Thaiadmin

ไวรัส Ransomware (ไวรัสเรียกค่าไถ่) กำลังระบาด

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ ibluesba

  • *****
  • 1,039
  • 6
  • ถามจัง!!! ตรูจะเป็นได้ใงฟร๊ะ ถ้าไม่เคยทำมาก่อน
ไวรัส Ransomware (ไวรัสเรียกค่าไถ่) กำลังระบาด
« เมื่อ: 3 กุมภาพันธ์ 2015, 10:26:33 »
จากปัญหาไวรัส Ransomware กำลังระบาดในหน่วยงานต่างๆ

https://www.facebook.com/groups/thaiadmin/permalink/801273133242713/?comment_id=801371103232916&offset=0&total_comments=122&notif_t=group_comment_mention

จากผลสรุปของผมเเละพี่ๆน้องๆ ไอที หลายๆท่าน พบว่าไวรัสตัวนี้ มันป้องกันเเละลบง่ายมากๆๆ เเต่ไม่ยังไม่มีวิธีปล็ดล็อกเเก้ใขไฟล์หลังจากโดนไวรัสให้กับมาเป็นปกติได้ ซึ่งหน่วยงานที่โดนไวรัสตัวนี้เข้าไปจะเริ่มจากหน่วยงานที่มีการติดต่อ Email กับพวก Logistic เช่น DHL/Fedex / Shipping ต่างๆ เเละระบาดไปเเผนกอื่นๆ ต่อ ซึ่งจะเป็นเพราะว่า Antivirusที่เค้าใช้ไม่เเข็งเเรงพอ หรือขาดการUpdate ครับ
ตอนนี้จากที่สอบถามหลายๆหน่วยงานที่ยังไม่โดนหรือไวรัสตัวนี้ เเละไวรัสยังทำไรระบบไม่ได้เลย คอมพิวเตอร์เเค้าจะใช้
-Eset (nod32) V.4/5/6/7
-AVAST
-Avira
-Sophos

ส่วนคนที่ใช้ Norton /Mcafee / Kaspersky /Trend Micro ที่เป็น version เก่า ไม่รอดครับ

หากระบบของท่านอื่นๆ ใช้ Antivirus ตัวใหนที่โดนไวรัสตัวนี้ เเละท่านอื่นๆ นอกเหนือจากนี้ที่มีข้อมูลAntivirusที่ป้องกันไวรัสตัวนี้ได้ รบกวนช่วยเเจ้งเพิ่มเติมหน่อยครับ ท่านอื่นๆจะได้นำไปใช้เพื่อป้องกันคอมพิวเตอร์เค้าจากไวรัสตัวนี้ต่อไปครับ

Link Download ไวรัส เอามาทดสอบAntivirus ในระบบว่าเจ๋งพอไหม
Cradit:@Notez Sleepless'Nights

CTB-LOCK

http://upload.siamza.com/1742329

Invoid : Agent APL/AQF/AQH

http://upload.siamza.com/2419045


Excel Payment  :win32/trojandownloader.nemucod.KR trotjun

http://upload.siamza.com/2439001


PDF :win32/trojandownloader.nemucod.LP trotjun

http://upload.siamza.com/2441755


ZIP Document2 :win32/trojandownloader.nemucod.MA trotjun

http://upload.siamza.com/2442078

:win32/trojandownloader.nemucod.NN trojun

https://mega.nz/#!30t13CoZ!viJDpNtKY-IJu5iGtmvTFeVMSzo5YSaN-iyi-eR_DLY

ชื่อไรม่ะรุ๊เเต่น่าจะเเรงใช้ได้ 
https://mega.nz/#!K40CBAhS!KOBSn6NqmWEQ0syzDaMBp1OuxJNkKbcJiRlvAFvfczI
กับ

