Scarab ransomware เป็นมัลแวร์ประเภทหนึ่งที่เข้ารหัสไฟล์ในคอมพิวเตอร์ของเหยื่อและเรียกร้องการชำระเงินเพื่อแลกกับคีย์ถอดรหัส มันถูกค้นพบครั้งแรกโดย Michael Gillespie นักวิจัยด้านความปลอดภัยของมัลแวร์ในปี 2560 โดยใช้การเข้ารหัสมาตรฐานการเข้ารหัสขั้นสูง (AES) เพื่อเข้ารหัสไฟล์ กลุ่มแรนซัมแวร์ Scarab ไม่ได้เปิดเผยว่ามันมาจากไหนหรือมีแรงจูงใจทางการเมืองหรือไม่ อย่างไรก็ตามเป็นที่ทราบกันดีอยู่แล้วใช้งานทั่วโลกผ่านชุดเครื่องมือ Spacecolon- Scarab ransomware สามารถแพร่เชื้อไปยังระบบและเครื่องได้หลายวิธี รวมถึงอีเมลฟิชชิ่ง ไฟล์แนบที่เป็นอันตราย และช่องโหว่ของซอฟต์แวร์
ผู้เชี่ยวชาญ SalvageData แนะนำมาตรการรักษาความปลอดภัยข้อมูลเชิงรุก เช่น การสำรองข้อมูลเป็นประจำ แนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่เข้มงวด และการอัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอ เพื่อป้องกันการโจมตีจากแรนซัมแวร์ และ,ในกรณีที่มีการโจมตีจากแรนซัมแวร์ โปรดติดต่อเราผู้เชี่ยวชาญด้านการกู้คืนแรนซัมแวร์โดยทันที.
แมลงปีกแข็งเป็นแรนซัมแวร์ประเภทหนึ่งที่ลักลอบแทรกซึมระบบและเข้ารหัสข้อมูลต่างๆ โดยจะต่อท้ายชื่อไฟล์ด้วยนามสกุล “.[[email protected]].scarab” รูปแบบที่อัปเดตของ ransomware นี้ต่อท้าย: .inchin, .gold, .crabs รูปแบบอื่นๆ ของ ransomware นี้จะเพิ่ม “.[[email protected]]” เป็นส่วนขยายสำหรับไฟล์ที่เข้ารหัส หลังจากการเข้ารหัสสำเร็จ ไวรัสจะสร้างและเปิดไฟล์ข้อความโดยอัตโนมัติ (“หากคุณต้องการรับไฟล์ทั้งหมดของคุณกลับมา โปรดอ่าน THIS.TXT”) จากนั้นวางไว้บนเดสก์ท็อป Scarab ransomware มีลักษณะคล้ายกันมากกับ ElmersGlue, EncrypTile, GlobeImposter, TheDarkEncryptor และไวรัสประเภท ransomware อื่นๆ อีกนับสิบชนิด
ทุกสิ่งที่เรารู้เกี่ยวกับ Scarab Ransomware
ชื่อที่ได้รับการยืนยัน
- ไวรัสแมลงปีกแข็ง
ประเภทภัยคุกคาม
ที่เกี่ยวข้อง:
- แรนซัมแวร์
- ไวรัสเข้ารหัส
- ตู้เก็บไฟล์
- การขู่กรรโชกสองครั้ง
นามสกุลไฟล์ที่เข้ารหัส
- มีนามสกุลไฟล์มากมาย ขึ้นอยู่กับตัวแปรของแรนซัมแวร์
ข้อความเรียกร้องค่าไถ่
- หากคุณต้องการรับไฟล์ทั้งหมดของคุณกลับมา โปรดอ่าน THIS.TXT วิธีการกู้คืนไฟล์ที่เข้ารหัส – [ป้องกันอีเมล]
มีตัวถอดรหัสฟรีหรือไม่?ไม่ ไม่มีตัวถอดรหัสสาธารณะสำหรับแรนซัมแวร์ Scarabวิธีการจัดจำหน่าย
- ไฟล์แนบอีเมลที่ติดไวรัส (มาโคร)
- ดาวน์โหลดแบบไดรฟ์บาย
- จดหมายขยะ
- ช่องทางการดาวน์โหลดที่น่าสงสัย (เช่น ฟรีแวร์และเว็บไซต์บุคคลที่สาม เครือข่ายการแชร์ P2P เป็นต้น)
