Bitdefender ปล่อยเครื่องมือถอดรหัสแรนซัมแวร์ MegaCortex

Bitdefender ปล่อยเครื่องมือถอดรหัสแรนซัมแวร์ MegaCortex ให้ใช้งานฟรี

Bitdefender ได้ร่วมมือกับ Europol, the NoMoreRansom Project และ Zürich Public Prosecutor’s Office and Cantonal Police สร้างเครื่องมือถอดรหัสแรนซัมแวร์ MegaCortex ขึ้นมา โดยการใช้งานไม่จำเป็นต้องติดตั้ง สามารถดาวน์โหลดและสั่งให้ทำการถอดรหัสได้ทันที นอกจากนี้ยังมีความสามารถในการสำรองข้อมูลไฟล์ที่ถูกเข้ารหัสแล้ว เพื่อป้องกันการเสียหายขณะทำการถอดรหัสไฟล์

แรนซัมแวร์ MegaCortex ถูกพบเป็นครั้งแรกในเดือนพฤษภาคม ปี 2019 โดยมีความพยายามในการเจาะเข้าสู่เครือข่ายขององค์กร มีการตรวจพบการใช้งานร่วมกับ QBot, Emotet และ Cobalt Strike และในเดือนพฤศจิกายน 2019 มีการใช้กลยุทธ์การทำ Double Extortion ซึ่งเป็นการเข้ารหัสไฟล์และข่มขู่ที่จะเปิดเผยข้อมูลที่เข้ารหัสไว้ จนในเดือนตุลาคม ปี 2021 ทาง Europol ได้ประกาศการเข้าจับกุมผู้กระทำผิดจำนวน 12 ราย ซึ่งมีความผิดในการโจมตีด้วยแรนซัมแวร์ MegaCortex และ LockerGoga กว่า 1,800 ครั้ง จาก 71 ประเทศทั่วโลก และจากการจับกุมในครั้งนี้ทำให้ได้มาซึ่ง Private Key ในการเข้ารหัสจนสามารถนำมาสร้างเป็นเครื่องมือถอดรหัสได้

ที่มา: https://www.bleepingcomputer.com/news/security/bitdefender-releases-free-megacortex-ransomware-decryptor/

from:https://www.techtalkthai.com/bitdefender-releases-megacortex-ransomware-decryptor/

Bitdefender ออก Universal Decryptor สำหรับเหยื่อของแรนซัมแวร์ REvil/Sodinokibi

Bitdefender ออก Universal Decryptor สำหรับผู้ประสบภัยจากแรนซัมแวร์ REvil/Sodinokibi ที่ถูกโจมตีก่อนวันที่ 13 กรกฏาคมที่ผ่านมา

REvil เป็นกลุ่มคนร้ายที่ให้บริการ Ransomware as a Service ที่มีผลงานโจมตีเหยื่อหลายแห่งพร้อมเรียกค่าไถ่ ซึ่งสูงสุดกว่า 70 ล้านเหรียญสหรัฐฯ โดยก่อนหน้านี้เครือข่ายควบคุมมัลแวร์ได้ถูกหยุดไปกว่า 2 เดือน ซึ่งแม้เจ้าหน้าที่ทางกฏหมายจะยังไม่สามารถปิดคดีได้ แต่ Bitdefender และหน่วยงานทางกฏหมายเล็งเห็นว่าควรจะออกเครื่องมือแก้ไขเพื่อช่วยเหลือเหยื่อให้ได้มากที่สุด จึงเป็นที่มาของเครื่องมือถอดรหัสในครั้งนี้ ดาวน์โหลดได้ที่ http://download.bitdefender.com/am/malware_removal/BDREvilDecryptor.exe

ที่มา : https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/

from:https://www.techtalkthai.com/bitdefender-launches-universal-decryptor-for-revil-sodinokibi/

BitDefender แจกฟรีตัวถอดรหัสแรนซัมแวร์ ‘Darkside’

