Sophos เปิดตัว Intercept X ระบบ Endpoint Protection แบบ Next-generation ในงาน Sophos Partner Solution Day

พร้อมจัดการกับ Ransomware และการโจมตีแบบ Zero-day Exploit ให้อยู่หมัด ตอบรับแนวคิด Synchronized Security ระหว่างระบบเครือข่ายและอุปกรณ์ปลายทาง

Sophos ผู้ให้บริการโซลูชันด้านความปลอดภัยครบวงจรชื่อดังจากสหราชอาณาจักร จัดงาน Sophos Partner Day เปิดตัวโซลูชันใหม่อย่าง Next-generation Endpoint Protection ชื่อว่า “Intercept X” สำหรับปกป้องอุปกรณ์ปลายทางจากภัยคุกคามระดับสูง ไม่ว่าจะเป็น Ransomware หรือ Zero-day Exploit พร้อมแชร์ข้อมูล Security Intelligence ร่วมกับ Network Security Platform ของ Sophos เพื่อเพิ่มความมั่นคงปลอดภัยให้แก่องค์กรจนถึงขีดสุด

“Sophos เป็นบริษัทผู้ให้บริการแพลทฟอร์มด้านความมั่นคงปลอดภัยแบบ Next-generation ที่ก้าวอยู่ในแนวหน้าของตลาด เราเน้นโฟกัสที่ตลาดขนาดกลาง (ไม่เกิน 1,000 ผู้ใช้) เนื่องจากบริษัทเหล่านี้มีทรัพยากรด้านบุคลากรและการเงินจำกัด รวมไปถึงมีผู้ดูแลระบบเพียงไม่กี่คน เราจึงออกแบบแพลทฟอร์มให้สามารถบริหารจัดการได้ง่าย แต่มีประสิทธิภาพสูง” — Sumit Bansal ผู้อำนวยการฝ่ายขายประจำภูมิภาคอาเซียนและเกาหลี

หยุดยั้ง Ransomware ได้ภายในไม่กี่วินาที พร้อมกู้ไฟล์ข้อมูลกลับคืนมา

Sophos Intercept X มีฟีเจอร์สำคัญคือระบบ Anti-ransomware หรือที่เรียกว่า CryptoGuard ซึ่งแตกต่างจากโซลูชันสำหรับตรวจจับและป้องกัน Ransomware ทั่วไปตรงที่สามารถยับยั้งและจัดการคลีนมัลแวร์ได้อย่างรวดเร็ว รวมไปถึงสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสกลับมาได้เสมือนไม่เคยถูกโจมตีมาก่อน

หลักการทำงานของ CryptoGuard เชิงเทคนิคเป็นดังนี้

1. เฝ้าระวังการเข้าถึงไฟล์ – เมื่อตรวจพบว่ามีการเข้าถึงไฟล์ข้อมูลอย่างผิดปกติ เช่น มีความพยายามเข้ารหัสไฟล์ข้อมูล CryptoGuard จะทำการคัดลอกไฟล์ดังกล่าวเก็บไว้ก่อน
2. ตรวจจับการโจมตี – เมื่อพบเห็นการกระทำที่ผิดปกติซ้ำๆ หลายครั้ง จนมั่นใจแล้วว่าเป็นการโจมตีจาก Ransomware จริง (เช่น ไฟล์ถูกเข้ารหัสไปแล้ว 3 ไฟล์) CryptoGuard จะทำการยับยั้ง Process นั้น
3. เริ่มกระบวนการย้อนกลับ – หลังจากยับยั้ง Process ของ Ransomware แล้ว จะเริ่มกระบวนการย้อนคืนไฟล์ต้นฉบับที่คัดลอกไว้กลับคืนมา พร้อมทั้งจัดการทำลายไฟล์ที่ผิดปกติและคลีนมัลแวร์ เสมือนไม่เคยมีการโจมตีเกิดขึ้น
4. เก็บวิเคราะห์หลักฐาน – แจ้งเตือนผู้ดูแลระบบพร้อมแสดงรายละเอียดเกี่ยวกับเหตุการณ์ผิดปกติที่เกิดขึ้น

https://player.vimeo.com/video/180040392

ตรวจจับการโจมตีแบบ Zero-day Exploit และทำ Root Cause Analysis แบบ 360 องศา

นอกจากป้องกัน Ransomware ได้แล้ว Sophos Intercept X ยังมีฟีเจอร์สำคัญในฐานะที่เป็น Next-generation Endpoint Protection อีก 3 ประการ คือ

• Anti-exploit: ระบบตรวจจับภัยคุกคามและการเจาะระบบแบบไม่ใช้ Signature ที่มุ่งเน้นการป้องกัน Unknown Malware และ Zero-day Exploits รวมไปถึงการโจมตีแบบ Advanced Persistent Threats โดยเฉพาะ โดยอาศัยหลักการตรวจจับเทคนิคที่แฮ็คเกอร์ใช้และการตรวจสอบพฤติกรรมที่ผิดปกติอันแสนแยบยล
• Root Cause Analysis: ระบบวิเคราะห์ภาพรวมของการโจมตีแบบ 300 องศา ซึ่งแสดงแผนภาพตำแหน่งของการโจมตีที่ลอบเข้ามา บริเวณที่ได้รับผลกระทบ จุดที่มีการสกัดกั้น พร้อมมอบรายละเอียดสำหรับการหาต้นตนสาเหตุของปัญหา รวมไปถึงให้คำแนะนำเพื่อที่ผู้ดูแลระบบจะได้นำไปจัดทำ Policies สำหรับป้องกันการโจมตีในลักษณะเดียวกันได้ในอนาคต
• Sophos Clean: ระบบการตามล่าและกำจัดร่องรอยของ Spyware และมัลแวร์ที่ฝังตัวหรือซ่อนตัวในจุดที่ลึกที่สุดของระบบ

