่กล่าวมาในเนื้อหาของบทความ ก็จะทำให้เราปลอดภัยในโลกไซเบอร์ได้

References

1. https://nakedsecurity.sophos.com/2013/10/18/cryptolocker-ransomware-see-how-it-works-learn-about-prevention-cleanup-and-recovery/
2. http://www.pcworld.com/article/2084002/how-to-rescue-your-pc-from-ransomware.html
3. https://www.virustotal.com
4. ACIS Cyber Lab
ขอบคุณบทความจาก  อ. สันต์ธนฤทธิ์ ประภัสสราภรณ์ ตรวจทานโดย อ. นิพนธ์ นาชิน , อ. ปริญญา หอมเอนก  ACIS Cyber LAB, ACIS Professional Center,it24Hr

CryptoLocker Prevention: Top 12 Defenses Against Business Loss

CryptoLocker Prevention: Top 12 Defenses Against Business Loss

Despite worldwide publicity concerning the staggering business loss from CryptoLocker (or other variants), few organizations have taken precautions to protect themselves.
In this business advisory, we will share the top previously undisclosed methods of avoiding lost revenues and bad publicity due to ransomware.
Warning: You won’t see the basic computer usage tips for CryptoLocker prevention from Homeland Security or technology news sites – have a backup, run anti-virus, don’t open attachments, and practice safe web browsing.

1. Know CryptoLocker Realities and Myths

You get CryptoLocker and similar viruses through:
Cryptolocker Ransom Popup
Once infected, CryptoLocker does the following as fully described in the CryptoLocker Guide by Bleeping Computer:
  1.  Creates an auto-start entry in the registry to hijack EXE file associations, so any program you run deletes any shadow copies to prevent local restore.
  2.  Locates and communicates with a command and control server to obtain a public key to encrypt your data.
  3. Scans all physical and network drives for common data file extensions and then encrypts the files making them unusable.
  4. Displays the CryptoLocker screen demanding a ransom of $300 paid via bitcoin within 72 hours to receive a private key to decrypt your data.

The general public is largely unaware of the risks and even much of the technology industry has simply assumed they are already protected:
  • Regardless of updates or type of anti-virus, CryptoLocker usually cannot be detected until it has already infected a computer.
  • Most anti-virus and malware prevention tools will remove CryptoLocker, but data files will remain encrypted and unusable.
  • New variants of ransomware mean a Mac is just as vulnerable and hackers leverage Apple’s own encryption.
  • Having files encrypted with Bitlocker will not prevent you from being infected by CryptoLocker.
  • While the FBI has arrested a prominent hacker of a Russian crime syndicate, CryptoLocker is still rampant.
  • CryptoPrevent is available from FoolishIT, but should not be considered as a replacement for common security.
  • FireEye has developed a web portal to decrypt infected files, but the utility does not work with all CryptoLocker variants.

2. Block EXE file attachments in Office 365

The easiest and most effective way to block the CryptoLocker virus in Office 365 is to block all attachments that contain EXE files (including zip files):
  1. Logon to Office 365 as an administrator.
  2. Click Exchange under Admin menu at the left.
  3. Click Mail Flow menu option.
  4. Create a new rule called Block Executable Content.
  5. Click More options to see available rule choices.
  6. Apply the rule to any attachment that has executable content.
  7. Automatically delete the message with no notification.
Block EXE with Office 365
Office 365 represents about 70% of e-mail services on the Internet, but similar options may be set in other popular SPAM filters. There is virtually no reason to receive executable files by e-mail, but you’ll notice you can provide exclusion conditions if desired. To prevent unnecessary concern over administrative SPAM, any notifications should be disabled just like when viruses are blocked.

3. Activate Web Filtering for Malicious Sites

Web filtering is a controversial issue because many applications show continuous Internet connections, so it is impractical to determine how long someone is on the web. There is also a conflict between business tasks and personal activities. However, no one wants malware and most firewalls offer web filtering by category to automatically block known security risk sites.
Fortinet Web Filter Security Risk
Thousands of new websites are published each year, but you can reduce risk greatly whether or not you decide to filter other categories. Fortinet is the current darling with regulators for strong security features comparable to Checkpoint or Cisco with easier configuration and lower price point.