ไม่รู้ว่าจะทันเวลาหรือไม่แต่อย่างน้อยสำหรับผู้ที่โดนโจมตีด้วยแรนซัมแวร์ตระกูล Darkside วันนี้ทีมงาน BitDefender ได้ปล่อยเครื่องมือช่วยถอดรหัสออกมาให้แล้ว

credit : BleepingComputer

แรนซัมแวร์ตระกูล Darkside เริ่มปฏิบัติการตั้งแต่เมื่อกลางปีก่อน โดยคนร้ายเบื้องหลังนั้นยังทำธุรกิจประเภท Ransomware-as-a-Service (RaaS) ซึ่งพฤติกรรมคือพยายามเข้าไปโจมตีระบบองค์กร และลอบขโมยข้อมูลมาขู่เหยื่อให้ยอมจ่ายเงิน มิเช่นนั้นจะเปิดเผยข้อมูลต่อสาธารณะ 

ล่าสุดทีมงาน BitDefender ได้ปล่อยเครื่องมือช่วยเหลือไว้ที่ https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/ โดยรองรับมัลแวร์ Darkside ในทุกเวอร์ชัน อย่างไรก็ดีถึงแม้ว่ามัลแวร์จะออกปฏิบัติการมาระยะใหญ่แล้วแต่ประโยชน์ของเครื่องมือแก้ไขก็ยังมีดังนี้

• หากบริษัทไหนยังเก็บไฟล์ที่ถูกเข้ารหัสไว้ก็กู้คืนได้
• คนร้ายต้องมาอัปเดตวิธีการเข้ารหัสใหม่
• ลดทอนชื่อเสียงของบริการ RaaS ซึ่งมีตัวอย่างว่ากลุ่มคนร้ายแรนซัมแวร์หลายตัวต้องยุติปฏิบัติการเมื่อมีเครื่องมือที่แก้ไขได้ออกมา

ที่มา : https://www.bleepingcomputer.com/news/security/darkside-ransomware-decryptor-recovers-victims-files-for-free/ และ https://www.zdnet.com/article/free-decrypter-released-for-victims-of-darkside-ransomware/

from:https://www.techtalkthai.com/bitdefender-released-a-darkside-ransomware-decryptor-tool/

แจกฟรีตัวถอดรหัสแรนซัมแวร์ตระกูล ThunderX

Tesorion บริษัทไซเบอร์ซิเคียวริตี้ได้ออกมาปล่อยตัวถอดรหัสสำหรับผู้ประสบภัยจากแรนซัมแวร์ตระกูล ThunderX หรือ .tx_locked

ThunderX เป็นแรนซัมแวร์ที่จะเข้ารหัสไฟล์ด้วยนามสกุล .tx_locked ทั้งนี้เป็นมัลแวร์กำเนิดใหม่ที่เริ่มแพร่ระบาดเมื่อสิงหาคมนี้เอง ดังนั้นโปรแกรมก็อาจจะเป็นประโยชน์กับเหยื่อได้บ้าง โดยผู้สนใจเพียงทำขั้นตอนดังนี้

• ดาวน์โหลดโปรแกรมที่ nomoreransom 
• อัปโหลดไฟล์ ransom note และไฟล์ที่ถูกเข้ารหัสเพื่อใช้ในการสร้างกุญแจ
• รับกุญแจมาแก้ไขไฟล์บนเครื่อง (ตามภาพประกอบด้านล่าง)

credit : BleepingComputer

ที่มา : https://www.bleepingcomputer.com/news/security/thunderx-ransomware-silenced-with-release-of-a-free-decryptor/

from:https://www.techtalkthai.com/free-thunderx-ransomware-decryptor-by-tesorion/

แจกฟรีตัวถอดรหัสแรนซัมแวร์ ThiefQuest

ThiefQuest หรือ EvilQuest เป็นแรนซัมแวร์ฝั่ง macOS ตัวหนึ่งที่มีการเคลื่อนไหวเมื่อไม่นานนี้ ล่าสุดผู้เชี่ยวชาญจาก SentinelOne ไว้หาทางสร้างเครื่องมือแก้ไขออกมาได้แล้ว

ThiefQuest เป็นแรนซัมแวร์ที่มีความฉกาจตัวหนึ่ง เนื่องจากมีฟังก์ชันหลายหลายทั้ง Keglogger, Reverse Shell, Backdoor และการขโมยเงินดิจิทัล รวมถึงเป้าหลักอย่างการเข้ารหัสไฟล์ โดยกระจายผ่านทางซอฟต์แวร์เถื่อนเป็นหลัก 