แชร์ข้อมูล Security Intelligence กับระบบเครือข่ายผ่านแนวคิด Synchronized Security

Security Heartbeat หรือเรียกอีกชื่อหนึ่งว่า Synchronized Security เป็นฟีเจอร์เด่นสุดของ Sophos Security Platform ซึ่งทำหน้าที่แชร์ข้อมูลความมั่นคงปลอดภัยระหว่าง Network Security กับ Endpoint Security เข้าด้วยกันแบบเรียลไทม์ เมื่อฝั่งใดฝั่งหนึ่งตรวจพบเหตุการณ์ที่ผิดปกติ ก็จะบอกให้อีกฝั่งรับทราบทันทีเพื่อหาทางป้องกัน และรับมือกับภัยคุกคามและความเสี่ยงที่อาจจะเกิดขึ้นก่อนที่ภัยคุกคามจะแพร่ขยายตัวออกไป

ยกตัวอย่าง เมื่อระบบ Endpoint Protection ที่เครื่องปลายทางตรวจพบพฤติกรรมผิดปกติ เช่น ตรวจจับการติดต่อสื่อสารระหว่างมัลแวร์กับ C&C Server ได้ นอกจากระบบ Endpoint Protection จะบล็อคการเชื่อมต่อของอุปกรณ์ปลายทางแล้ว ก็จะแจ้งเตือนไปยัง Sophos XG Firewall เพื่อตัดขนาดการเชื่อมต่อดังกล่าวกับระบบเครือข่ายด้วยเช่นกัน เพื่อป้องกันการแพร่กระจายของภัยคุกคาม และปัญหาการเจาะระบบที่อาจจะเกิดขึ้นได้ในอนาคต รวมทั้งแยกอุปกรณ์ปลายทางที่มีปัญหาออกมาเพื่อให้แน่ใจได้ว่าข้อมูลอันสำคัญขององค์กรจะไม่ถูกขโมยออกไปสู่ภายนอกก่อนที่จะจัดการคลีนมัลแวร์ให้เรียบร้อย

“ไม่มีบริษัทอื่นที่พร้อมให้บริการรูปแบบการซิงโครไนซ์และการแลกเปลี่ยนข้อมูลระหว่าง Endpoint และผลิตภัณฑ์ Network Security [อย่างที่ Sophos ทำ]” — Chris Christiansen รองประธานฝ่ายผลิตภัณฑ์ด้านความมั่นคงปลอดภัยของ IDC ให้ความเห็น

เปิดตัว Sophos Central แพลทฟอร์มด้านความมั่นคงปลอดภัยแบบรวมศูนย์

Sophos Central เป็น Console สำหรับบริหารจัดการแพลทฟอร์มของ Sophos ทั้งหมด ไม่ว่าจะเป็น Network Security หรือ Endpoint ผ่านทางระบบ Cloud แบบรวมศูนย์ โดยแบ่งฟีเจอร์ออกเป็น 3 รายการสำหรับผู้ดูแลระบบในองค์กร พาร์ทเนอร์ที่เข้ามาช่วยดูแลระบบ และผู้ใช้ทั่วไป

• Sophos Central – Admin: หรือที่รู้จักกันก่อนหน้านี้ในชื่อ Sophos Cloud ช่วยให้ผู้ดูแลระบบสามารถบริหารจัดการผลิตภัณฑ์ของ Sophos ทั้งหมดได้ภายใน Console เดียว ไม่ว่าจะเป็น Endpoint, Server, Firewall, Mobile, Encryption, Email หรือ Web รวมไปถึงทำหน้าที่เป็น Wireless Controller สำหรับควบคุมระบบ Wi-Fi ได้อีกด้วย
• Sophos Central – Partner: Console สำหรับให้พาร์ทเนอร์บริหารจัดการ License และติดตามดูแล Firewall ของลูกค้าผ่านระบบ Cloud ได้เมื่อลูกค้าพบปัญหาหรือต้องการความช่วยเหลือ โดยที่ไม่จำเป็นต้อง Remote ไปที่ไซต์ของลูกค้าหรือเข้าไปยังบริษัทโดยตรง ช่วยให้สามารถซัพพอร์ทจากระยะไกลได้อย่างรวดเร็ว
• Sophos Central – Self Service: บริการใหม่สำหรับผู้ใช้ทั่วไปให้สามารถบริหารจัดการอุปกรณ์ส่วนตัว (BYOD) ได้อย่างรวดเร็ว ไม่ว่าจะเป็นการทำ Self-service Provisioning การจัดการกับอีเมลที่ถูกกักกัน และการตั้งค่าความมั่นคงปลอดภัยของ AP และ Hotspot เป็นต้น ซึ่งช่วยลดภาระงานของฝ่าย IT ลงได้เป็นอย่างดี

Sophos Intercept X, Synchronized Security และ Sophos Central พร้อมให้บริการในประเทศไทยแล้ว ผู้ที่สนใจสามารถสอบถามข้อมูลเพิ่มเติมได้ที่ทีมงาน Sophos ประเทศไทยหรือตัวแทนจำหน่าย

from:https://www.techtalkthai.com/sophos-releases-intercept-x-next-generation-endpoint-protection/