4. Protect Devices with Cloud Management

We work as much or more today away from the office than at our desks. This fact means that on-premise software update and anti-virus systems often cannot provide the latest protection for most computer users.
Intune Dashboard
Cloud device management like Windows Intune enforces security policies and pushes software and anti-virus updates wherever a device connects to the Internet. Further, you have the capability of seeing real-time status of all computers to pinpoint an infection, run a malware scan, or wipe a device.

5. Remove Local Admin Privileges

Incredibly, some business applications still require the user to run as administrator. Nonetheless, the majority of us should not be in the Administrators group for a local machine to prevent applications running without authorization.
User Permissions
When new software is installed, you must enter the user name and password of a custom administrator account you created. This small inconvenience often prevents malware, as well as unintended system changes that can do irreparable harm.
For business network, such security is often the bane of both administrators and staff because software cannot be installed without administrator credentials. However, the current trend is simply to create a standard user account on the domain and add the account to the local administrators group on each workstation. Organizations then maintain productivity for staff, while enforcing reasonable security restrictions for the network.
That account can safely be given to users to download and install applications, without providing administrator permissions to the entire network. Since it is a domain account, the local admin password may be changed globally as necessary. More advanced permissions like the ability to join a workstation to the domain or install software from a file share may also be granted.

6. Enable System Restore

Having system restore points is a good practice to recover from malware and bad software or driver updates. Open System in the Control Panel and System Protection.
System Protection
Make sure System Protection is on under the Configure button. Rolling back to a previous system restore point is often the fastest way to remove any malware.

7. Deploy a Software Restriction Policy

How to Avoid CryptoLocker Ransomware was one of the first articles about this subject published by Brian Krebs on November 1, 2013. After all this time, it’s truly surprising more enterprises haven’t deployed the referenced CryptoLocker Prevention Kit by Third Tier:
  1. Create a Group Policy for Software Restrictions that disallows %LocalAppData%\*.exe with a description like “Block executables from AppData”.
  2. Test with a machine in a lab OU, but you’ll likely want to apply the policy to the entire domain after testing.
  3. It may take several restarts or GPUPDATE /FORCE and possibly as long as the following day before software restrictions are fully applied.
  4. Plan on several tests and expect the need to add exclusions for some legitimate programs like Java and Adobe that utilize the AppData path.
Software Restriction Policy
There is a tremendous amount of confusion on which path variables to use or add as %AppData% is not the same as %LocalAppData%. You must thoroughly test or you will prevent registered applications from running, but this strategy will help mitigate any type of virus outbreak. If you’re not familiar with software restriction settings, review the Microsoft TechNet article titled Software Restriction Policies.

8. Implement AppLocker for your environment

On October 25, 2013, Computerworld author Jonathan Hassell wrote CryptoLocker: How to Avoid Getting Infected that highlighted enhanced software restriction policies with Applocker. These advanced group policy rules are based on file attributes like digital signature, publisher, and file version.
Applocker Rules
You can also deploy policies by security group or user, as well managing with Powershell.  AppLocker Step by Step covers common scenarios and you can learn more with Microsoft Virtual Academy training like Securing a Windows 8 Environment.

9. Avoid Synching OneDrive

As revealed in OneDrive for Business Explained, it’s not practical to synchronize a terabyte of data on a regular basis. If you sync your OneDrive files or any other cloud service data to your local computer, then it is vulnerable to potential virus infection.
Open Dialog
When you open current applications like Microsoft Office, OneDrive for Business is already one of the Open locations. Also, you can open OneDrive in Windows Explorer and add it to Favorites just like Desktop or Downloads. There are no sync issues and the link is a web URL that cannot be accessed by CryptoLocker.

10. Move Data to SharePoint Online

Just like mentioned above, data stored in SharePoint Online document libraries are accessed by web URL instead of a drive letter. Besides being inaccessible by CryptoLocker, SharePoint document libraries may also be used in Windows Explorer just like a folders in a network share only with a friendly name rather than a vague drive letter.
Sharepoint Online Example
Unlike a file server, you actually get the user name and modified date and time on each file, along with previous versions and change alerts. Not only is the data more accessible, but you escape update and maintenance of another server.

11. Configure SAN Snapshots

Customers that have more than a terabyte of data should invest in a Storage Area Network (SAN). Besides centralized storage for multiple servers, file access is faster and storage expansion is easier. Unlike shadow copies on a server, SAN snapshots cannot be accessed by viruses and provide a quick way of restoring data changes or recovering from CryptoLocker encryption.
SAN Snapshot Example
Snapshots provide regulation compliance for daily, monthly, and annual schedule retention. Snapshots also require less storage than local shadow copies and may also be replicated to external sites for offsite protection.