https://mega.nz/#!PoNBlYrI!mJDeg0nqvXiHQNDT77DdXeOcwENcW1jmS4_uqWDNGIg

invoid

https://mega.nz/#!G8FGSbLT!gUPx7GrChHBVTDdBcneDLFICuLgatiS5ZIakfnFpn2A

อะไรไม่รู้ไฟล์ .Doc lock

https://mega.nz/#!24dTkS6K!JkWuQmp2IeuPonTFrAxOFQ4m_EQe_TNfS60BngetPkI

Scan .DocM

https://mega.nz/#!3wclXDTZ!TJpxswYREPCbTNVSTnCFySAyu8gcPjGrdSyK0muSss0


 (6/7/16) SATANA 

https://mega.nz/#!q5ViAZJQ!mIBA6cRZJu1B9iExwvEaAHILYU_WspCRWdTvUE6pGQ4

 (7/7/16) อันนี้ น่าจะเป็น Zepto อวตานใหม่ของ locky

https://mega.nz/#!3lMUWQIZ!M-PL2dk6OYtHEUyktdI1tUUlVRbsav9S6ZAq8F2k6GM


สำหรับคนที่ยังไม่รู้ว่า Crypto-CTB คืออะไรเเละก็มีการใช้ Internet ทุกวันเเต่คอมพิวเตอร์มี Antivirus ที่อ่อนยวบ เเนะนำให้เข้าไปอ่านดูได้ครับ

**CTB-Locker 2.0-3.0 / CryptoLocker คืออะไร**
https://www.thaicert.or.th/papers/technical/2013/pa2013te011.html
« แก้ไขครั้งสุดท้าย: 20 ตุลาคม 2016, 13:07:07 โดย ibluesba »

ออฟไลน์ ibluesba

  • *****
  • 1,039
  • 6
  • ถามจัง!!! ตรูจะเป็นได้ใงฟร๊ะ ถ้าไม่เคยทำมาก่อน
Re: ไวรัส Crypto-CTB /CryptoLocker กำลังระบาด
« ตอบกลับ #1 เมื่อ: 3 กุมภาพันธ์ 2015, 10:50:11 »
ล่าสุดกำลัง ทะยอย ลอง Decrypt tool ที่มีอยู่ทุกตัวตอนนี้ สรุปยังไม่มีตัวใหน ถอดรหัสของเจ้า Crypto-CTB ตัวใหม่นี้ได้

**Nod32 จะมองเป็น Win32/Filecoder.DA.trojan**  เเละใน LAB nod ยังไม่มี Cleaner .DA ครับ
« แก้ไขครั้งสุดท้าย: 3 กุมภาพันธ์ 2015, 13:28:27 โดย wason555 »

ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส Crypto-CTB /CryptoLocker กำลังระบาด
« ตอบกลับ #2 เมื่อ: 3 กุมภาพันธ์ 2015, 13:29:21 »
รบกวนจัดลิงค์เต็มๆ หน่อยครับ แบบไม่ต้องย่อ เพราะลองกดลิงค์ไปแล้ว มี 2 ลิงค์ที่เข้าไม่ได้ครับ ทั้งของ facebook และ thaicert ครับ

 :D
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ ibluesba

  • *****
  • 1,039
  • 6
  • ถามจัง!!! ตรูจะเป็นได้ใงฟร๊ะ ถ้าไม่เคยทำมาก่อน
Re: ไวรัส Crypto-CTB /CryptoLocker กำลังระบาด
« ตอบกลับ #3 เมื่อ: 3 กุมภาพันธ์ 2015, 13:35:21 »
รบกวนจัดลิงค์เต็มๆ หน่อยครับ แบบไม่ต้องย่อ เพราะลองกดลิงค์ไปแล้ว มี 2 ลิงค์ที่เข้าไม่ได้ครับ ทั้งของ facebook และ thaicert ครับ

 :D


เเก้ใข LINK ให้เเล้วครับพี่   (เเต่ว่าผมคลุมเเล้วกด Hyperlink ทำไม่มาทำให้ Link เสียหงะ )   ???
« แก้ไขครั้งสุดท้าย: 3 กุมภาพันธ์ 2015, 15:07:29 โดย wason555 »

ออฟไลน์ joyhitech

  • *
  • 195
  • 1
    • สอนเทรดforex online
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #4 เมื่อ: 3 กุมภาพันธ์ 2015, 13:42:58 »
น่ากลัวมากครับ   ขออวยพรให้โลกใบนี้ หาวิธีแก้ไขไวรัสตัวนี้ได้โดยเร็วครับ

ออฟไลน์ sysadm

  • *****
  • 2,557
  • 12
  • เพศ: ชาย
  • ร่วมด้วยช่วยกันปลดแอกการเป็นเมืองขึ้นทาง software
    • www.failtocar.com
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #5 เมื่อ: 3 กุมภาพันธ์ 2015, 13:53:03 »
น่ากลัวมากครับ   ขออวยพรให้โลกใบนี้ หาวิธีแก้ไขไวรัสตัวนี้ได้โดยเร็วครับ