โหลดฟรี !! โปรแกรม Anti-ransomware for Business จาก Kaspersky Lab

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชั้นนำ เปิดให้บริการโปรแกรม Anti-ransomware สำหรับใช้งานเชิงธุรกิจ โดยอาศัยเทคโนโลยีระดับอัจฉริยะของ Kaspersky Lab 2 อย่าง คือ Kaspersky Security Network และ System Watcher ผู้ที่สนใจสามารดาวน์โหลดไปใช้งานได้ฟรีทันที

Credit: Vector3D/ShutterStock

Kaspersky Anti-ransomware Tool ถูกออกแบบมาเพื่อปกป้องอุปกรณ์ที่รันระบบปฏิบัติการ Windows จาก Ransomware โดยเฉพาะ เป็นโซลูชันเพิ่มเติมจาก Endpoint Protection หรือ Antivirus ที่บริษัทใช้อยู่ในปัจจุบัน Anti-ransomware นี้พร้อมรองรับการใช้งานตั้งแต่ธุรกิจขนาดเล็ก (SMB) ไปจนถึงองค์กรขนาดใหญ่ โดยเป็นโซลูชันที่มีประสิทธิภาพสูง เร็ว และกินทรัพยากรเครื่องต่ำ

Anti-ransomware สามารถป้องกัน Crypto-ransomware ได้โดยใช้เทคโนโลยีขั้นสูงของ Kaspersky Lab 2 รายการ คือ

• Kaspersky Security Network: บริการ Threat Intelligence บนระบบ Cloud ของ Kaspersky ที่รวบรวมข้อมูลภัยคุกคามจากทั่วโลก รวมไปถึง Ransomware แบบต่างๆ ที่กระจายตัวอยู่
• System Watcher: เทคโนโลยีความมั่นคงปลอดภัยเชิงรุกระดับสูง ที่คอยทำหน้าที่เฝ้าระวังและตรวจสอบพฤติกรรมต่างๆ ของระบบปฏิบัติการ ถ้าเจอพฤติกรรมที่ผิดปกติ เช่น ไฟล์ถูกลบ และมีการเปลี่ยนแปลงนามสกุลเป็นจำนวนมาก ก็ให้ต้องสงสัยว่าถูก Ransomware โจมตี เป็นต้น

โปรแกรม Anti-ransomware ของ Kaspersky สามารถทำงานร่วมกับโซลูชัน Endpoint Protection ของ 3rd Party ได้อย่างไร้ปัญหา เป็นการเสริมความแข็งแกร่งให้แก่ระบบความมั่นคงปลอดภัยของคอมพิวเตอร์เพื่อป้องกัน Crypto-ransomware โดยเฉพาะ ผู้ที่สนใจสามารถทดลองใช้โปรแกรม Anti-ransomware ได้ที่: https://go.kaspersky.com/Anti-ransomware-tool.html

ที่มา: http://www.kaspersky.com/about/news/product/2016/kaspersky-anti-ransomware-tool-available-free-of-charge-for-businesses

from:https://www.techtalkthai.com/free-anti-ransomware-for-business-by-kaspersky-lab/

Kaspersky Lab ปล่อย Decrypter ปลดล็อก CryptXXX Ransomware

สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่ตัวใหม่ ชื่อว่า CyrptXXX ที่นอกจากจะเข้ารหัสไฟล์ข้อมูลเรียกค่าไถ่แล้ว ยังพยายามขโมยเงิน Bitcoin และ Username/Password ที่ใช้ล็อกอินของเหยื่ออีกด้วย แต่ข่าวดีคือ Kaspersky Lab ได้ออก Decrypter สำหรับปลดล็อก CryptXXX ได้สำเร็จ โดยไม่ต้องเสียค่าไถ่อีกต่อไป

เข้ารหัสไฟล์และแอบขโมยข้อมูล

หลังจาก CryptXXX ถูกติดตั้งสู่เครื่องคอมพิวเตอร์แล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูลแล้วต่อท้ายนามสกุลไฟล์เป็น .crypt จากนั้นจะแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน $500 หรือประมาณ 18,000 บาทเพื่อแลกกับกุญแจปลดรหัส แต่ที่ร้ายกาจคือ CryptXXX จะแอบขโมย Bitcoin wallet และข้อมูล Credential ต่างๆ เช่น FTP Client, Instant Messaging Client, Email และ Browser อีกด้วย

RannohDecrypter ปลดรหัสไฟล์โดยไม่ต้องจ่ายค่าไถ่

อย่างไรก็ตาม Kaspersky Lab ค้นพบจุดอ่อนของ Ransomware ดังกล่าว และได้ทำการออก Decrypter สำหรับปลดรหัสไฟล์โดยไม่ต้องจ่ายค่าไถ่เป็นที่เรียบร้อย เรียกว่า “RannohDecryptor” สามารถดูรายละเอียดได้ที่เว็บไซต์ของ Kaspersky Lab

หลังจากที่ปลดรหัสไฟล์เรียบร้อยแล้ว สามารถถอนการติดตั้งโปรแกรม Decrypter ออกได้ทันที นอกจากนี้ แนะนำว่าให้ใช้โปรแกรม Anti-malware สแกนเครื่องคอมพิวเตอร์ทั้งหมดอีกครั้ง เพื่อให้มั่นใจว่ามัลแวร์ถูกกำจัดออกไปจากเครื่องจนหมดจริง

ที่มา: http://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-free-decryptor-for-cryptxxx-ransomware/

from:https://www.techtalkthai.com/kaspersky-lab-releases-decrypter-for-cryptxxx/

RansomWhere? เครื่องมือตรวจจับ Ransomware แรกสำหรับ Mac OS X

Ransomware หรือมัลแวร์เรียกค่าไถ่นับว่าเป็นภัยคุกคามอันร้ายกาจในปัจจุบัน Vendor ทางด้าน Security พยายามพัฒนาเครื่องมือสำหรับปลดรหัสไฟล์โดยที่ไม่ต้องจ่ายค่าไถ่ หรือที่เรียกว่า Decrypter บางราย เช่น Bitdefender ก็ได้พัฒนา Anti-ransomware สำหรับป้องกันการโจมตี ซึ่งก็ได้ผลดีระดับหนึ่ง แต่เครื่องมือเหล่านี้รองรับเฉพาะระบบปฏิบัติการ Windows เท่านั้น แล้วเครื่องมือสนับสนุน Mac OS X ล่ะ ?

