Snatch Ransomware คืออะไรและจะลบออกได้อย่างไร
เบ็ดเตล็ด / / December 02, 2021
ดูเหมือนว่านักพัฒนาซอฟต์แวร์ Crimeware ไม่เคยหลับใหลเมื่อการป้องกันเพิ่มขึ้น พวกเขามองหาวิธีต่างๆ ในการสร้างเสริมอาวุธโจมตีอยู่เสมอ หนึ่งในเทคนิคล่าสุดคือแรนซัมแวร์สายพันธุ์ที่สามารถบังคับอุปกรณ์ Windows ให้ รีบูตเข้า Safe Mode ก่อนการเข้ารหัสจะเริ่มขึ้น โดยตั้งใจที่จะหลีกเลี่ยงการป้องกันปลายทาง
สายพันธุ์นี้เรียกว่า Snatch เนื่องจากผู้เขียนเรียกตัวเองว่า Snatch Team มันเป็น ค้นพบโดยนักวิจัยของ Sophos Labsซึ่งสรุปการค้นพบของพวกเขาพร้อมกับข้อมูลเชิงลึกว่าแก๊งดังกล่าวบุกเข้าไปในองค์กรและหน่วยงานอื่น ๆ ในรายการฮิตของพวกเขาได้อย่างไร
เราจะอธิบายว่า Snatch ransomware คืออะไร มันทำงานอย่างไร และคุณจะลบมันออกจากอุปกรณ์ของคุณได้อย่างไร
เกี่ยวกับ Guiding Tech
Snatch Ransomware คืออะไร
Snatch เป็นแรนซัมแวร์ตัวใหม่ที่บังคับให้อุปกรณ์ Windows รีบูตเป็นเซฟโหมดได้ ก่อนที่กระบวนการเข้ารหัสจะเริ่มขึ้นในการเสนอราคาเพื่อหลีกเลี่ยงการป้องกันปลายทางที่มักจะไม่ทำงานในสิ่งนี้ โหมด.
ค้นพบโดยนักวิจัยของ SophosLabs และทีม Managed Threat Response ของ Sophos ขโมย ransomware เป็นหนึ่งในองค์ประกอบกลุ่มมัลแวร์หลายตัว
ถูกใช้ในชุดต่อเนื่องของการโจมตีที่ประสานกันอย่างระมัดระวังซึ่งมีการรวบรวมข้อมูลอย่างกว้างขวางNS แรนซัมแวร์สายพันธุ์ใหม่ ใช้วิธีการติดไวรัสเฉพาะที่ใช้การเข้ารหัส AES ที่ซับซ้อนเพื่อให้ผู้ใช้ที่เครื่องติดไวรัสไม่สามารถเข้าถึงไฟล์ของตนได้
Snatch ransomware เปิดใช้งานครั้งแรกอย่างเห็นได้ชัดในเดือนเมษายน 2019 แต่เปิดตัวเมื่อปลายปี 2018 อย่างไรก็ตาม ขัดขวางในไฟล์เข้ารหัสและบันทึกค่าไถ่ นำไปสู่การค้นพบและติดตามผลโดยทีมนักวิจัยของ Sophos
รูปแบบไวรัสเข้ารหัสของมันโจมตีเป้าหมายที่มีรายละเอียดสูง แต่สายพันธุ์ใหม่นี้สร้างขึ้นโดยใช้ Google Go โปรแกรมประกอบด้วยชุดเครื่องมือต่างๆ ซึ่งรวมถึงตัวขโมยข้อมูลและคุณลักษณะแรนซัมแวร์ นอกจากนี้ยังมี โคบอลต์สไตรค์ เปลือกย้อนกลับและเครื่องมืออื่นๆ ที่ใช้โดยผู้ทดสอบการเจาะระบบและผู้ดูแลระบบ
บันทึก: ตัวแปร Sophos ที่ค้นพบสามารถทำงานบน Windows ได้เฉพาะในรุ่น 32 บิตและ 64 บิตตั้งแต่เวอร์ชัน 7 ถึง 10
วิธีการทำงานของ Snatch Ransomware
ในฐานะที่เป็นไวรัสล็อคไฟล์ Snatch ransomware ไม่มีการเชื่อมต่อกับสายพันธุ์อื่นๆ อย่างไรก็ตาม นักพัฒนาซอฟต์แวร์ได้ปล่อยภัยคุกคามจำนวน 9 รูปแบบ ซึ่งผนวกส่วนขยายที่แตกต่างกันหลังจากที่ข้อมูลถูกเข้ารหัสด้วยการเข้ารหัส AES