แก้เป็นได้ยากมาก เพราะมันเล่นเอา file เราไป Hash  ซึ่งบางอัลกอลิทึมบางอันที่ใช้เป็น one way หากไม่มี private key ถอดไม่ได้แน่นอน

ป้องกันไว้ก่อนดีกว่าครับ
เราลืมกันไปหรือไม่ ว่าเราเรียนเพื่ออะไร ?
"วุฒิ หรือ ความรู้"

อย่าให้ด้านมืดครอบงำจิตใจ

ออฟไลน์ wichate

  • *
  • 595
  • 6
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #6 เมื่อ: 3 กุมภาพันธ์ 2015, 13:58:24 »
Antivirus ส่วนใหญ่จับได้ครับ ตามนี้ https://www.virustotal.com/en/file/c0a063feb70a069a1ece96f407b4f89030bb9ff93fb619eab6974f8eda2e84c9/analysis/1422939841/

ปล.ที่สำคัญคือ clam-av จับไม่ได้ ซึ่งปกติมันก็จับอะไรไม่ค่อยได้อยู่แล้ว ผมจึงมั่นใจว่า antivirus บน Endian และ Linux Firewall ตัวอื่นๆ ที่ใช้ clam-av
มันป้องกันอะไรเราไม่ได้เลย ลงไว้ให้หนักเครื่องเสียปล่าวๆ

ออฟไลน์ ibluesba

  • *****
  • 1,039
  • 6
  • ถามจัง!!! ตรูจะเป็นได้ใงฟร๊ะ ถ้าไม่เคยทำมาก่อน
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #7 เมื่อ: 3 กุมภาพันธ์ 2015, 14:55:21 »
Antivirus ส่วนใหญ่จับได้ครับ ตามนี้ https://www.virustotal.com/en/file/c0a063feb70a069a1ece96f407b4f89030bb9ff93fb619eab6974f8eda2e84c9/analysis/1422939841/

ปล.ที่สำคัญคือ clam-av จับไม่ได้ ซึ่งปกติมันก็จับอะไรไม่ค่อยได้อยู่แล้ว ผมจึงมั่นใจว่า antivirus บน Endian และ Linux Firewall ตัวอื่นๆ ที่ใช้ clam-av
มันป้องกันอะไรเราไม่ได้เลย ลงไว้ให้หนักเครื่องเสียปล่าวๆ

บน Juniper  กับ Cyberroam  ผมนี่ปิดไปเลยนร๊ะครับ  มันกิน Processs  เปิดไปผมก้อเห้นUser มันโหลดไรๆได้โครมๆ     เลยไปเน้นป้องกันที่ Client เอาอะครับ ตอนนี้สรุประบบใช้

ERA V.4.0.138   /ESET V.4.2.64.12  ครับ  

ยิ่งบน Linux firewall ผมยิ่งไม่มันใจใหญ่ว่ามันจะป้องกันไรๆ ได้หรือไม่  ดีไม่ดีมันจะเป็นไวรัสซะเอง  หุๆๆๆๆ

ออฟไลน์ ibluesba

  • *****
  • 1,039
  • 6
  • ถามจัง!!! ตรูจะเป็นได้ใงฟร๊ะ ถ้าไม่เคยทำมาก่อน
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #8 เมื่อ: 3 กุมภาพันธ์ 2015, 16:12:22 »
แก้เป็นได้ยากมาก เพราะมันเล่นเอา file เราไป Hash  ซึ่งบางอัลกอลิทึมบางอันที่ใช้เป็น one way หากไม่มี private key ถอดไม่ได้แน่นอน

ป้องกันไว้ก่อนดีกว่าครับ


เพิ่มเติมจากท่านที่โดนไวรัสนี้เข้าไป


เเม้ทั้ง server ท่านจะมีAntivirus ระดับเทพอยู่ ป้องกันทุกอย่างได้  เเต่หากมีการเเชร์ไฟล์ เเชร์ Data map drive ไรๆ ต่างๆออกไปไม่ว่าจะเป้น Linux หรือ Windows  เเล้วมีเครื่องใดเครื่องนุงใน ระบบที่ไม่มีantivirus ดันไปโดนไวรัสตัวนี้เข้า มันก้อจะไปทำการ encrypt ไฟล์ต่างๆใน server ที่มันมี Permission R/W อยู่  