อย่างไรก็ตามมัลแวร์ยังไม่สมบูรณ์แบบนัก ทำให้ท้ายที่สุดแล้ว SentinelOne ได้วิเคราะห์การทำงานของ ThiefQuest พบว่ามีการใช้ Symmetric Encryption ด้วยอัลกิริทึม RC2 และมีการเก็บคีย์ไว้ในแต่ละไฟล์ที่ถูกเข้ารหัส ด้วยเหตุนี้เองจึงทำโปรแกรมถอดรหัสซึ่งสามารถดาวน์โหลดได้จากเว็บไซต์ที่นี่ รวมถึงบริษัทยังได้ทำวีดีโอสอนวิธีการใช้งานด้วย

ที่มา :  https://www.zdnet.com/article/free-decryptor-available-for-thiefquest-ransomware-victims/

from:https://www.techtalkthai.com/free-thieftquest-ransomware-decryptor/

แจกฟรีตัวถอดรหัส Paradise Ransomware

Emsisoft ได้แจกฟรีโปรแกรมถอดรหัส Ransomware ที่ชื่อ ‘Paradise’ ให้ได้ดาวน์โหลดกันครับ

credit : BleepingComputer

เป็นเวลาสักพักใหญ่แล้วที่ Paradise Ransomware ได้คุกคามเหยื่อจำนวนมาก โดยวันนี้ถือเป็นโชคดีที่ Emsisoft ได้ออกมาแจกโปรแกรมแก้ไขไว้ฟรีๆ ครับ อย่างไรก็ตามโปรแกรมนี้ยังไม่สามารถแก้ไขมัลแวร์ได้ทุกเวอร์ชัน โดยทำได้เฉพาะนามสกุลต่อท้ายตามรูปด้านบนครับ

credit : BleepingComputer

สำหรับวิธีการแคร็กหากุญแจเข้ารหัสผู้ใช้งานจะต้องใช้ 1 คู่ของไฟล์ที่ถูกเข้ารหัสและไฟล์ที่ปกติที่มีขนาดใหญ่กว่า 3KB เช่น ไฟล์รูปภาพที่เราดาวน์โหลดมาจากอินเทอร์เน็ต (ขั้นตอนตามภาพด้านบน) หลังจาก Bruteforcer ทำงานเสร็จแล้วก็จะเข้าสู่หน้า Decryptor ให้ใช้กุญแจที่ได้มาไปถอดรหัสต่อไป สามารถดาวน์โหลดโปรแกรมได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/paradise-ransomware-decryptor-gets-your-files-back-for-free/

from:https://www.techtalkthai.com/free-paradise-ransomware-decryptor-by-emsisoft/

ผู้เชี่ยวชาญแจกโปรแกรมถอดรหัส Nemty Ransomware

ผู้เชี่ยวชาญจาก Tesorion ได้อาสาทำเครื่องมือถอดรหัส Ramsomware ที่ชื่อ Nemty ออกมาปล่อยให้ฟรีครับ

credit : Bleepingcomputer

Nemty Ransomware ถูกพบเห็นเมื่อราวเดือนสิงหาคมที่ผ่านมาซึ่งเครื่องมือจาก Tesorion ปัจจุบันสามารถถอดรหัสได้ในเวอร์ชัน 1.4 และ 1.6 แล้ว ซึ่งเวอร์ชัน 1.5 กำลังตามออกมา ทั้งนี้ข้อจำกัดคือกู้คืนไฟล์ได้ตามนามสกุลด้านบนเท่านั้น แต่นักวิจัยสัญญาว่าจะขยายการรองรับให้มากขึ้นเรื่อยๆ

อย่างไรก็ตามผู้สนใจต้องติดต่อไปทางทีม Tesorion CSIRT เป็นรายกรณีไป เนื่องจากมีประเด็นว่าตอนที่นักวิจัยแฉเรื่องราวจุดอ่อนของมัลแวร์ คนร้ายก็เข้ามาอ่านและนำไปปรับปรุงด้วย แถมยังส่งสัญญาณเยาะเย้ยในเวอร์ชันใหม่ด้วยว่า ‘ขอบคุณนะที่เผยแพร่ในบทความ’ จึงทำให้นักวิจัยค่อนข้างระมัดระวังตัวมากกว่าเดิม เช่น การส่งไฟล์ไปกู้ที่เซิร์ฟเวอร์ของ Tesorion เพื่อไม่ให้เห็นกระบวนการหรือไม่ได้ปล่อยเครื่องมืออย่างกว้างขวางแต่ก็มีแผนที่จะนำไปลงในเว็บไซต์ NoMoreRansom ในอนาคต