เคล็ดลับคือการรีบูตเครื่องในเซฟโหมด จากนั้นแรนซัมแวร์จะจำกัดการเข้าถึงข้อมูลของคุณโดยการเข้ารหัสไฟล์ของคุณ หลังจากนั้น แฮกเกอร์พยายามที่จะรีดไถเงินจากคุณโดยเรียกค่าไถ่ในรูปแบบของ Bitcoin เพื่อแลกกับการปลดล็อคไฟล์ของคุณและให้การเข้าถึงข้อมูลกลับมา
มีเหตุผลว่าทำไมเคล็ดลับของพวกเขาถึงได้ผล ซอฟต์แวร์แอนตี้ไวรัสบางตัวไม่เริ่มทำงานในเซฟโหมด และนักพัฒนาพบว่าพวกเขาสามารถแก้ไขรีจิสตรีคีย์ของ Windows ได้อย่างง่ายดายและเพียงแค่บูตเครื่องของคุณเข้าสู่เซฟโหมด ดังนั้นแรนซัมแวร์จึงทำงานโดยซอฟต์แวร์รักษาความปลอดภัยของคุณโดยตรวจไม่พบ
ครั้งแรกที่ติดตั้งบนอุปกรณ์ของคุณ จะผ่าน SuperBackupMan ซึ่งเป็นบริการของ Windows และตั้งค่าก่อนที่คอมพิวเตอร์ของคุณจะเริ่มรีบูต คุณจึงไม่สามารถหยุดการทำงานได้ทันท่วงที
เมื่อติดตั้งแล้ว ผู้โจมตีจะใช้สิทธิ์การเข้าถึงระดับผู้ดูแลระบบเพื่อเรียกใช้ BCDEDIT ซึ่งเป็นเครื่องมือบรรทัดคำสั่งของ Windows เพื่อบังคับให้คอมพิวเตอร์ของคุณรีบูตในเซฟโหมดทันที
จากนั้นจะสร้างไฟล์เรียกทำงานแบบสุ่มในโฟลเดอร์ %AppData% หรือ %LocalAppData% ซึ่งจะเปิดขึ้นและเริ่มสแกนอักษรระบุไดรฟ์ของคอมพิวเตอร์เพื่อหาไฟล์ที่จะเข้ารหัส
เกี่ยวกับ Guiding Tech
ไฟล์ที่กำหนดเป้าหมายโดย Snatch Ransomware
มีนามสกุลไฟล์เฉพาะที่เข้ารหัสไว้ เช่น .doc, .docx, .pdf, .xls และอื่นๆ อีกมากมาย ซึ่งจะแพร่ระบาดและเปลี่ยนนามสกุลเป็น Snatch ดังนั้นคุณจึงไม่สามารถเปิดได้อีก
แรนซัมแวร์ทิ้งไฟล์ข้อความ Readme_Restore_Files.txt โดยเรียกร้องอะไรระหว่างหนึ่งถึงห้าบิตคอยน์ เพื่อแลกกับรหัสถอดรหัสพร้อมข้อมูลวิธีสื่อสารกับแฮกเกอร์เพื่อรับไฟล์ข้อมูลของคุณ กลับ.
หลังจากที่แรนซัมแวร์สแกนคอมพิวเตอร์ของคุณอย่างสมบูรณ์แล้ว จะใช้ vssadmin.exe ซึ่งเป็นคำสั่งของ Windows เพื่อลบ Shadow Volume Copies ทั้งหมดออกจากคอมพิวเตอร์ ดังนั้นคุณจึงไม่สามารถกู้คืนและใช้เพื่อกู้คืนไฟล์ข้อมูลที่เข้ารหัส ขั้นตอนสุดท้ายคือการ เข้ารหัสไฟล์ข้อมูลใด ๆ บนฮาร์ดไดรฟ์ของคุณ
ปัจจุบัน ไฟล์ที่ติดไวรัสไม่สามารถถอดรหัสได้ เนื่องจากลักษณะที่ซับซ้อนของการเข้ารหัส AES ที่ใช้ อย่างไรก็ตาม คุณยังคงรอดชีวิตได้หากคอมพิวเตอร์ของคุณติดไวรัสโดยการกู้คืนไฟล์จากข้อมูลสำรองล่าสุด
Snatch ransomware ได้กำหนดเป้าหมายผู้ใช้ทั่วไปผ่านอีเมลขยะ แต่วันนี้เป้าหมายหลักคือองค์กร การจ่ายเงินให้กับอาชญากร คุณไม่เพียงแต่สูญเสียเงินและไม่มีหลักประกันว่าพวกเขาจะส่งกุญแจถอดรหัสให้คุณ แต่ยังสนับสนุนให้พวกเขาดำเนินการต่อไปกับอาชญากรรมไซเบอร์ของพวกเขา