หาก File server ใครโดนไปเเล้วไม่มี shadows copy  ผมบอกเลยครับ  ลำบากกกกกกกก  ความบรรลัยมาเยื่อนทันที หรือเเม้ต่อให้มี Shadows Copy จะทำการ Recovery ไฟล์ เป็น ร้อยๆกิ็ก  มันคงไม่ใช่เ้รื่องง่ายเเน่ๆครับ   ตอนนี้ที่เเนะนำได้ ก้อคือควรรีบตรวจสอบคอมทุกเครื่องในระบบตอนนี้ด่วนเลยครับ โดนเข้าไปละอ่วมอรทัย เเน่ๆ  


T T  
« แก้ไขครั้งสุดท้าย: 3 กุมภาพันธ์ 2015, 16:19:39 โดย ibluesba »

ออฟไลน์ ~::=::ENTER::=::~

  • *****
  • 788
  • 7
  • เพศ: ชาย
  • :=)(แอดมึน)(= : warnning every time.|||||
    • ข่าวไอที
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #9 เมื่อ: 3 กุมภาพันธ์ 2015, 16:16:49 »
เป็นไวรัสที่ผมกลัวที่สุดตั้งแต่เคยรู้จักมาเลย
เดินทางกันต่อไป

Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #10 เมื่อ: 3 กุมภาพันธ์ 2015, 16:49:55 »
เป็นอะไรที่ สยดสยองมากๆๆๆ ติดไปแล้ว ทั้งเน่า ทั้งเหม็น   >:( >:(
ขออย่าได้เจอเลย

ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #11 เมื่อ: 4 กุมภาพันธ์ 2015, 10:00:03 »
Comodo Firewall 8 ก็พอบล็อคได้อยู่ แต่จะต้องเปิดการป้องกันแบบ HIPs มาด้วย อาจต้องเปิดตามรูปเกือบทั้งหมด

หลังจากที่ได้ลองบล็อคดูแล้วผลก็คือมันมีการแอบเขียนค่าต่างๆ ในรีจิสตรี้ แต่มันจะโดน Comodo Firewall ขัดขวางก่อนครับ

พอหลังจากลองตั้งค่าบล็อคแล terminate หมดแล้ว ลองรันอีกครั้งนึง พบว่ามันสามารถรันเบื้องหลังได้ แต่ก็สามารถ Endtask ออกไปได้ โดยที่เมื่อรีสตาร์ตเครื่องแล้ว มันก็จะไม่มีการเปิดตัวมันทำงานขึ้นมา (เพราะมันโดน Comodo Firewall บล็อคไม่ให้แอบเขียนค่าใน run ของ windows registry ละ)
แต่ยังไม่ได้ลองว่า ถ้าต่ออินเตอร์เน็ตด้วยมันจะมีขึ้นเตือนบล็อคอย่างอื่นอีกด้วยไหม เนื่องจากตัว vm ที่ทดสอบนั้นออกเน็ตไม่ได้ครับ

 :D
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #12 เมื่อ: 4 กุมภาพันธ์ 2015, 10:49:55 »
ลองทดสอบกับ Avast Free 2015 10.0.2208 ตัวล่าสุด ต้องอัพเดต Definition Virus ให้เป็นของเดือน 02/2015 ก่อน มันถึงจะตรวจพบและกำจัดไฟล์ exe ที่อยู่ใน zip ไฟล์ได้ครับ

หากใครที่ยังไม่ได้อัพเดตเวอร์ชั่น และ ยังไม่ได้อัพเดต Definition Virus ของ Avast แนะนำให้รีบอัพเดตก่อนนะครับ หากใครยังไม่ติดแนะนำให้เพิ่มการตั้งค่าให้ดีที่สุดเท่าที่จะทำได้นะครับ

 :D
« แก้ไขครั้งสุดท้าย: 4 กุมภาพันธ์ 2015, 11:15:19 โดย wason555 »
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #13 เมื่อ: 4 กุมภาพันธ์ 2015, 15:50:52 »
Symantec Endpoint Protection 12.1.5 ที่อัพเดตแล้วล่าสุด พร้อมพวก Definition Virus เป็นตัวล่าสุดแล้ว สามารถตรวจพบได้ทันทีที่ extract จาก zip ลงเครื่อง
และแม้แต่การเรียกไฟล์ exe ที่อยู่ในไฟล์ zip ก็ถูกลบออกเช่นกัน
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #14 เมื่อ: 4 กุมภาพันธ์ 2015, 16:32:48 »
ผมลืมบอกไปครับ

