วันจันทร์ที่ 2 พฤศจิกายน พ.ศ. 2558

ข่าวดี!! กุญแจถอดรหัสกว่าหมื่นชุดถูกปล่อยหลังบุกยึดเซิร์ฟเวอร์ควบคุมมัลแวร์ CoinVault และ BitCryptor ได้

หน่วยอาชญากรรมเทคโนโลยีระดับสูงแห่งเนเธอร์แลนด์ (National High Tech Crime Unit - NHTCU) บุกยึดเซิร์ฟเวอร์ควบคุมมัลแวร์ CoinVault และ BitCryptor หลังจากผู้ต้องสงสัยว่าเป็นผู้สร้างมัลแวร์ทั้งสองตัวถูกจับไปตั้งแต่เดือนกันยายนที่ผ่านมา ตอนนี้กุญแจถอดรหัสชุดสุดท้ายที่ได้มาจากเซิร์ฟเวอร์ถูกเปิดเผยในเว็บ No Ransom ของ Kaspersky แล้ว
เซิร์ฟเวอร์ที่ถูกยึด พบทั้งค่า IV, กุญแจเข้ารหัส, และกุญแจลับของบัญชีบิตคอยน์ ก่อนหน้านี้มีรายงานว่ามัลแวร์ทั้งสองตัวเข้ารหัสเครื่องคอมพิวเตอร์ไปอย่างน้อย 1,500 เครื่อง แต่กุญแจที่เปิดเผยออกมามีมากถึง 14,755 ชุด
ทาง Kaspersky ไม่ได้เปิดเผยกุญแจออกมาเป็นฐานข้อมูลตรงๆ แต่เปิดเป็นเครื่องมือถอดรหัสไฟล์ ถ้าใครเป็นเหยื่อเข้าไปอ่านวิธีใช้ได้ในเว็บ

 ที่มา https://www.blognone.com/node/74303

วันพุธที่ 3 มิถุนายน พ.ศ. 2558

ไวรัส CryptoLocker สามารถถอดรหัสได้แล้วครับ

ที่มาจากเพจ https://www.facebook.com/hackandsecbook




"เราจะทำตามสัญญาขอเวลาอีกไม่นาน แล้วไฟล์ทั้งหลายจะคืนกลับมาาาาาา"
ก่อนหน้านี้เคยมีข่าวว่าคนที่เขียน CryptoLocker ปล่อย private key สำหรับการ decrypt ไฟล์ที่ถูกเข้ารหัส แล้วจะปล่อยเครื่องมือมาใช้ในการถอดรหัสไฟล์มาให้อีกที

มาวันนี้ปล่อยออกมาแล้วครับ สามารถ download ได้ตาม link (1) ตามที่แปะไว้ด้านล่างครับ มีคนลองแล้วด้วยว่าแก้ไขได้จริงๆ แถมตอนสุดท้ายหลังจาก decrypt เสร็จมีการขึ้นข้อความ "I'm sorryabout the encryption, your files are unlocked for free. Be good to the world and don't forget to smile smile emoticon"

งานนี้ไม่ทราบว่าทำไมคนเขียน CryptoLocker ถึงตัดสินใจทำแบบนี้ แต่ก็ถือว่าเยี่ยมไปเลยครับ

https://easysyncbackup.com/Downloads/LockerUnlocker.exe

http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/

http://www.bleepingcomputer.com/forums/t/578182/today-locker-ransomware-dev-decrypted-everyones-files-for-free/#entry3723675

ลองชั่งน้ำหนักดูละกันนะครับว่าจะลองใช้มั้ย(เห็นถามเข้ามากันเยอะ) เบื้องต้นตาม link ที่ให้ไว้ยังไม่มีคนไหนพบสิ่งผิดปกติครับ โดยส่วนตัวถ้าเป็นผมจะทำดังนี้
1. decrypt file ด้วยเครื่องมือนี้
2. backup file ทั้งหมด
3. wipe เครื่องใหม่หมด จากนั้นลง windows ใหม่

ปล. หากใครไม่ทราบ bitcoin address แล้วต้องการ decrypt ไฟล์(ยังไม่ได้ลง Windows ทับ)ให้ทำตามนี้ครับ
1. Download ShadowExplorer.
2. Export the file C:\ProgramData\rkcl\data.aa6 to any location. (Just access the file through Windows Explorer, if you haven't deleted the rkcl folder.)
3. Open the file in Notepad or similar.


http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-33#entry3721707

วันอังคารที่ 26 พฤษภาคม พ.ศ. 2558

มัลแวร์แนวแรนซั่มแวร์ (ransomware/cryptolocker) สามารถติดเครื่องที่เป็น Android ได้แล้ว

จากเพจ https://www.facebook.com/longhackz

มัลแวร์แนวแรนซั่มแวร์ (ransomware/cryptolocker) เริ่มล่ามมาเครื่อง Android อีกแล้วครับล่าสุด Bitdefender ตรวจพบสแปมเมลจำนวนมากแนบไฟล์ที่อ้างว่าเป็นอัพเดทสำหรับ Flash Player ของ Andriod ให้ติดตั้ง เมื่อเหยื่อเผลอติดตั้งจะขึ้นหน้าจอ เตือนว่า FBI พบว่าเครื่องของคุณ "เคยใช้ดูหนังโป๊น่ะ" ต้องจ่ายเงินค่าไถ่ 16000 บาท เพื่อปลดล็อค แต่ถ้าไม่จ่ายเงินแล้วแอพพบว่า user มีความพยายามจะเข้าใช้เครื่องต่อ ค่าไถ่จะเพิ่มขึ้นถึงสามเท่า! โดยแรนซั่มแวร์ตัวนี้จะปิดทำการปุ่ม Home บนเครื่อง แต่โชคดีที่มันไม่ได้เข้ารหัสไฟล์ในเครื่องผู้ใช้สามารถใช้ adb เพื่อกู้กลับมาได้ครับ ใครจะเปิดไฟล์แนบจากอีเมลต้องสงสัยอาจตกเป็นเหยื่อได้ ถ้าได้รับอีเมลที่บอกให้เราต้องเปิดไฟล์แนบจากแหล่งที่มาไม่น่าเชื่อถือแนะนำให้ลบทิ้งครับ
ที่มา: http://www.net-security.org/malware_news.php?id=3046