12. Verify Full Backup and Retention

In this new era of online backup, many customers fail to understand the type of backup being performed or whether restoration services are included. To present a lower price, many providers perform a limited incremental backup with no retention and fine print that restore tasks are the responsibility of the customer or billed separately.
When catastrophes like CryptoLocker strike, unknowing customers may find out that restored data is some combination of files since online backup started (rather than current files from a specific date) and restore times may take several days instead of hours.

Cr.matrixforce.com

11 things you can do to protect against ransomware, including Cryptolocker

11 things you can do to protect against ransomware, including Cryptolocker


Ransomware is malicious software that cyber criminals use to hold your computer or computer files for ransom, demanding payment from you to get them back. Sadly, ransomware is becoming an increasingly popular way for malware authors to extort money from companies and consumers alike. There is a variety of ransomware can get onto a person’s machine, but as always, those techniques either boil down to social engineering tactics or using software vulnerabilities to silently install on a victim’s machine.

Why is Cryptolocker so noteworthy?

One specific ransomware threat that has been in the news a lot lately is Cryptolocker (detected by ESET as Win32/Filecoder). The perpetrators of Cryptolocker have been emailing it to huge numbers of people, targeting particularly the US and UK. Like a notorious criminal, this malware has been associated with a variety of other bad actors – backdoor Trojans, downloaders, spammers, password-stealers, ad-clickers and the like. Cryptolocker may come on its own (often by email) or by way of a backdoor or downloader, brought along as an additional component.
You may wonder why the big fuss over this one particular ransomware family – in essence, it is because Cryptolocker’s authors have been both nimble and persistent. There has been a concerted effort to pump out new variants, keeping up with changes in protection technology, and targeting different groups over time.
Since the beginning of September, the malware authors have sent waves of spam emails targeting different groups. Most of the targeted groups have been in the US and the UK, but there is no geographical limit on who can be affected, and plenty of people outside of either country have been hit. Initially emails were targeting home users, then small to medium businesses, and now they are going for enterprises as well.
The malware also spreads via RDP ports that have been left open to the Internet, as well as by email. Cryptolocker can also affect a user’s files that are on drives that are “mapped”, which is to say, they have been given a drive letter (e.g. D:, E:, F: ). This could be an external hard-drive including USB thumb drives, or it could be a folder on the network or in the Cloud. If you have, say, your Dropbox folder mapped locally, it can encrypt those files as well.
At this point, tens of thousands of machines have been affected, though it is estimated that the criminals have sent millions of emails. Hopefully the remainder of recipients simply deleted the malicious emails without opening them, rather than them sitting unopened, waiting to unleash more pain.
Those people that have been affected have had a large number of their files encrypted. These files are primarily popular data formats, files you would open with a program (like Microsoft Office, Adobe programs, iTunes or other music players, or photo viewers). The malware authors use two types of encryption: The files themselves are protected with 256-bit AES encryption. The keys generated by this first encryption process are then protected with 2048-bit RSA encryption, and the malware author keeps the private key that would allow both the keys on the user’s machine and the files they protect, to be decrypted. The decryption key cannot be brute-forced, or gathered from the affected computer’s memory. The criminals are the only ones who ostensibly have the private key.

What can you do about it?