Ransomware เริ่มจู่โจม Mac OS X

Mac OS X เริ่มตกเป็นเป้าหมายของ Ransomware หลังจากที่ Palo Alto Networks ผู้ให้บริการแพลทฟอร์มด้านความมั่นคงปลอดภัยแบบ Next-generation ชื่อดังออกมาเปิดเผยถึง Ransomware ตัวแรกบน Mac ที่ชื่อว่า KeRanger เมื่อปลายเดือนที่ผ่านมา คำถามคือ แล้วเราจะป้องกัน Mac OS X จากมัลแวร์นี้ได้อย่างไร

RansomWhere? เครื่องมือตรวจจับสำหรับ OS X โดยเฉพาะ

Patrick Wardle หัวหน้าทีมวิจัยของ Synack และแฮ็คเกอร์ OS X ได้ออกมาเปิดตัวเครื่องมือสำหรับตรวจจับ Ransomware ตัวแรกของ Mac OS X เรียกว่า RansomWhere? ซึ่งจะคอยเฝ้าระวัง Home Directories จาก Process แปลกปลอมที่จะเข้ารหัสไฟล์ข้อมูล ถ้า RansomWhere? ทำการบล็อก Process มันจะแจ้งเตือนไปยังผู้ใช้เพื่อให้ตัดสินใจว่า จะยอมให้ Process ทำงานหรือให้ทำลาย Process ดังกล่าวทิ้งไป

“ผมรู้ดีว่าวิธีการในปัจจุบันนั้นไม่ได้ผล โปรแกรม Antivirus ยังมีข้อบกพร่องอยู่ KeRanger ถูกเซ็นโดย Developer Certificate อย่างถูกต้อง ส่งผลให้สามารถทะลุผ่าน Gatekeeper Protection ของ Mac OS X ได้ คุณจำเป็นต้องคิดนอกกรอบ และใช้วิธีที่ไม่เฉพาะเจาะจงเกินไป” — Wardle ระบุ

ตรวจจับ Ransomware จากพฤติกรรม

หลักการทำงานของ RansomWhere? คือ การตรวจจับมัลแวร์จากพฤติกรรม โดยมีหลักการตรวจสอบหลายประการ เช่น เริ่มต้นจากการตรวจสอบความน่าเชื่อถือของ Process ถ้า Process ถูกเซ็นโดย Apple หรือ Developer ที่ได้รับการยืนยัน ก็จะเชื่อถือได้ ถ้าไม่ ก็จะทำการเฝ้าระวัง เมื่อไหร่ก็ตามที่ไฟล์ใหม่ที่ถูกสร้างขึ้นหรือเปลี่ยนแปลงแก้ไข ถูกเข้ารหัส RansomWhere? จะทำการหยุด Process นั้นแล้วแจ้งเตือนไปยังผู้ใช้เพื่อให้ทำการยืนยัน

ยังคงมีข้อจำกัด แต่จะพัฒนาต่อไป

Wardle ทราบดีว่าเครื่องมือเวอร์ชัน 1.0 ของเขายังคงมีข้อจำกัด ซึ่งอาจถูก Bypass ได้ รวมไปถึงการตรวจจับและหยุดยั้ง Ransomware จะทำได้ก็ต่อเมื่อหลังบางไฟล์ถูกเข้ารหัสไปเป็นที่เรียบร้อยแล้ว อย่างไรก็ตาม Wardle ระบุว่าเขาจะพัฒนา RansomWhere? ต่อไป ให้สามารถเฝ้าระวังทุกไฟล์บน OS X จนไปถึงระดับ Kernel เลยทีเดียว

อ่านรายละเอียดเชิงเทคนิคของ RansomWhere? ได้ที่ https://objective-see.com/blog/blog_0x0F.html
ดาวน์โหลดโปรแกรม RansomWhere? มาลองใช้ได้ที่ https://objective-see.com/products/ransomwhere.html

ที่มา: https://threatpost.com/generic-ransomware-detection-comes-to-os-x/117534/

from:https://www.techtalkthai.com/ransomwhere-the-first-anti-ransomware-for-mac-os-x/

Tool ฟรีสำหรับป้องกัน Locky และ Ransomware อื่นๆ โดย Bitdefender

Bitdefender ผู้ให้บริการโปรแกรม Anti-malware ชื่อดัง ออกเครื่องมือใหม่สำหรับป้องกันมัลแวร์เรียกค่าไถ่ ไม่ว่าจะเป็น Locky, TeslaCrypt หรือ CTB-Locker โดยการหลอกมัลแวร์เหล่านั้นว่า คอมพิวเตอร์เครื่องดังกล่าวถูกโจมตีและถูกเข้ารหัสเรียบร้อยแล้ว

