*คำเตือน ห้ามจ่ายเงิน โดยเด็ดขาด เพราะจะเสียทั้งเงินและไม่ได้ข้อมูลคืน เนื่องจาก การเข้ารหัสที่ผิดพลาดของCrypto creator ของ Crypt0L0cker เอง ทำให้ผู้ที่ติด Ransomware ตัวนี้ได้รับรหัสที่ผิด ถ้าจ่ายเงินก็ได้รหัสที่ไม่สามารถถอดรหัสได้ เช่นกัน (Wrong Encrypt + Fail DecryptCode+Loss money)
Crypt0L0cker คล้าย แต่ไม่เหมือนกับ CryptoLocker (TorrentLocker) ซึ่งตัว CryptoLocker นี้จะใช้
TorrentUnlocker Decrypt TorrentLocker (DecrypterFixer : Nathan Scott) ในการถอดรหัส
Crypt0L0cker จะเข้ารหัสไฟล์เกือบทั้งหมดในเครื่อง ยกเว้นไฟล์เหล่านี้ ที่ไม่ถูกเข้ารหัส
.html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe, .avi, .wav, .mp3, .gif, .ico, .png, .bmp and .txt
หลังจาก Crypt0L0cker เข้ารหัสไฟล์เสร็จ จะสร้างไฟล์ ทิ้งไว้ใน folder คือ
DECRYTP_INSTRUCTIONS.html
DECRYPT_INSTRUCTIONS.txt
File encrypt :
Algorithm – RSA-2048 (AES CBC 256-bit encryption algorithm)
คอมพิวเตอร์เป้าหมายคือ อยู่ในกลุ่มประเทศดังต่อไปนี้ คือ
Australia, Austria, Canada, Czech Republic, Italy, Ireland, France, Germany, Netherlands, Korea, Thailand, New Zealand, Spain, Turkey, and the United Kingdom
เมื่อติด Crypt0L0cker แล้ว ไฟล์ที่ถูกเข้ารหัสจะมานามสกุล .encrypted และจะแสดงข้อความเรียกค่าไถ่ โดยข้อความที่แสดงจะแปลเป็นภาษาต่างๆ ตามแต่ละแต่เทศในกลุ่มเป้าหมายที่ติด ตามภาพตัวอย่างด้านล่าง
วิธีกำจัด Crypt0L0cker (เดี๋ยวพรุ่งนี้จะ Update รูปภาพ คำอธิบายให้นะครับ)
*เมื่อท่านติดไวรัสพวกนี้แล้ว และยังไม่ได้กำจัดตัวไวรัส อย่าเอา External drive มาเสียบกับคอมพิวเตอร์ของท่านเด็ดขาด เพราะข้อมูลใน External driveจะถูกเข้ารหัสไปด้วย
*หาก เมื่อท่านรู้ตัวว่ากำลังติดไวรัสพวกเข้ารหัสไฟล์ ให้รีปปิดเครื่องทันที (วิธีที่เร็วสุดคือดึงปลั๊กออก)สังเกตุได้จากเครื่องจะช้ามาก วิธีนี้ก็ขึ้นอยู่กับว่ารู้ตัวเร็วแค่ไหนครับ เพราะไวรัสก็ต้องใช้เวลาในการเข้ารหัสไฟล์ (แต่ไม่นาน) ขึ้นอยู่กับว่าเครื่องมีข้อมูล ไฟล์ที่เป็นเป้าหมายมากน้อยแค่ไหน (แต่ผู้ใช้ส่วนใหญ่ จะไม่ทราบว่ากำลังติดไวรัส) แล้วห้ามเปิดเครื่องอีก ให้ถอด harddisk ไปต่อกับเครื่องอื่่นแล้ว scan ไวรัส หรือเปิดเครื่องแล้ว set ให้ boot จาก Rescue CD แทนครับ
1. Malwarebyte Anti Malware Malwarebytes Anti Malware Download link
2. HitManPro HitmanPro Download link
หมายเหตุ :
ตัวเลือกอื่นๆ ที่ใช้กำจัด Crypt0L0cker
EMSISOFT EMERGENCY KIT
RogueKiller
Kaspersky Rescue Disk
Avira AntiVir Rescue CD
วิธีกู้ไฟล์
Crypt0L0cker จะพยายามที่จะลบสำเนาไฟล์ทั้งหมด ถ้าโชคดี อาจกู้คืนด้วย shadow copies
(แต่ส่วนใหญ่ไฟล์พวก Restore จะถูก delete ทิ้งไปด้วย) ทั้งนี้ทั้งนั้น การ Restore หรือทำ shadow copies จะทำได้ไม่ได้ ก็ขึ้นอยู่กับว่า เราได้ทำการเปิด เปิด system restore ไว้ก่อนที่จะติดไวรัสหรือเปล่า)
Option 1. กด shadow copies Shadowexplorer Download link
Option 2. กู้ไฟล์ โดยใช้โปรแกรมกู้ไฟล์ตัวไหนก็ได้ (แนะนำลองใช้ Recuva ดูก่อน) เนื่องจากก่อนที่ไวรัสจะเข้ารหัสไฟล์และลบไฟล์ต้นฉบับทิ้ง ไวรัสจะสำเนาไฟล์และเข้ารหัสไฟล์ที่ได้สำเนาไว้จากนั้นจึงลบไฟล์ต้นฉบับทิ้ง ทำให้แนวทางการใช้โปรแกรมกู้ไฟล์มีโอกาสได้ข้อมูลกลับคืน (แต่มีข้อแนะนำว่า หลังจากติดไวรัสไม่ ไม่ควร copy ไฟล์อะไรที่ไม่จำเป็นลงใน harddisk เพราะไฟล์ต้นฉบับอาจถูกเขียนทับได้ครับ)
Recuva
EaseUS Data Recovery Wizard Free
R-Studio (shareware)
3. เมื่อกำจัดไวรัสเรียบร้อยแล้ว แนะจำให้ติดตัังโปรแกรมพวก Crypto Prevention ดูเพิ่มเติมจาก Link นี้นะครับ
http://www.hotzone-it.blogspot.com/2015/06/cryptoprevent-tool.html
http://www.hotzone-it.blogspot.com/2015/06/ransomware-fighter-tool.html
Repair File
กรณีไฟล์ ที่กู้ หรือถอดรหัสได้ แต่ไม่สามารถเปิดได้ แนะนำให้ใช้โปรแกรมซ่อมแซมไฟล์คือ
File Repair
http://hotzone-it.blogspot.com/2015/07/repair-file-tool-decrypt-ransomware.html
บางไฟล์อาจจะได้ร้บความเสียหายจนซ่อมไม่ได้นะครับ (ทำใจไว้เผื่อเลยครับ)
*******************************************************************
ใครที่ติดจะลองทดสอบถอดรหัสผ่าน Decrypt Tool พวกนี้ดูก็ได้นะครับ เผื่อว่ามีการ Update เผื่อข้อมูลการถอดรหัสแล้ว (แต่คิดว่ายังถอดไม่ได้ เนื่องจากเหตุผลที่ได้อธิบายไว้ตั่้งแต่ต้นครับ)
Noransom.kaspersky.com
TorrentUnlock De-ransom DecryptoFixer By Nathan Scott
Panda Unransom by pandasecurity.com
Free decryption for Dr.Web commercial customers
สุดท้ายอย่าลืมสำรองข้อมูลเก็บกันไว้บ้างนะครับ
ขอให้โชคดีทุกท่านครับ
No comments:
Post a Comment