On the one hand, ransomware can be very scary – the encrypted files can essentially be considered damaged beyond repair. But if you have properly prepared your system, it is really nothing more than a nuisance. Here are a few tips that will help you keep ransomware from wrecking your day:
1. Back up your data
The single biggest thing that will defeat ransomware is having a regularly updated backup. If you are attacked with ransomware you may lose that document you started earlier this morning, but if you can restore your system to an earlier snapshot or clean up your machine and restore your other lost documents from backup, you can rest easy. Remember that Cryptolocker will also encrypt files on drives that are mapped. This includes any external drives such as a USB thumb drive, as well as any network or cloud file stores that you have assigned a drive letter. So, what you need is a regular backup regimen, to an external drive or backup service, one that is not assigned a drive letter or is disconnected when it is not doing backup.
The next three tips are meant to deal with how Cryptolocker has been behaving – this may not be the case forever, but these tips can help increase your overall security in small ways that help prevent against a number of different common malware techniques.
2. Show hidden file-extensions
One way that Cryptolocker frequently arrives is in a file that is named with the extension “.PDF.EXE”, counting on Window’s default behavior of hiding known file-extensions. If you re-enable the ability to see the full file-extension, it can be easier to spot suspicious files.
3. Filter EXEs in email
If your gateway mail scanner has the ability to filter files by extension, you may wish to deny mails sent with “.EXE” files, or to deny mails sent with files that have two file extensions, the last one being executable (“*.*.EXE” files, in filter-speak). If you do legitimately need to exchange executable files within your environment and are denying emails with “.EXE” files, you can do so with ZIP files (password-protected, of course) or via cloud services.
4. Disable files running from AppData/LocalAppData folders
You can create rules within Windows or with Intrusion Prevention Software, to disallow a particular, notable behavior used by Cryptolocker, which is to run its executable from the App Data or Local App Data folders. If (for some reason) you have legitimate software that you know is set to run not from the usual Program Files area but the App Data area, you will need to exclude it from this rule.
5. Use the Cryptolocker Prevention Kit
The Cryptolocker Prevention Kit is a tool created by Third Tier that automates the process of making a Group Policy to disable files running from the App Data and Local App Data folders, as well as disabling executable files from running from the Temp directory of various unzipping utilities. This tool is updated as new techniques are discovered for Cryptolocker, so you will want to check in periodically to make sure you have the latest version. If you need to create exemptions to these rules, they provide this document that explains that process.
6. Disable RDP
The Cryptolocker/Filecoder malware often accesses target machines using Remote Desktop Protocol (RDP), a Windows utility that allows others to access your desktop remotely. If you do not require the use of RDP, you can disable RDP to protect your machine from Filecoder and other RDP exploits. For instructions to do so, visit the appropriate Microsoft Knowledge Base article below:
7. Patch or Update your software
These next two tips are more general malware-related advice, which applies equally to Cryptolocker as to any malware threat. Malware authors frequently rely on people running outdated software with known vulnerabilities, which they can exploit to silently get onto your system. It can significantly decrease the potential for ransomware-pain if you make a practice of updating your software often. Some vendors release security updates on a regular basis (Microsoft and Adobe both use the second Tuesday of the month), but there are often “out-of-band” or unscheduled updates in case of emergency. Enable automatic updates if you can, or go directly to the software vendor’s website, as malware authors like to disguise their creations as software update notifications too.
8. Use a reputable security suite
It is always a good idea to have both anti-malware software and a software firewall to help you identify threats or suspicious behavior. Malware authors frequently send out new variants, to try to avoid detection, so this is why it is important to have both layers of protection. And at this point, most malware relies on remote instructions to carry out their misdeeds. If you run across a ransomware variant that is so new that it gets past anti-malware software, it may still be caught by a firewall when it attempts to connect with its Command and Control (C&C) server to receive instructions for encrypting your files.
If you find yourself in a position where you have already run a ransomware file without having performed any of the previous precautions, your options are quite a bit more limited. But all may not be lost. There are a few things you can do that might help mitigate the damage, particularly if the ransomware in question is Cryptolocker:
9. Disconnect from WiFi or unplug from the network immediately
If you run a file that you suspect may be ransomware, but you have not yet seen the characteristic ransomware screen, if you act very quickly you might be able to stop communication with the C&C server before it finish encrypting your files. If you disconnect yourself from the network immediately (have I stressed enough that this must be done right away?), you might mitigate the damage. It takes some time to encrypt all your files, so you may be able to stop it before it succeeds in garbling them all. This technique is definitely not foolproof, and you might not be sufficiently lucky or be able to move more quickly than the malware, but disconnecting from the network may be better than doing nothing.
10. Use System Restore to get back to a known-clean state
If you have System Restore enabled on your Windows machine, you might be able to take your system back to a known-clean state. But, again, you have to out-smart the malware. Newer versions of Cryptolocker can have the ability to delete “Shadow” files from System Restore, which means those files will not be there when you try to to replace your malware-damaged versions. Cryptolocker will start the deletion process whenever an executable file is run, so you will need to move very quickly as executables may be started as part of an automated process. That is to say, executable files may be run without you knowing, as a normal part of your Windows system’s operation.
11. Set the BIOS clock back
Cryptolocker has a payment timer that is generally set to 72 hours, after which time the price for your decryption key goes up significantly. (The price may vary as Bitcoin has a fairly volatile value. At the time of writing the initial price was .5 Bitcoin or $300, which then goes up to 4 Bitcoin) You can “beat the clock” somewhat, by setting the BIOS clock back to a time before the 72 hour window is up. I give this advice reluctantly, as all it can do is keep you from having to pay the higher price, and we strongly advise that you do not pay the ransom. Paying the criminals may get your data back, but there have been plenty of cases where the decryption key never arrived or where it failed to properly decrypt the files. Plus, it encourages criminal behavior! Ransoming anything is not a legitimate business practice, and the malware authors are under no obligation to do as promised – they can take your money and provide nothing in return, because there is no backlash if the criminals fail to deliver.