หลอกมัลแวร์ว่าเครื่องถูกเข้ารหัสไปแล้ว

วิธีการของ Bitdefender นั้นใช้ประโยชน์จากช่องโหว่ในการออกแบบมัลแวร์เรียกค่าไถ่ของแฮ็คเกอร์ กล่าวคือ มัลแวร์เรียกค่าไถ่แต่ละชนิด จะไม่ทำงานทับซ้อนกัน หมายความว่า ถ้ามัลแวร์ค้นพบว่าคอมพิวเตอร์ถูกเข้ารหัสข้อมูลไปแล้ว ก็จะไม่เข้ารหัสซ้อนอีก มิเช่นนั้นจะเกิดการเข้ารหัสทับซ้อนกันหลายครั้งจนไม่สามารถปลดรหัสได้ แฮ็คเกอร์ก็จะไม่ได้เงิน

ด้วยเหตุนี้ เครื่องมือสำหรับป้องกันมัลแวร์เรียกค่าไถ่ของ Bitdefender จึงทำงานด้วยการหลอก Locky, TeslaCrypt และ CTB-Locker ว่า เครื่องของผู้ใช้ถูกเข้ารหัสไปเรียบร้อยแล้ว มัลแวร์ก็จะไม่เข้ารหัสซ้ำอีก

ผู้ที่สนใจเครื่องมือสำหรับป้องกันมัลแวร์นี้ สามารถดาวน์โหลดไปทดลองใช้ป้องกันคอมพิวเตอร์ได้ที่ https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/

อย่ามั่นใจจนเกินไป ควรหมั่นสำรองข้อมูลบ่อยๆ

อย่างไรก็ตาม เครื่องมือนี้สามารถช่วยป้องกันคอมพิวเตอร์จากมัลแวร์เรียกค่าไถ่ได้เพียงบางชนิดและเพียงระยะเวลาหนึ่งเท่านั้น ถ้าแฮ็คเกอร์เปลี่ยนแนวคิดหรือปรับแต่งมัลแวร์ใหม่ ก็อาจสามารถทำอันตรายคอมพิวเตอร์ของเราได้ทันที วิธีที่ดีที่สุดยังคงเป็นการหมั่นสำรองข้อมูลบ่อยๆ หลีกเลี่ยงการเข้าถึงเว็บไซต์แปลกๆ ไม่เปิดไฟล์ที่ไม่ทราบที่มาแน่ชัด และหลีกเลี่ยงการใช้ Macro บน MS Office

ที่มา: http://www.networkworld.com/article/3049175/free-bitdefender-tool-prevents-locky-other-ransomware-infections-for-now.html

from:https://www.techtalkthai.com/free-anti-ransomware-tool-by-bitdefender/

Malwarebytes เปิดตัว Anti-ransomware ให้ทดลองใช้ฟรี

Malwarebytes ผู้ให้บริการโซลูชัน Anti-malware และ Anti-exploit ชั้นนำของโลก ได้ประกาศเปิดตัวโซลูชันใหม่ คือ Anti-ransomware สำหรับป้องกันมัลแวร์เรียกค่าไถ่ เช่น CryptoLocker, Cryptowall, CTBLocker เป็นเวอร์ชัน Beta ให้ทดลองดาวน์โหลดไปใช้งานได้ฟรี

Ransomware เป็นที่แพร่หลายและพัฒนาไปไกล

มัลแวร์เรียกค่าไถ่หรือ Ransomware นับว่าเป็นมัลแวร์รูปแบบใหม่นี่แพร่หลายอย่างรวดเร็วในช่วงไม่กี่ปีที่ผ่านมา เมื่อมัลแวร์แพร่กระจายเข้าสู่คอมพิวเตอร์ มันจะทำการค้นหาและเข้ารหัสไฟล์ข้อมูลต่างๆ เช่น รูปภาพ วิดีโอ เอกสาร และอื่นๆ แล้วแจ้งเตือนข้อความให้เหยื่อจ่ายค่าไถ่เพื่อแลกกับการปลดรหัสดังกล่าว

ปัจจุบันนี้ Ransomware ได้พัฒนาไปไกล ไม่ว่าจะเป็นกลไกการเข้ารหัสระดับสูงที่แทบจะปลดรหัสเองไม่ได้เลยนอกจากยอมจ่ายค่าไถ่ หรือแม้กระทั่งการสำรองข้อมูลก็อาจไม่ใช่วิธีรับมือที่ดีที่สุดอีกต่อไป เนื่องจากมัลแวร์เหล่านี้จะทำการค้นหาไฟล์สำรองเหล่านี้แล้วเข้ารหัสพวกมันไปด้วยเช่นเดียวกัน

Anti-ransomware พร้อมให้บริการด้วยเทคโนโลยีเชิงรุกระดับสูง

Malwarebytes ได้เข้าซื้อกิจการของ EasySync ผู้ให้บริการโซลูชันป้องกัน Ransomware ชื่อดังอย่าง CryptoMonitor เพื่อนำมาพัฒนาต่อยอดให้ดียิ่งขึ้น โดยใช้เทคโนโลยีเชิงรุกระดับสูงที่ช่วยตรวจจับ Ransomware ก่อนที่จะเริ่มทำอันตรายระบบไฟล์ ซึ่งกลไกการตรวจจับนี้ไม่ได้ใช้ Signature หรือ Heuristic ส่งผลให้แม้จะปรับแต่ง Ransomware ให้ต่างไปจากเดิม Malwarebytes ก็ยังสามารถตรวจพบเจออยู่ดี นอกจากนี้ ยังมีขนาดเล็กและสามารถทำงานร่วมกับโปรแกรมแอนตี้ไวรัสได้อย่างไร้ปัญหา