การทดสอบทั้งหมดที่ผมเป็นคนทำนั้น ได้ทดสอบในสภาพที่ Guest VM ไม่ได้ติดต่อกับระบบเครือข่ายใดๆ และ ไม่สามารถออกอินเตอร์เน็ตได้นะครับ เนื่องจากกังวลว่าอาจส่งผลกระทบกับระบบ Server ได้ เลยทดสอบที่สภาพแวดล้อม Guest VM แบบเดี่ยวๆ ตัดขาดจากภายนอกเลยครับ

และที่สำคัญคือแม้ตัว Server File Share จะติดตั้งแอนตี้ไวรัสดีที่สุดไว้ แต่ถ้าการติดโทรจันเข้ารหัสติดที่เครื่องลูก และมีการเรียกใช้งานไดร์ฟบน Server นั้น จะไม่สามารถป้องกันได้ครับ เพราะตัวโทรจันอยู่ที่เครื่องลูก ตัว Server ไม่ได้ติด

วิธีการป้องกัน อาจต้องใช้วิธีการจำกัดการใช้งานประเภทไฟล์ต่างๆ เท่าที่จำเป็นและห้ามมิให้มีการ เปลี่ยนนามสกุล หรือมีการเขียนทับใดๆ นอกเหนือจากการเรียกใช้งานไฟล์โดยตรงแล้ว Save ทับลงไป หรืออาจเป็นวิธีอื่นๆ เช่น กำหนดให้ไดร์ฟ สำคัญๆ ทำได้แค่ Read Only อย่างเดียว ถ้าจะบันทึกไฟล์อาจต้องใช้วิธี Copy ไฟล์ลงไปทับเท่านั้นครับ
« แก้ไขครั้งสุดท้าย: 5 กุมภาพันธ์ 2015, 13:35:30 โดย wason555 »
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #15 เมื่อ: 4 กุมภาพันธ์ 2015, 23:27:41 »
https://www.facebook.com/photo.php?fbid=795788543792284&set=a.369091929795283.78506.100000834371037&type=1&theater

มีวิธีแก้ไขไหมครับ ไฟล์พวกนี้เข้าไปอยุ่ใน folder ทั้งหมดในคอมเลยครับ

ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #16 เมื่อ: 5 กุมภาพันธ์ 2015, 09:17:37 »
https://www.facebook.com/photo.php?fbid=795788543792284&set=a.369091929795283.78506.100000834371037&type=1&theater

มีวิธีแก้ไขไหมครับ ไฟล์พวกนี้เข้าไปอยุ่ใน folder ทั้งหมดในคอมเลยครับ

ลองดูครับ ตอนนี้คงทำได้แค่นี้ครับ http://pantip.com/topic/33187036

เพิ่มอีกลิงค์นึง 24/04/2015 http://pantip.com/topic/33553404
« แก้ไขครั้งสุดท้าย: 24 เมษายน 2015, 11:30:22 โดย wason555 »
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #17 เมื่อ: 5 กุมภาพันธ์ 2015, 13:51:30 »
ทดสอบด้วย AVG Free 2015.5645a8758 และอัพเดจซิกเนเจอร์ไวรัสของโปรแกรมเป็นตัวล่าสุดแล้วสามารถป้องกันได้ แต่ถ้ายังไม่ได้อัพเดตใดๆ มันจะตรวจไม่พบครับ

ที่สำคัญคือ ระวังว่า AVG ตัวนี้ หากมันตรวจเจอ 7zip 9.20 มันดันมองเป็นภัยอันตรายด้วย เท่าที่ลองดูแล้ว ปัญหาจะเกิดจากการที่เราใช้ 7zip ในการเปิดไฟล์ทดสอบนั้นๆ แล้วตัวโปรแกรม 7zip มันก็เลยจำพวกไฟล์ zip หรือโฟลเดอร์นั้นๆ ได้ ตัว AVG มันก็เลยคิดว่าเป็นไวรัสหรือโจรจันเข้ารหัสไปครับ

สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ Vivid

  • **
  • 370
  • 2
  • เพศ: ชาย
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #18 เมื่อ: 6 กุมภาพันธ์ 2015, 11:30:39 »
Anti Virus ตัวเก่าผม ยังพอเอาอยู่
แต่ยังไม่ได้ลองกับ Enpoint Security 10

ปล.เพิ่มเติม Fortigate Firewall ก็น่าจะรู้จัก
"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์