Further information

If you are an ESET customer and are concerned about ransomware protection or think you have been targeted by ransomware, call the customer care number for your country/region. They will have the latest details on how to prevent and remediate ransomware attacks.
In addition, there are several We Live Security articles that provide more information on this threat, see: Filecoder: Holding your data to ransom and Remote Desktop (RDP) Hacking 101: I can see your desktop from here! For an audio explanation of, and historical perspective on, the topic of ransomware, listen to Aryeh Goretsky’s recent podcast on the subject: Ransomware 101.
Finally, it should be noted that the recent rash of ransomware attacks has generated a lot of breathless news coverage, mainly because it is a departure from previous trends in financially motivated malware (which tended to be stealthy and thus not data-damaging). Ransomware can certainly be frightening, but there are many benign problems that can cause just as much destruction. That is why it has always been, and always will be, best practice to protect yourself against data loss with regular backups. That way, no matter what happens, you will be able to restart your digital life quickly. It is my hope that if anything good can come out of this ransomware trend, it is an understanding of an importance of performing regular, frequent backups to protect our valuable data.
Author Lysa Myers, ESET

Ransomware Fighter Tool

Wannacry Fix tool

สคริปต์ปิดการใช้งาน SMB v.1
 - สำหรับ Windows 7 ดาวน์โหลด
 - สำหรับ Windows 8 ดาวน์โหลด
 - สำหรับ Windows 8.1, 10 ดาวน์โหลด

Patch จาก Microsoft แก้ไขช่องโหว่ MS17-010 ที่ WannaCry ใช้ในการแพร่กระจายไปยังเครื่องอื่นๆ
 - สำหรับ Windows 7 เวอร์ชั่น 32 บิท ดาวน์โหลด
 - สำหรับ Windows 7 เวอร์ชั่น 64 บิท ดาวน์โหลด
 - สำหรับ Windows 8.1 เวอร์ชั่น 32 บิท ดาวน์โหลด
 - สำหรับ Windows 8.1 เวอร์ชั่น 64 บิท ดาวน์โหลด
 - สำหรับ Windows 10 ดาวน์โหลด


Scan Tool
Malwarebytes Anti Malware Hot !
EMSISOFT EMERGENCY KIT
RogueKiller
Adwcleaner Hot !
Kaspersky Rescue Disk
Avira AntiVir Rescue CD
ESET NOD32 Rogue Application Remover (X86)
ESET NOD32 Rogue Application Remover (X64)
Trend MICRO Ransomware remove tool 
Bitdefender remove FBI ransomware
Bitdefender Ransomware remove tool 



Kaspersky
Web Kaspersky Decryptor ransomware Hot !
kaspersky-coinvault-decryptor 
RakniDecryptor
RakhniDecryptor(Doc)
RannohDecryptor
Xoristdecryptor
Xoristdecryptor(Doc)
Rectordecryptor
ZbotKiller
TDSS Killer
(CryptoLocker started with infections from the ZeuS or Zbot banking Trojan and is being circulated via botnets to download and install CryptoLocker.)


Other Tool , Decrypt and Prevention
Bitdefender AntiCryptoLocker Hot !
Panda Ransomware Decrypt

Cisco TelsaDecrypt TelsaCrypto
Nabz Decrypt Bit Crypto
emsissoft Decrypt Cryptodefense
og3patcher Decrypt Operation global III
emsi decrypt PCLock
TorrentUnlocker Decrypt TorrentLocker (DecrypterFixer : Nathan Scott)Hot !

Locker UnLocker (DecrypterFixer : Nathan Scott) Hot !