ทดสอบการตรวจจับ Ransomware ชื่อดังได้ทั้งหมด

Malwarebytes ได้ทดสอบโซลูชัน Anti-ransomware ของตน พบว่าสามารถป้องกัน Ransomware ชื่อดังทุกตัวในปัจจุบันได้ ไม่ว่าจะเป็น CryptoLocker, Cryptowall, CTBLocker และอื่นๆ รวมไปถึงสามารถตรวจจับมัลแวร์เวอร์ชันใหม่ที่เพิ่งออกได้ทันทีอีกด้วย ผู้ที่สนใจสามารถดาวน์โหลดเวอร์ชัน Beta ไปทดลองใช้ได้ฟรีที่ https://malwarebytes.box.com/s/s7h3v3derixc7b88q5okal5c0vol5h1x

ที่มา: https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/

from:https://www.techtalkthai.com/malwarebytes-introduces-new-anti-ransomware/

DecryptInfinite เครื่องมือฟรีสำหรับแก้ Ransomware ตระกูล DecryptorMax จาก Emsisoft ถอดรหัสไฟล์คืนมาได้ฟรีๆ

เป็นข่าวดีสำหรับผู้ที่ถูกโจมตีด้วย Ransomware ตระกูล DecryptorMax หรือ CryptInfinite ที่มักแพร่ระบาดผ่านทาง Microsoft Word Macro เมื่อ Fabian Wosar แห่ง Emsisoft ค้นพบวิธีการสร้างกุญแจสำหรับถอดรหัสไฟล์ทั้งหมดที่ถูกเข้รหัสด้วย DecryptorMax และแจกซอฟต์แวร์สำหรับใช้ถอดรหัสได้ฟรีๆ ภายใต้ชื่อ DecryptInfinite

เหยื่อที่ติด Ransomware DecryptorMax ไปนั้นจะถูกเข้ารหัสไฟล์ในเครื่อง พร้อมกับทิ้งข้อความเรียกค่าไถ่ให้ส่ง PayPal MyCash Voucher Code ไปที่ silasw9pa@yahoo.co.uk, decryptor171@mail2tor.com หรือ decryptor171@scramble.io รวมถึงยังจะทำการเปลี่ยน Background ของเครื่องให้เป็นข้อความเรียกค่าไถ่ และลบข้อมูลที่สำรองด้วย Shadow Volume ทิ้งทั้งหมด รวมถึงยังปิด Windows Startup Repair ทิ้งอีกด้วย ทำให้เหยื่อไม่สามารถกู้ข้อมูลกลับคืนมาได้

สำหรับ DecryptInfinite นั้นสามารถโหลดได้ที่ http://emsi.at/DecryptCryptInfinite โดยเมื่อเรียกใช้งานโปรแกรมแล้ว ผู้ใช้งานจะต้องเตรียมไฟล์ที่ถูกเข้ารหัส และก่อนถูกเข้ารหัสเพื่อส่งให้โปรแกรมประมวลผลและเลือก Key ออกมา แต่ถ้าหากผู้ใช้งานไม่มีไฟล์ต้นฉบับก่อนถูกเข้ารหัสเก็บเอาไว้ ก็สามารถใช้ไฟล์ .png ใดๆ แทนไฟล์ต้นฉบับก็ได้ และเลือกไฟล์ .png อื่นๆ ที่ถูกเข้ารหัสไปแล้วมาเป็นตัวเปรียบเทียบแทนก็ได้เช่นกัน

จากนั้นรอซักพัก ซอฟต์แวร์ก็จะสร้าง Key สำหรับถอดรหัสออกมาให้ ส่วนข้อมูลเพิ่มเติมเกี่ยวกับการทำงานของ DecryptorInfinite นั้นสามารถอ่านได้ที่ http://www.bleepingcomputer.com/forums/t/596691/decryptormax-or-cryptinfinite-ransomware-crinf-extension-support-topic/ ทันที

ที่มา: http://news.softpedia.com/news/decryptormax-ransomware-decrypted-no-need-to-pay-the-ransom-496848.shtml

from:https://www.techtalkthai.com/decryptinfinite-ransomware-decryptor-for-decryptormax-and-cryptinfinite/

ใช้ Kaspersky Ransomware Decryptor ถอดรหัสไฟล์ที่ถูก CoinVault และ Bitcryptor เข้ารหัสได้ฟรีๆ

ด้วยความร่วมมือกันระหว่างตำรวจ Netherland, National Prosecutor Office แห่ง Netherland และ Kaspersky Lab ทำให้หลังจากทำการจับกุมผู้ที่เกียวข้องกับ Ransomware สองแคมเปญใหญ่อย่าง CoinVault และ Bitcryptor นั้น สามารถต่อยอดเพื่อสร้าง Application สำหรับถอดรหัสไฟล์ทั้งหมดให้แก่เหยื่อของ 2 แคมเปญนี้ได้มากกว่า 14,000 ราย ภายใต้ชื่อของ Kaspersky Ransomware Decryptor

Credit: ShutterStock.com

ทั้งนี้ Kaspersky Ransomware Decryptor นี้ก็ยังสามารถช่วยเหลือได้เพียงเหยื่อของผู้ที่ถูกโจมตีจาก 2 แคมเปญดังกล่าวเท่านั้น ไม่สามารถถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยการโจมตีจากแคมเปญอื่นๆ ได้ ดังนั้นองค์กรต่างๆ จึงควรทำการ Backup ข้อมูลสำคัญๆ อย่างต่อเนื่องสม่ำเสมอ และควรให้ความรู้กับผู้ใช้งาน เพื่อระมัดระวังในการเข้าเว็บไซต์แปลกประหลาดต่างๆ และการเปิด Email Attachment ที่ต้องสงสัยด้วย