- การหลอกลวงออนไลน์
- มัลแวร์โฆษณา
- เครื่องมือเปิดใช้งานซอฟต์แวร์ที่ผิดกฎหมาย (“แคร็ก”)
- การอัปเดตปลอม
ผลที่ตามมา
- ไฟล์จะถูกเข้ารหัสและล็อคจนกว่าจะจ่ายค่าไถ่
- ข้อมูลรั่วไหล
- เครือข่ายเปิดทิ้งไว้สำหรับการโจมตีพร้อมกันครั้งใหม่
- การขู่กรรโชกสองครั้ง
อะไรอยู่ในบันทึกเรียกค่าไถ่ของแมลงปีกแข็ง
เนื้อหาของบันทึกค่าไถ่ Scarab จะแตกต่างกันไปขึ้นอยู่กับตัวแปรของแรนซัมแวร์ อย่างไรก็ตาม โดยทั่วไปบันทึกค่าไถ่จะแจ้งให้เหยื่อทราบถึงการเข้ารหัสและเรียกร้องค่าไถ่ บันทึกค่าไถ่เป็นไฟล์ข้อความชื่อ “หากคุณต้องการรับไฟล์ทั้งหมดของคุณกลับ โปรดอ่านสิ่งนี้ TXT” และวางไว้บนเดสก์ท็อปของคอมพิวเตอร์ที่ติดไวรัส ต่อไปนี้เป็นตัวอย่างของเนื้อหาของบันทึกค่าไถ่ Scarab:
หากคุณตระหนักว่าคุณเป็นเหยื่อแรนซัมแวร์ การติดต่อผู้เชี่ยวชาญด้านการลบแรนซัมแวร์ SalvageData จะให้บริการกู้คืนข้อมูลที่ปลอดภัยและการลบแรนซัมแวร์หลังการโจมตีแก่คุณ
Scarab ransomware แพร่เชื้อไปยังเครื่องหรือเครือข่ายได้อย่างไร
ไฟล์แนบอีเมลที่ติดไวรัส (มาโคร)
Scarab ransomware มักแพร่กระจายผ่านไฟล์แนบอีเมลที่ติดไวรัสซึ่งมีมาโครที่เป็นอันตราย เมื่อเหยื่อเปิดไฟล์แนบและเปิดใช้งานมาโคร แรนซัมแวร์จะถูกดาวน์โหลดและดำเนินการบนเครื่องของเหยื่อ
ดาวน์โหลดแบบไดรฟ์บาย
Scarab ransomware ยังสามารถแพร่กระจายผ่านการดาวน์โหลดแบบไดรฟ์ โดยที่เหยื่อดาวน์โหลด ransomware โดยไม่รู้ตัวโดยไปที่เว็บไซต์ที่ถูกบุกรุก
จดหมายขยะ
Scarab ransomware สามารถแพร่กระจายผ่านแคมเปญอีเมลขยะที่มีไฟล์แนบที่เป็นอันตรายหรือลิงก์ไปยังเว็บไซต์ที่ติดไวรัส
ช่องทางการดาวน์โหลดที่น่าสงสัย
Scarab ransomware สามารถเผยแพร่ผ่านช่องทางการดาวน์โหลดที่น่าสงสัย เช่น ฟรีแวร์และเว็บไซต์บุคคลที่สาม เครือข่ายการแชร์ P2P และแหล่งดาวน์โหลดซอฟต์แวร์ที่ไม่เป็นทางการอื่นๆ
การหลอกลวงออนไลน์
การหลอกลวงออนไลน์รวมถึงการอัพเดตซอฟต์แวร์ปลอมหรือซอฟต์แวร์ป้องกันไวรัสปลอม แก๊งค์แรนซัมแวร์ Scarab สร้างซอฟต์แวร์ป้องกันไวรัสปลอมที่อ้างว่าตรวจจับและลบมัลแวร์ออกจากเครื่องของเหยื่อ อย่างไรก็ตาม ตัวซอฟต์แวร์เองก็เป็นมัลแวร์ และมันจะติดตั้งแรนซัมแวร์บนเครื่องของเหยื่อ แก๊งค์ยังสร้างการอัปเดตซอฟต์แวร์ปลอมที่มีแรนซัมแวร์ด้วย
มัลแวร์โฆษณา
Scarab ransomware สามารถแพร่กระจายผ่านมัลแวร์โฆษณา โดยที่เหยื่อดาวน์โหลด ransomware โดยไม่รู้ตัวโดยการคลิกบนตัวที่เป็นอันตรายที่ดูเหมือนจะถูกกฎหมาย
เครื่องมือเปิดใช้งานซอฟต์แวร์ที่ผิดกฎหมาย