Anti-CryptoBit V2(Bleeping computer) Hot !
Decrypt_mblblock Decrypt Protect
ProtecMyTool 
FoolishIT Crypto Prevent Hot !
HitManPro with Kickstart 
HitManPro.Alert CrytoGuard Hot !
CryptoLockerTipwire  
Eventsentry Download
Enhanced Mitigation Experience Toolkit (EMET)
Crypto Prevention ToolKit
ShadowExplorer Hot !
CryptoMornitor  Hot !
SafeGuard LAN Crypt


Repair Corrupt file 
ซ่อมไฟล์กรณีใช้โปรแกรม Decrypt ไฟล์ได้แล้วแต่เปิดไม่ได้ 
(บางไฟล์อาจซ่อมไม่ได้ จากที่เคยได้ทดสอบ หลังจากใช้โปรแกรม Decrypt แล้ว)


File Repair

Download Link My Ransomware Fighting Tool
Download from mega.co.nz

How to protect against file-encrypting malware (cryptoware) in Kaspersky Internet Security 2015

วิธี set Kaspersky  เพื่อป้องกัน Encrypting malware(Cryptowall)

Cr.Support.kaspersky.com

How to protect against file-encrypting malware (cryptoware) in Kaspersky Internet Security 2015

 To reduce the risk of infection by cryptoviruses and avoid false positives on installation of applications and games, Kaspersky Lab specialists recommend to configure Kaspersky Internet Security 2015:
 1. Create the Protected file types category
In the Application Control settings window, click Manage identity protection
  1. Open Kaspersky Internet Security 2015.
  2. In the lower part of the main application window, click Settings.
  1. In the Settings window, go to the Protection Center section and select Application Control in the right frame.
To configure data protection, open the Application Control settings window
  1. In the Application Control settings window, click Manage identity protection.
  1. In the Digital identity protection window, go to the Identity data tab and select User files.
  2. Click Add category.
Create a category for the User files resource
  1. Create the category under the name Protected file types.
  2. Click OK.
Enter the category name and click OK
  1. Select the Protected file types category and create several subcategories in it (Documents, Images, etc.).
Create categories for different file types
  1. Select the category corresponding to the protected files type (for example, Documents for files with the .doc extension) and click Add.
  2. Instead of the path to the file, enter the mask for the file type: *..
  3. Click OK.
enter the mask for the file type
  1. Add the rest of file types the same way.
  2. Close the Digital identity protection window.
Add file types to each category
 

2. Create rules for applications

Configure the rules for the Protected file types category on access of applications with high and low restrictions:
  1. Open Kaspersky Internet Security 2015.
  2. At the bottom of the main application window, click Settings.
  3. In the Settings window, go to the General section and clear the check box Perform recommended actions automatically.
Disable the automatic protection mode in Kaspersky Internet Security 2015
  1. In the Settings window, go to the Protection Center section and select Application Control in the right frame.
Open the Application Control settings window to create rules for applications
  1. In the Application Control settings window, click Manage applications.
To create a rule for an application, click Manage applications in the Application Control settings window
  1. In the Application management window, select Restrictions.
  2. Right-click the Trusted group and select Details and rules.
Configure rules for applications from the Trusted group
  1. In the Application rules window, go to the Files and system registry tab. Make sure the rule that allows to read, write, create, and delete is set for the Protected file types resource.
  2. Close the Application rules window.
 Make sure the allowing rules are set for trusted applications
  1. Right-click the Low Restricted or High Restricted group and select Details and rules.
  Configure rules for applications from the Low Restricted group
  1. In the Application rules window, go to the Files and system registry tab. Make sure the Prompt for action rule is set on sections Read, Write, Create, and Delete for the Protected file types resource.
  2. Close the Application rules window.
Make sure Prompt for action rule is set for the Low Restricted group
 
3. Enable System Watcher
The System Watcher component in Kaspersky Internet Security 2015 collects data about the actions performed by applications on your computer and submits this information to other components for improved protection. Make sure the System Watcher component is enabled and configure it. When the start of cryptoware or its activity is detected, Kaspersky Internet Security 2015 terminates the process. The file from which the process was started is quarantined.
  
4. Configure Firewall
All network connections on your computer are monitored by Firewall. Firewall assigns a specific status to each connection and applies packet and network rules for filtering network activity depending on that status. Using Firewallblock the Internet access to Low Restricted, High Restricted, and Untrusted applications. This will not allow cryptoware receive unique encryption keys from the Internet, therefore they will not be able to encrypt files.