ที่มา :  https://www.bleepingcomputer.com/news/security/nemty-ransomware-decryptor-released-recover-files-for-free/

from:https://www.techtalkthai.com/tesorion-releases-nemty-ransomware-decryptor-for-free/

แจกเครื่องมือถอดรหัส Ransomware ‘ECh0raix’

ECh0raix เป็น Ransomware ที่เคยมีข่าวว่าเข้าโจมตีอุปกรณ์ NAS จาก QNAP เมื่อราวเดือนมิถุนายนที่ผ่านมา แม้ว่าจะล่าช้าไปหน่อยแต่หากใครเพิ่งได้รับผลกระทบไม่นาน วันนี้มีผู้เชี่ยวชาญได้แจกเครื่องมือถอดรหัสมาให้ดาวน์โหลดกันครับ

credit : Bleepingcomputer

อาการของผู้ถูกโจมตีโดย ECh0raix คือไฟล์จะถูกเข้ารหัสและต่อท้ายไฟล์ด้วย .encrypted จากนั้นก็จะทิ้งโน๊ตเรียกค่าไถ่เอาไปตามปกติ ซึ่งในวันนี้มีผู้เชี่ยวชาญที่ใช้ชื่อว่า BloodDolly ได้ออกมาแจกเครื่องมือถอดรหัสเอาไว้ โดยกลไกทำได้โดยการ Brute-force หากุญแจเข้ารหัสเพื่อนำมาถอดรหัสนั่นเอง (รูปประกอบด้านบน)

อย่างไรก็ตามเงื่อนไขสำหรับเครื่องมือนี้คือยังไม่สามารถแก้ไข ECh0raix ที่ความยาว 173 อักขระได้ หรือกล่าวง่ายๆ ถ้าประมาณการณ์ตามช่วงเวลาคือช่วยได้เฉพาะคนติด Ransomware ตัวนี้ก่อนวันที่ 17 กรกฎาคมเท่านั้น (ยังไงก็ลองดูก่อน) ทั้งนี้ทาง Bleepingcomputer ได้แนะนำว่ากระบวนการจะเร็วขึ้นมากหากมีไฟล์ต้นฉบับก่อนและหลังถูกเข้ารหัสมาให้เทียบกัน แต่หากไม่มีก็ไม่เป็นไรก็อาจรอประมาณ 1-2 ชั่วโมงเท่านั้น ผู้สนใจสามารถดาวน์โหลดได้ที่ EChoraixDecoder.exe

ที่มา :  https://www.bleepingcomputer.com/ransomware/decryptor/ech0raix-ransomware-decryptor-restores-qnap-files-for-free/

from:https://www.techtalkthai.com/free-ech0raix-qnap-ransomware-decryptor/

Kaspersky ปล่อยตัวถอดรหัส Jaff Ransomware ให้โหลดใช้งานได้ฟรี

Fedor Sinitsyn นักวิเคราะห์ Malware อาวุโสแห่ง Kaspersky Labs ได้ค้นพบจุดอ่อนของ Jaff Ransomware ที่เข้ารหัสไฟล์เป็นนามสกุล .jaff, .wlu และ .sVn และนำมาพัฒนาเป็นตัวถอดรหัสสำหรับทุกสายพันธุ์ย่อยของ Jaff Ransomware ทั้งหมดได้แล้ว พร้อมเปิดให้โหลดใช้งานได้ฟรี โดยมีขั้นตอนดังต่อไปนี้ 

 

ขั้นตอนทั้งหมดนี้อ้างอิงจาก Kaspersky นะครับ ภาพทั้งหมดก็ Credit: Kaspersky เช่นกันครับ

 

1. ตรวจสอบให้แน่ใจว่าเป็น Jaff Ransomware จริงๆ โดยไฟล์ที่ถูกเข้ารหัสโดย Jaff Ransomware จะมีนามสกุล .jaff, .wlu หรือ .sVn ต่อท้ายชื่อและนามสกุลของไฟล์ต้นฉบับ
   
2. หยุดการทำงานของ Ransomware ออกไปก่อน โดยการกด Ctrl + Alt + Delete แล้วค้นหา Process ที่มีชื่อแบบสุ่ม ดังเช่น SKM_C224e9930.exe ดังในตัวอย่าง แล้วกด End Process ได้เลย
   