Scarab ransomware สามารถแพร่กระจายผ่านเครื่องมือเปิดใช้งานซอฟต์แวร์ที่ผิดกฎหมาย เช่น “แคร็ก” ซึ่งใช้เพื่อหลีกเลี่ยงข้อจำกัดด้านลิขสิทธิ์ซอฟต์แวร์
การอัปเดตปลอม
Scarab ransomware สามารถแพร่กระจายผ่านการอัพเดตซอฟต์แวร์ปลอม โดยที่เหยื่อจะได้รับแจ้งให้ดาวน์โหลดและติดตั้งการอัปเดตปลอมที่มี ransomware
Scarab ransomware ทำงานอย่างไร
มัลแวร์เรียกค่าไถ่ Scarab ใช้ชุดเครื่องมือ Spacecolon เพื่อโจมตีเว็บเซิร์ฟเวอร์ที่มีช่องโหว่หรือผ่านข้อมูลประจำตัว RDP ที่บังคับดุร้าย ส่วนประกอบหลักของ Spacecolon คือ ScHackTool ซึ่งเป็นผู้ดำเนินการตาม Delphi ซึ่งใช้ในการติดตั้งโปรแกรมติดตั้ง ซึ่งจะติดตั้ง ScService ซึ่งเป็นแบ็คดอร์ที่มีคุณสมบัติในการรันคำสั่งแบบกำหนดเอง ดาวน์โหลดและดำเนินการเพย์โหลด และดึงข้อมูลระบบจากเครื่องที่ถูกบุกรุก ScHackTool ยังทำหน้าที่เป็นช่องทางในการตั้งค่าเครื่องมือของบุคคลที่สามมากมายที่ดึงมาจากเซิร์ฟเวอร์ระยะไกล เป้าหมายสูงสุดของการโจมตีคือการใช้ประโยชน์จากการเข้าถึงของ ScService เพื่อส่งมอบตัวแปรของแรนซัมแวร์ Scarab แรนซัมแวร์ Scarab ใช้การเข้ารหัส Advanced Encryption Standard (AES) เพื่อเข้ารหัสไฟล์
ชุดเครื่องมือ Spacecolon คืออะไร
ชุดเครื่องมือ Spacecolon เป็นชุดเครื่องมือที่เป็นอันตรายซึ่งใช้ในการปรับใช้ตัวแปรต่างๆ ของแรนซัมแวร์ Scarab กับเหยื่อทั่วโลก ชุดเครื่องมือนี้ใช้เพื่อประนีประนอมเว็บเซิร์ฟเวอร์ที่มีช่องโหว่หรือผ่านข้อมูลรับรอง RDP ที่บังคับดุร้าย
ไม่ต้องจ่ายค่าไถ่!การติดต่อบริการกำจัดแรนซัมแวร์ไม่เพียงแต่สามารถกู้คืนไฟล์ของคุณ แต่ยังช่วยกำจัดภัยคุกคามที่อาจเกิดขึ้นอีกด้วย
วิธีจัดการกับการโจมตีของ Scarab ransomware
ขั้นตอนแรกในการกู้คืนจากการโจมตีของแมลงปีกแข็งคือการแยกคอมพิวเตอร์ที่ติดไวรัสออกโดยตัดการเชื่อมต่อจากอินเทอร์เน็ตและถอดอุปกรณ์ที่เชื่อมต่ออยู่ออก จากนั้นคุณต้องติดต่อหน่วยงานท้องถิ่น ในกรณีของผู้อยู่อาศัยและธุรกิจในสหรัฐฯ ก็คือสำนักงานภาคสนามของ FBI ในพื้นที่และศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (IC3)หากต้องการรายงานการโจมตีแรนซัมแวร์ คุณต้องรวบรวมข้อมูลทุกอย่างเกี่ยวกับมัน รวมถึง:
- ภาพหน้าจอของบันทึกค่าไถ่
- การสื่อสารกับผู้แสดงภัยคุกคาม (ถ้าคุณมี)
- ตัวอย่างไฟล์ที่เข้ารหัส