5. File types

File type Extension
Documents
.doc .docx .pdf
.ppt .pptx .rtf
.odt .odp .ods
.djvu
Images
.jpg .jpeg .bmp
.gif .png .psd
.cdr .dwg .max
.3ds
Archives
.rar .zip .7z
.tar .gz
Multimedia
.avi .mp3 .wav
.mkv .flac .mp4
.mov .wmv
Databases
.mdb .1cd .sqlite
.sql
Other
.kwm .iso .torrent
.php .c .cpp
.pas .cer .key
.pst .lnk

How to protect yourself from cryptoware

We have written a lot about Cryptoware in the past. This is one of the fastest growing types of malware that targets end-users. These viruses are not created for hunting the “Big Guys” in governments and corporations, but for mass blackmailing of ordinary people. So how does it work in real life?
Just like this: “Dear Chairman, dear Vice Chairman, dear members of the board, let me present to you the annual report which we have been preparing throughout the past two months… Oops… Just a moment, we are having some technical issues…”
virus_en (1)
It seems as though the presentation has to be postponed because your computer has been attacked by a cryptovirus — a malicious program that blocks your access to some files on your computer and demands a ransom for their decryption. What a shame!
Kaspersky Lab engineers recommend that you protect valuable files before your computer gets infected. Installing Kaspersky Internet Security and adjusting the settings will help protect you from the latest threats.
  1. Using the Application Control component, create a Protected file types category.
  2. Configure rules on the access to the Protected file types category for High Restricted and Low Restricted applications.
  3. Enable System Watcher in the application’s settings:
kis2015_en (1)
  1. Configure the Firewall: block Internet access for Low Restricted, High Restricted, and Untrusted applications. Using this method, you can prevent cryptoware programs from downloading the encryption key from the Internet. Without an encryption key, they will be unable to block access to your files.
What do you do if your files are encrypted but Kaspersky Internet Security is not installed? Use our free utilities and regain access to your files:

Decrypt Ransomware Tool

เครื่องมืออื่น ๆ สำหรับถอดรหัสลับข้อมูลที่ถูกเข้ารหัสลับโดย Ransomware

Cr. ThaiCERT

ถึงแม้ว่าข้อมูลที่ถูกเข้ารหัสลับ Ransomware ส่วนใหญ่จะไม่สามารถถอดรหัสลับหรือกู้คืนให้กลับมาใช้งานได้ อย่างไรก็ตามในปัจจุบัน มีบริการออนไลน์และโปรแกรมที่ช่วยถอดรหัสลับข้อมูล Ransomware บางสายพันธุ์ เช่น Cryptolocker, CoinVault หรือ TeslaCrypt ซึ่งอาจสามารถทดลองใช้งาน (อาจใช้ไม่ได้กับมัลแวร์เวอร์ชันใหม่) โดยมีข้อมูลดังต่อไปนี้