สำหรับผู้ที่สนใจสามารถ Download Kasypersky Ransomware Decryptor ได้ที่ https://noransom.kaspersky.com/ พร้อมอ่านคู่มือการใช้งานได้ที่ https://noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf เลยครับ

ที่มา: http://thehackernews.com/2015/10/ransomware-decryption-tool.html

from:https://www.techtalkthai.com/free-kaspersky-ransomware-decryptor-to-decrypt-coinvault-and-bitcryptor-ransomware-files/

เจาะลึกการป้องกัน Cryptolocker/Ransomware ด้วยเทคโนโลยี Auto Sandbox จาก Comodo ESM

ในช่วงปีที่ผ่านมา การโจมตีด้วย Cryptolocker หรือโทรจันกลุ่ม Ransomware ได้กลายเป็นปัญหาที่น่าปวดหัวของเหล่าผู้ดูแลระบบทั้งหลาย บางองค์กรอาจโชคดีที่การโจมตีไม่ได้สร้างความเสียหายใดๆ มากนัก แต่บางองค์กรอาจถูกเข้ารหัสไฟล์ที่มีความสำคัญต่อการทำงานและไม่มีการสำรองไว้ จนต้องยอมจ่ายค่าไถ่ให้ผู้ที่ทำการโจมตีในที่สุด

ในบทความนี้ทางทีมงาน Comodo Thailand ได้เชิญทีมงาน TechTalkThai ไปรับชมวิธีการป้องกัน Cryptolocker และโทรจันกลุ่ม Ransomware ที่ทาง Comodo รับประกันว่าสามารถป้องกันได้ 100% กันครับ

การทำงานของ Cryptolocker และโทรจันกลุ่ม Ransomware

โดยปกติเมื่อ Cryptolocker และโทรจันกลุ่ม Ransomware ถูกติดตั้งลงไปยังเครื่องเป้าหมาย และเรียกใช้งานขึ้นมา จะมีขั้นตอนการทำงานดังต่อไปนี้

1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว
4. เรียกค่าไถ่เพื่อทำการแลกคีย์สำหรับการถอดรหัสไฟล์

 

การป้องกันด้วยเทคโนโลยี Auto Sandbox ของ Comodo ESM

ด้วยเทคโนโลยี Containment ซึ่งเป็นเทคโนโลยีเฉพาะของ Comodo ภายใต้ชื่อ Auto Sandbox นั้น จะทำให้เครื่องลูกข่ายทุกเครื่องในองค์กรทำตัวเสมือนกำลังมีระบบ Sandbox จำลองเพื่อปกป้องเครื่องลูกข่ายจากการทำงานต่างๆ ที่อาจส่งผลอันตรายต่อเครื่องลูกข่ายได้ โดย Auto Sandbox นี้จะถูกเรียกใช้งานเพื่อจัดการกับไฟล์ที่ยังไม่เป็นที่รู้จักของระบบรักษาความปลอดภัยภายในองค์กรทั้งหมดโดยอัตโนมัติ

ดังนั้นเมื่อไฟล์ Cryptolocker หรือโทรจันกลุ่ม Ransomware ใหม่ๆ ที่ยังไม่เป็นที่รู้จักถูกติดตั้งลงไปบนเครื่องลูกข่าย และไม่ถูกทำลายโดย Signature-based Antivirus รวมถึงถูกตรวจด้วยระบบ File Reputation ของ Comodo แล้วพบว่าเป็นไฟล์ใหม่ที่ยังไม่เป็นที่รู้จัก Auto Sandbox ของ Comodo จะเริ่มทำงานทันที และเมื่อมีการเรียกใช้งาน Cryptolocker หรือโทรจันกลุ่ม Ransomware ขึ้นมา เหตุการณ์จะดำเนินไปดังนี้

1. Cryptolocker อ่านไฟล์ในระบบ
2. Cryptolocker เข้ารหัสไฟล์นั้นๆ
3. Cryptolocker ทำการเขียนทับไฟล์ต้นฉบับด้วยเนื้อหาที่ถูกทำการเข้ารหัสแล้ว แต่ไม่สำเร็จเนื่องจาก Cryptolocker นี้ถูกขังอยู่ภายใน Auto Sandbox ทำให้การเขียนไฟล์ต้นฉบับเหล่านี้ถูกเขียนลงไปที่ Virtual Hard Drive แทน และไฟล์ต้นฉบับจะไม่เกิดการเปลี่ยนแปลงใดๆ

การทำงานของ .exe หรือ script ที่ไม่รู้จัก จะถูกกักขังอยู่ภายใน Comodo Auto Sandbox โดยอัตโนมัติเพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นในอนาคต

4. ไฟล์ต้นฉบับทั้งหมดยังคงปลอดภัย และมีผลการเข้ารหัสถูกเก็บอยู่ภายใน Virtual Hard Drive ทำให้เจ้าหน้าทีทุกคนในองค์กรยังคงทำงานต่อไปได้ ในขณะที่ผู้ดูแลระบบรับทราบถึงการแพร่ระบาดของ Ransomware และทำการสร้าง Signature เพื่อบล็อคการทำงานได้ทันที

การเข้ารหัสไฟล์ทั้งหมดของ Cryptolocker จะถูกเขียนลงไปยัง Virtual Hard Drive และไม่มีผลกระทบใดๆ ต่อไฟล์ต้นฉบับ ทำให้พนักงานยังคงทำงานได้ตามปกติเหมือนไม่มีอะไรเกิดขึ้น