อย่างไรก็ตามหากคุณต้องการติดต่อผู้เชี่ยวชาญแล้วไม่ทำอะไรเลยปล่อยให้ทุกเครื่องที่ติดไวรัสเหมือนเดิมและขอบริการกำจัดแรนซัมแวร์ฉุกเฉิน- การรีสตาร์ทหรือปิดระบบอาจทำให้บริการกู้คืนเสียหายได้ การจับ RAM ของระบบที่ใช้งานจริงอาจช่วยให้ได้รับคีย์การเข้ารหัส และการจับไฟล์หยด เช่น ไฟล์ที่เรียกใช้เพย์โหลดที่เป็นอันตราย อาจถูกวิศวกรรมย้อนกลับและนำไปสู่การถอดรหัสข้อมูลหรือทำความเข้าใจวิธีการทำงานของมัน คุณต้องไม่ได้ลบ ransomwareและเก็บหลักฐานการโจมตีทั้งหมดไว้ นั่นเป็นสิ่งสำคัญสำหรับนิติดิจิตอลเพื่อให้ผู้เชี่ยวชาญสามารถติดตามกลับไปยังกลุ่มแฮกเกอร์และระบุตัวตนได้ โดยการใช้ข้อมูลบนระบบที่ติดไวรัสของคุณที่เจ้าหน้าที่สามารถทำได้ตรวจสอบการโจมตีและค้นหาผู้รับผิดชอบการสืบสวนการโจมตีทางไซเบอร์ไม่แตกต่างจากการสืบสวนคดีอาญาอื่นๆ: จำเป็นต้องมีหลักฐานเพื่อค้นหาผู้โจมตี
1. ติดต่อผู้ให้บริการตอบสนองต่อเหตุการณ์ของคุณ
การตอบสนองเหตุการณ์ทางไซเบอร์เป็นกระบวนการตอบสนองและจัดการเหตุการณ์ความปลอดภัยทางไซเบอร์ Incident Response Retainer คือข้อตกลงการบริการกับผู้ให้บริการความปลอดภัยทางไซเบอร์ที่ช่วยให้องค์กรต่างๆ ได้รับความช่วยเหลือจากภายนอกเกี่ยวกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ โดยมอบรูปแบบโครงสร้างความเชี่ยวชาญและการสนับสนุนแก่องค์กรต่างๆ ผ่านพันธมิตรด้านความปลอดภัย ช่วยให้พวกเขาสามารถตอบสนองได้อย่างรวดเร็วและมีประสิทธิภาพในระหว่างเหตุการณ์ทางไซเบอร์ ผู้รักษาการตอบสนองต่อเหตุการณ์มอบความอุ่นใจให้กับองค์กรต่างๆ โดยให้การสนับสนุนจากผู้เชี่ยวชาญทั้งก่อนและหลังเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ลักษณะและโครงสร้างเฉพาะของผู้ตอบสนองต่อเหตุการณ์จะแตกต่างกันไปตามผู้ให้บริการและข้อกำหนดขององค์กร ผู้รักษาการตอบสนองต่อเหตุการณ์ที่ดีควรมีความเข้มแข็งแต่มีความยืดหยุ่น โดยให้บริการที่ได้รับการพิสูจน์แล้วเพื่อปรับปรุงมาตรการรักษาความปลอดภัยในระยะยาวขององค์กรหากคุณติดต่อผู้ให้บริการ IR ของคุณ พวกเขาสามารถดำเนินการได้ทันทีและแนะนำคุณตลอดทุกขั้นตอนในการกู้คืนแรนซัมแวร์อย่างไรก็ตาม หากคุณตัดสินใจที่จะลบแรนซัมแวร์ด้วยตัวเองและกู้คืนไฟล์กับทีมไอทีของคุณ คุณสามารถทำตามขั้นตอนต่อไปได้
2. ระบุการติดเชื้อ ransomware
คุณสามารถระบุได้ว่าแรนซัมแวร์ตัวใดที่ติดไวรัสในเครื่องของคุณด้วยนามสกุลไฟล์ (แรนซัมแวร์บางตัวใช้นามสกุลไฟล์เป็นชื่อ)โดยใช้เครื่องมือรหัสแรนซัมแวร์หรือจะอยู่ในบันทึกเรียกค่าไถ่ ด้วยข้อมูลนี้ คุณสามารถค้นหาคีย์ถอดรหัสสาธารณะได้ คุณยังสามารถตรวจสอบประเภทแรนซัมแวร์ได้จาก IOC ของมัน ตัวบ่งชี้การประนีประนอม (IOC) คือเบาะแสดิจิทัลที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ใช้เพื่อระบุการบุกรุกของระบบและกิจกรรมที่เป็นอันตรายภายในเครือข่ายหรือสภาพแวดล้อมด้านไอที