หากคุณไม่มีข้อมูลสำรองที่อัปเดต คุณไม่สามารถทำอะไรได้มากไปกว่ารอจนกว่าผู้เชี่ยวชาญด้านความปลอดภัยจะมาพร้อมกับตัวถอดรหัสลับแรนซัมแวร์ Snatch อาจใช้เวลานาน แต่มีวิธีอื่นที่คุณสามารถป้องกันตัวเองจากการโจมตีดังกล่าวได้
วิธีการ ลบ Snatch Ransomware จากคอมพิวเตอร์ของคุณ
หนึ่งในวิธีที่ดีที่สุดในการลบ Snatch ransomware และมัลแวร์อื่น ๆ คือการติดตั้งซอฟต์แวร์รักษาความปลอดภัยแอนตี้ไวรัสที่ดี เช่น Malwarebytes หรือ SpyHunter ที่สามารถสแกน ตรวจจับ และกำจัดภัยคุกคามได้ กลไกแอนตี้ไวรัสบางตัวไม่สามารถตรวจจับได้เพราะเป็นมัลแวร์ใหม่ทั้งหมด ดังนั้นจึงควรสแกนโดยใช้หลายโปรแกรม
คุณสามารถป้องกันตัวเองและอุปกรณ์ของคุณจากการโจมตีของแรนซัมแวร์โดยทำตามขั้นตอนง่ายๆ เช่น ดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้ และหลีกเลี่ยงการเปิดไฟล์แนบอีเมลจากแหล่งที่ไม่น่าเชื่อถือ แหล่งที่มา
วิธีอื่นๆ ที่คุณสามารถป้องกันตัวเองและองค์กรของคุณจาก Snatch และแรนซัมแวร์ประเภทอื่นๆ ได้แก่:
- รักษาระบบปฏิบัติการที่อัปเดตและสำรองข้อมูลของคุณ
- ทำการตรวจสอบรหัสผ่านเป็นประจำ
- ปรับใช้ซอฟต์แวร์ความปลอดภัยที่ครอบคลุมหลายชั้นเพื่อปกป้องจุดเริ่มต้นทั้งหมดจากการโจมตีของแรนซัมแวร์
- การรักษาความปลอดภัยเครื่องมือการเข้าถึงระยะไกลและโปรแกรมที่มีช่องโหว่อื่น ๆ เนื่องจากผู้โจมตี Snatch จ้างอาชญากรรายอื่นที่มีประสบการณ์ในการใช้ Web Shell หรือสามารถแฮ็คเข้าสู่เซิร์ฟเวอร์ SQL ผ่านการโจมตีแบบฉีด
- ปกป้องอินเทอร์เฟซเดสก์ท็อประยะไกลของคุณโดยวางไว้หลัง VPN บนเครือข่ายของคุณ เพื่อไม่ให้ผู้อื่นเข้าถึงได้หากไม่มีข้อมูลรับรอง VPN
- ดำเนินการตรวจสอบอุปกรณ์ทั้งหมดในบ้านหรือองค์กรของคุณอย่างสม่ำเสมอและทั่วถึงเพื่อให้แน่ใจว่าอุปกรณ์เหล่านั้นได้รับการปกป้องและเฝ้าติดตาม เนื่องจาก Snatch ใช้ประโยชน์จากจุดเชื่อมต่อและจุดตั้งหลักดังกล่าวเพื่อเข้าถึง
- ตั้งค่าและใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับผู้ดูแลระบบในองค์กรของคุณ เพื่อให้ผู้โจมตีไม่สามารถบังคับข้อมูลประจำตัวของคุณได้
- ดำเนินการตามล่าภัยคุกคามอย่างเต็มรูปแบบบนเครือข่ายของคุณเพื่อระบุกิจกรรมดังกล่าวก่อนการติดไวรัส
เกี่ยวกับ Guiding Tech
ปกป้องระบบของคุณ
Snatch ransomware อาจฟังดูเกือบเป็นอันตรายถึงชีวิตในการทำงานเพื่อทำให้ไฟล์และอุปกรณ์ของคุณเป็นอัมพาต ก่อนที่คุณจะคิดที่จะจ่ายค่าไถ่นั้น ให้ลองทำตามขั้นตอนด้านบนเพื่อลบภัยคุกคามและใช้มาตรการป้องกันเพื่อให้แน่ใจว่าสิ่งนี้และภัยคุกคามดังกล่าวจะไม่แสดงขึ้นบนคอมพิวเตอร์หรือเครือข่ายของคุณ
ถัดไป: หากคุณสงสัยว่าโทรศัพท์ของคุณติดแรนซัมแวร์ ให้ตรวจสอบบทความถัดไปของเราเพื่อค้นหาวิธีตรวจหาและลบออก