หน้าต่างแรกคือไฟล์ที่ถูกเข้ารหัสด้วย Cryptolocker ที่ถูกเก็บอยู่ใน Virtual Hard Drive ส่วนหน้าต่างที่สองคือไฟล์ต้นฉบับที่ไม่ได้รับผลกระทบใดๆ จาก Cryptolocker เลย

จะเห็นได้ว่าด้วยการทำงานลักษณะนี้ ทำให้ Ransomware ทั่วๆ ไปสามารถถูกหยุดยั้งได้ทันที รวมไปถึง Virus หรือ Worm ที่มีเป้าหมายในการทำลายไฟล์ทั้งหมดโดยไม่ทำการเข้ารหัสเลยด้วย ในขณะที่วิธีการเหล่านี้ก็ยังคงประนีประนอมให้ผู้ใช้งานทั่วๆ ไปสามารถทำงานได้โดยปกติเหมือนไม่มีอะไรเกิดขึ้นเช่นกัน

 

สำหรับ SI ที่สนใจทดสอบผลิตภัณฑ์หรือสมัครเป็น Reseller และองค์กรที่อยากทดสอบระบบรักษาความปลอดภัยของ Comodo สามารถติดต่อทีมงาน Comodo Thailand ได้ทันทีที่คุณภัทร์ธีนันท์ (เหมย) ที่เบอร์โทร 083-068-6507 หรืออีเมลล์ patteenun@comodothailand.com หรือคุณฐานวัฒน์ (ต้าร์) ที่เบอร์โทร 096-843-5145 หรืออีเมลล์ tharnawat@comodothailand.com ได้ทันที

ข้อมูลเพิ่มเติม

• Comodo Thailand Website http://www.comodothailand.com

from:https://www.techtalkthai.com/stop-cryptolocker-ransomware-with-auto-sandbox-from-comodo-esm/

Comodo เปิดตัว CESM 3.4 รองรับการปกป้อง Windows 10 จาก Virus และยับยั้ง Ransomware ได้ 100%

Comodo ผู้ผลิตระบบ Endpoint Security Management ครบวงจรชั้นนำ ได้เปิดตัว Comodo Enterprise Security Management หรือ CESM รุ่น 3.4 เพื่อให้องค์กรสามารถรับมือกับประเด็นทางด้านความปลอดภัยและการบริหารจัดการเครื่อง Client ได้ดีขึ้น โดยมีการอัพเดตฟีเจอร์ใหม่หลักๆ ด้วยกัน 5 ประเด็นดังนี้

• เพิ่มหน้าจอติดตามและบริหารจัดการการทำงานของ Sandbox ซึ่งจะช่วยให้ผู้ดูแลระบบขององค์กรสามารถมองเห็นการทำงานของ Application ที่ไม่รู้จักซึ่งกำลังทำงานอยู่บน Sandbox ได้ทันที
• เพิ่ม General Overview Dashboard เพิ่มเติมมาสำหรับตรวจสอบภาพรวมทางด้านความปลอดภัยและการทำงานของอุปกรณ์ทั้งหมดที่อยู่ในระบบเครือข่ายขององค์กร
• รายงานผลการ Update และ Scan ของ Anitivirus ที่ติดตั้งในเครื่องลูกข่ายทั้งหมดในองค์กร
• ระบบ Local Cache Proxy เพื่อให้ช่วยลดการใช้ Bandwidth ภายในเครือข่าย
• สามารถทำการปกป้อง Windows 10 ที่ใช้งานในองค์กรได้ครบทุกความสามารถ

โดยในภาพรวมแล้ว CESM รุ่น 3.4 นี้จะช่วยรักษาความปลอดภัยให้เครื่องลูกข่ายได้ด้วยการป้องกันถึง 7 ชั้น ได้แก่ Antivirus, Firewall, Web URL Filtering, Host Intrusion Prevention, Automatic Containment, File Reputation และ Virus Scope (Behavioral Analyzer) ภายใต้หน้าจอการบริหารจัดการเดียว ซึ่งเทคโนโลยีที่เป็นพระเอกอย่าง Automatic Containment หรือ Auto Sandbox นี้เองที่ทำให้ Comodo ได้รับความนิยมอย่างสูงในปัจจุบัน ด้วยความสามารถในการตรวจจับ Malware และยับยั้ง Ransomware ได้อย่างสมบูรณ์ 100% นั่นเอง

สำหรับ SI ที่สนใจทดสอบผลิตภัณฑ์หรือสมัครเป็น Reseller และองค์กรที่อยากทดสอบระบบรักษาความปลอดภัยของ Comodo สามารถติดต่อทีมงาน Comodo Thailand ได้ทันทีที่คุณภัทร์ธีนันท์ (เหมย) ที่เบอร์โทร 083-068-6507 หรืออีเมลล์ patteenun@comodothailand.com หรือคุณฐานวัฒน์ (ต้าร์) ที่เบอร์โทร 096-843-5145 หรืออีเมลล์ tharnawat@comodothailand.com ได้ทันที

ส่วนองค์กรใดที่ต้องการทดสอบการใช้งาน Comodo Endpoint Security ภายในองค์กรของท่าน สามารถกรอกแบบฟอร์มดังต่อไปนี้เพื่อขอ License ทดสอบ พร้อมบริการติดตั้งระบบ Demo จาก Comodo ได้ฟรีๆ ทันที

ข้อมูลเพิ่มเติม

• Comodo Thailand Website http://www.comodothailand.com

ที่มา: https://www.comodo.com/news/press_releases/2015/07/next-generation-of-comodo-enterprise-endpoint-security-solution.html

from:https://www.techtalkthai.com/comodo-cesm-3-4-protect-windows-10-from-antivirus-malware-ransomware/