รูปที่ 7 ตัวอย่างหน้าต่างที่แสดงโดย Cryptolocker

รูปที่ 8 ตัวอย่างหน้าต่างที่แสดงโดย CoinVault

รูปที่ 9 ตัวอย่างหน้าต่างที่แสดงโดย TeslaCrypt

รูปที่ 10 ตัวอย่างหน้าต่างที่แสดงโดย Bit Cryptor

รูปที่ 11 ตัวอย่างหน้าต่างที่แสดงโดย CryptoDefense

รูปที่ 12 ตัวอย่างหน้าต่างที่แสดงโดย Operation Global III

รูปที่ 13 ตัวอย่างหน้าต่างที่แสดงโดย PClock

รูปที่ 14 ตัวอย่างหน้าต่างที่แสดงโดย TorrentLocker
การกู้คืนข้อมูลด้วย Shadow Volume Copies
นอกจากนี้หากเครื่องที่ติดมัลแวร์เป็นระบบปฏิบัติการณ์ Winows 7 ขึ้นไป ผู้ใช้สามารถทดลองใช้งาน Shadow Volume Copies ซึ่งเป็นฟีเจอร์ของ Windows สำหรับสำรองข้อมูล ในการกู้คืนไฟล์เดิมได้ อย่างไรก็ตามวิธีนี้อาจไม่ได้ผลหาก Ransomware ลบข้อมูลที่ถูกสำรองไว้ สำหรับวิธีการใช้งานเป็นไปดังขั้นตอนตามรูปที่ 15-19
รูปที่ 15-19 แสดงขั้นตอนการใช้งานฟังก์ชัน Shadow volumn copies บนระบบปฏิบัติการณ์วินโดวส์ ในการกู้คืนไฟล์ที่ถูกเข้ารหัสลับของมัลแวร์ CTB-Locker
ถึงแม้ว่าจะมีเครื่องมือที่ช่วยในการถอดรหัสลับข้อมูลสำหรับ Ransomware บางสายพันธุ์ แต่เครื่องมือส่วนใหญ่ก็อาจไม่สามารถใช้งานได้กับผู้ที่ตกเป็นเหยื่อรายใหม่ เนื่องจาก Ransomware เวอร์ชันใหม่ได้ปิดจุดอ่อนแล้ว ดังนั้นผู้ใช้ควรตระหนักในการป้องกันไม่ให้ติดมัลแวร์รวมถึงสำรองข้อมูล อย่างสม่ำเสมอ สำหรับข้อแนะนำอื่น ๆ ผู้ใช้สามารถศึกษาได้จาก Infographic “ThaiCERT แจ้งเตือนและแนะนำวิธีป้องกันความเสียหายจาก Ransomware”

อ้างอิง

  1. http://pastebin.com/1WZGqrUH
  2. http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/
  3. https://twitter.com/DecrypterFixer
  4. http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-32#entry3721545
  5. https://www.virustotal.com/en/file/58666903e617304e294e8551f1eefc3417c276e897284cd330441fd94334ee6c/analysis/1433315369/
  6. https://www.metascan-online.com/en/scanresult/file/d48061c8d902453e8d0fa079474c5e69
  7. http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-39#entry3724234
  8. http://blogs.cisco.com/security/talos/teslacrypt
  9. http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
  10. http://www.thewindowsclub.com/cryptodefense-ransomware
  11. http://www.bleepingcomputer.com/forums/t/559220/operation-global-iii-ransomware-not-only-encrypts-but-infects-your-data-as-well
  12. http://www.bleepingcomputer.com/forums/t/561970/new-pclock-cryptolocker-ransomware-discovered/
  13. http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/

Rubber Ducky USB เถื่อน

ระวัง !!! เว็บไซต์ปลอม

พฤติกรรมไหนปลอดภัยจากมัลแวร์

ZEUS สายฟ้าล่า Account

Ransomware ค่าไถ่ไฟล์ ไม่จ่ายไม่เปิด

ThaiCERT แจ้งเตือนและข้อแนะนำ เกี่ยวกับ Ransomware


Saturday

CryptoPrevent Tool

แนวทางป้องกัน Crypt0L0cker/Ransomware
1.Update ฐานข้อมูล Antivirus ให้เป็นปัจจุบัน อย่างสม่ำเสมอ
2.ไม่เปิดไฟล์แนบ จาก e-mail ที่ไม่รู้จัก
3.ถ้าเกิด Download ไฟล์แนบจาก e-mail มาแล้ว ก่อนเปิดให้นำไฟล์ไป Scan ผ่าน Web  VirusTotal เพื่อความปลอดภัย
 
4.ติดตั้้งโปรแกรม Crypto Prevention Tool เพื่อป้องกันการเปิดไฟล์ .exe ในส่วนของ AppData/LocalAppData folders หรืออาจติดตั้ง CryptolockerPreventionKit


http://www.foolishit.com/download/cryptoprevent/
 





















5.ติดตััง HitManPro Alert
(ดูวิธีตั้งค่า Crypto Guard : http://www.surfright.nl/en/cryptoguard)






















































Option
ติดตั้งโปรแกรม Enhanced Mitigation Experience Toolkit (EMET)
https://www.thaicert.or.th/papers/technical/2013/pa2013te005.html







































แนวทางป้องการเพิ่มเติมอื่นๆ

- เปิด system restore และ เปิด Shadow Copies ของ ระบบ Windows
  เพื่อให้สามารถใช้ restore  previous version ได้
- updated email client. Set  client ให้ block .exe files
- Disable Remote Desktop
-ไม่ควรเปิด share folder ในระบบ network 
- เปิด Show hidden file
- ฺbackup ข้อมูลไว้อีก ชุดหนึ่ง

Ransomware Fighting Tool

malware-removal-assistance

Exploit-DB updates

Exploits Database by Offensive Security

Metasploit

Metasploit Framework: Activity

iDefense Labs Software Releases