โดยพื้นฐานแล้วเป็นหลักฐานในรูปแบบดิจิทัลที่เหลืออยู่ในที่เกิดเหตุ และ IOC ที่เป็นไปได้ ได้แก่ การรับส่งข้อมูลเครือข่ายที่ผิดปกติ การเข้าสู่ระบบของผู้ใช้ที่ได้รับสิทธิพิเศษจากต่างประเทศ คำขอ DNS แปลก ๆ การเปลี่ยนแปลงไฟล์ระบบ และอื่นๆ เมื่อตรวจพบ IOC ทีมรักษาความปลอดภัยจะประเมินภัยคุกคามที่เป็นไปได้หรือตรวจสอบความถูกต้อง นอกจากนี้ IOC ยังแสดงหลักฐานว่าผู้โจมตีเข้าถึงอะไรได้บ้างหากพวกเขาแทรกซึมเข้าไปในเครือข่าย
3. ลบ ransomware และกำจัดชุดช่องโหว่
ก่อนที่จะกู้คืนข้อมูลของคุณ คุณต้องรับประกันว่าอุปกรณ์ของคุณปราศจากแรนซัมแวร์และผู้โจมตีไม่สามารถทำการโจมตีครั้งใหม่ผ่านชุดช่องโหว่หรือช่องโหว่อื่น ๆ บริการกำจัดแรนซัมแวร์สามารถลบแรนซัมแวร์ สร้างเอกสารนิติเวชสำหรับการสอบสวน กำจัดช่องโหว่ และกู้คืนข้อมูลของคุณ
4. ใช้การสำรองข้อมูลเพื่อกู้คืนข้อมูล
การสำรองข้อมูลเป็นวิธีที่มีประสิทธิภาพที่สุดในการกู้คืนข้อมูล ตรวจสอบให้แน่ใจว่าได้สำรองข้อมูลรายวันหรือรายสัปดาห์ ขึ้นอยู่กับการใช้ข้อมูลของคุณ
5. ติดต่อบริการกู้คืนแรนซัมแวร์
หากคุณไม่มีข้อมูลสำรองหรือต้องการความช่วยเหลือในการลบแรนซัมแวร์และกำจัดช่องโหว่ โปรดติดต่อบริการกู้คืนข้อมูล การจ่ายค่าไถ่ไม่ได้รับประกันว่าข้อมูลของคุณจะถูกส่งคืนให้กับคุณ วิธีเดียวที่รับประกันว่าคุณสามารถกู้คืนทุกไฟล์ได้คือถ้าคุณมีข้อมูลสำรอง หากคุณไม่ทำเช่นนั้น บริการกู้คืนข้อมูลแรนซัมแวร์สามารถช่วยคุณถอดรหัสและกู้คืนไฟล์ได้ ผู้เชี่ยวชาญ SalvageData สามารถกู้คืนไฟล์ของคุณได้อย่างปลอดภัย และป้องกันไม่ให้ Scarab ransomware โจมตีเครือข่ายของคุณอีกครั้ง ติดต่อผู้เชี่ยวชาญของเราทุกวันตลอด 24 ชั่วโมงเพื่อขอรับบริการกู้คืนแรนซัมแวร์
ป้องกันการโจมตีของ Scarab ransomware
การป้องกันแรนซัมแวร์เป็นทางออกที่ดีที่สุดสำหรับความปลอดภัยของข้อมูล ง่ายกว่าและราคาถูกกว่าการกู้คืนจากพวกเขา แรนซัมแวร์ Scarab อาจทำให้ธุรกิจของคุณต้องสูญเสียอนาคตและอาจปิดตัวลงได้ นี่คือเคล็ดลับเล็กๆ น้อยๆ เพื่อให้แน่ใจว่าคุณสามารถทำได้หลีกเลี่ยงการโจมตีของแรนซัมแวร์:
- อัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอเพื่อป้องกันช่องโหว่ที่แรนซัมแวร์สามารถโจมตีได้
- ใช้รหัสผ่านที่รัดกุมและการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- สำรองไฟล์สำคัญเป็นประจำและจัดเก็บไว้ในตำแหน่งที่ปลอดภัย
- โปรดใช้ความระมัดระวังเมื่อเปิดไฟล์แนบอีเมลหรือคลิกลิงก์จากแหล่งที่ไม่รู้จัก
- ใช้ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียงและอัปเดตให้ทันสมัยอยู่เสมอ