3. โหลด RakhniDecryptor จาก Kaspersky มา Extract และเรียกใช้งาน โดยตรวจสอบให้แน่ใจก่อนว่าเป็นรุ่น 1.21.2.1 ที่รองรับการถอดรหัส Jaff Ransomware ได้แล้วจากการคลิกที่ปุ่ม About ด้านบนซ้ายของหน้าจอ
   
4. กด Start Scan แล้วเลือกไฟล์ที่ถูกเข้ารหัสเอาไว้
   
5. จากนั้น RakhniDecryptor จะให้เลือกไฟล์ Ransom Note เพื่อนำไปวิเคราะห์
   
6. ถัดจากนั้น RakhniDecyrptor จะทำการค้นหาไฟล์ทั้งเครื่องเพื่อทำการถอดรหัสไฟล์ที่ถูกเข้ารหัสเอาไว้ทั้งหมด ซึ่งอาจกินเวลาอยู่บ้าง
   
7. รอจนเสร็จเรียบร้อย จะมีรายงานให้เราได้ดูผลการถอดรหัสทั้งหมด
   

เมื่อถอดรหัสไฟล์ทั้งหมดได้แล้ว ไฟล์ต้นฉบับที่เคยถูกเข้ารหัสเอาไว้ก็จะยังคงค้างอยู่ในระบบ ทาง Kaspersky จึงแนะนำว่าให้ทำการใช้ CryptoSearch เพื่อย้ายไฟล์ต้นฉบับที่ถูกเข้ารหัสทั้งหมดมาไว้ในโฟลเดอร์เดียวกัน เพื่อที่จะได้ลบหรือเก็บเอาไว้ได้แบบเป็นระเบียบครับ

สำหรับผู้ที่ใช้งานแล้วติดปัญหา สามารถศึกษาหรือสอบถามเพิ่มเติมได้ที่ https://www.bleepingcomputer.com/forums/t/646350/jaff-ransomware-help-support-topic-jaff-decryptor-readmehtml-jaff-svn/ เลยครับ

 

ที่มา: https://www.bleepingcomputer.com/news/security/decrypted-kaspersky-releases-decryptor-for-the-jaff-ransomware/

from:https://www.techtalkthai.com/kaspersky-releases-jaff-ransomware-decryptor-for-free/

Emsisoft แจกฟรี Decryptor สำหรับ Ransomware ตระกูล CryptON

Fabian Wosar CTO แห่ง Emsisoft ได้ออกมาเปิดเผยถึงตัวถอดรหัส Ransomware ตระกูล CrytpON ให้สามารถโหลดไปใช้งานกันได้ฟรีๆ สำหรับผู้ที่ถูก Ransomware โจมตีและเข้ารหัสไฟล์จนมีนามสกุลดังต่อไปนี้

• .id-_locked
• .id-_locked_by_krec
• .id-_locked_by_perfect
• .id-_x3m .id-_r9oj
• .id-_garryweber@protonmail.ch
• .id-_steaveiwalker@india.com_
• .id-_julia.crown@india.com_
• .id-_tom.cruz@india.com_
• .id-_CarlosBoltehero@india.com_
• .id-_maria.lopez1@india.com_

 

โดยผู้ที่ติด CryptON Ransomware จะพบกับหน้าจอตัวอย่างดังนี้

Credit: https://www.bleepingcomputer.com/news/security/emsisoft-releases-a-decryptor-for-the-crypton-ransomware/

CryptON นี้เริ่มแพร่ระบาดเมื่อปลายเดือนกุมภาพันธ์ที่ผ่านมา และเริ่มมีสายพันธุ์ที่หลากหลายดังนามสกุลจำนวนมากที่เกิดขึ้นมานั้น

ทั้งนี้ทาง Emsisoft ได้เปิดให้เราโหลด CryptON Decryptor ไปใช้งานกันได้ฟรีๆ ที่ https://decrypter.emsisoft.com/download/crypton ครับ

 

ที่มา: https://www.bleepingcomputer.com/news/security/emsisoft-releases-a-decryptor-for-the-crypton-ransomware/

from:https://www.techtalkthai.com/emsisoft-releases-free-crypton-ransomware-decryptor/