ออฟไลน์ PICKKY

  • *****
  • 58
  • 0
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #19 เมื่อ: 6 กุมภาพันธ์ 2015, 15:08:10 »
ของผม USER ดันไปเปิดเมล์ที่ มี เจ้าตัวนี้ส่ง มา Driver กลาง ที่ SERVER โดนไป 1 Drive และ เครื่อง ของ USER ไฟล์ งานต่างโดนหมด พอดี เครื่อง  USER ติด Symatect Enpoint 12.1 ไว้ แต่ว่าไม่ได้  UPDATE ล่าสุด เลย โดนเลย  :'(

ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #20 เมื่อ: 6 กุมภาพันธ์ 2015, 15:44:08 »
ทดสอบดูด้วย McAfee Enterprise 8.8 Patch 4 แม้จะอัพเดต Engine Scan Virus จาก 5600 เป็น 5700 ก็ไม่สามารถป้องกันได้ แต่พอลองอัพเดตซิกเนเจอร์ไวรัสมาเป็น xDAT 7703 แล้ว มันจะตรวจพบได้ทันทีครับ แม้ว่าจะใช้เพียงแค่ค่า Default ก็ตาม
ไม่ว่าจะเป็นการ Extract ก็จะโดนลบออกไปด้วย (บางครั้งมีลักษณะดีเลย์รอนิดนึง จากนั้นถึงจะมีคำเตือนและการบล็อคจาก McAfee ขึ้นมา)
การเรียกไฟล์ exe จากใน zip ก็โดนบล็อคด้วยครับ

McAfee ตัวนี้เป็นคนละโปรแกรมกับของ McAfee Live Safety หรือ Internet Security นะครับ
แค่หน้าตาโปรแกรมก็เป็นคนละโปรแกรมแล้วครับ
« แก้ไขครั้งสุดท้าย: 24 เมษายน 2015, 11:36:29 โดย wason555 »
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ wichate

  • *
  • 595
  • 6
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #21 เมื่อ: 6 กุมภาพันธ์ 2015, 16:28:07 »
ตัวนี้มันเก่าแล้วครับ ผมเห็นใน face thaiadmin มีตัวใหม่กว่านี้  McAfee Fortigate AVG Avira ESET Symantec จับไม่เจอทั้งนั้น
ผมอยากให้ลองกับตัวใหม่นี้ด้วยครับ แต่ผมไม่รู้ว่าไฟล์ไวรัส โหลดจากที่ไหน

ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #22 เมื่อ: 6 กุมภาพันธ์ 2015, 16:56:32 »
ตัวนี้มันเก่าแล้วครับ ผมเห็นใน face thaiadmin มีตัวใหม่กว่านี้  McAfee Fortigate AVG Avira ESET Symantec จับไม่เจอทั้งนั้น
ผมอยากให้ลองกับตัวใหม่นี้ด้วยครับ แต่ผมไม่รู้ว่าไฟล์ไวรัส โหลดจากที่ไหน

ของ McAfee หาได้ใหม่สุดเท่านี้ครับ เพราะยังไม่เห็น McAfee Enterprise 8.9 หรือ 8.8 Patch 5 ครับ
แล้วตัวนี้ก็เป็นตัว Enterprise ที่ใช้ในองค์กร ไม่ได้เป็นตัวแบบ Internet Security ครับ เลยหามาทดสอบไม่ได้ครับ :P
ส่วน Symantec ก็จัดให้แล้วแต่เป็น Symantec Endpoint 12.1.5 ครับ ที่พอจะหามาได้นะ

 :P หรือถ้ามีไฟล์ของจริงก็ลองอัพโหลดฝากไว้ที่ไหนดูก็ได้ครับ แล้วเอามาแต่เฉพาะลิงค์ (จะได้ปลอดภัย) จะได้หาทางทดสอบให้หลากหลายหน่อยนะครับ  ^-^
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ PICKKY

  • *****
  • 58
  • 0
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #23 เมื่อ: 6 กุมภาพันธ์ 2015, 17:09:34 »
ไฟล์ ผมมีเก็บอยู่ ครับ ใส่ password เอาไปกันไม่ให้ Kaspersy ลบทิ้ง ถ้าอยากเอาไปทดสอบให้ได้ครับ ผม
s.tawich@gmail.com ครับ ต้องทดสอบระวังหน่อยนะครับ ผม  (ได้จาก เมล์ของ User เมื่อวันที่ 04/02/2015 )

ออฟไลน์ wichate

  • *
  • 595
  • 6
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #24 เมื่อ: 6 กุมภาพันธ์ 2015, 17:20:48 »
^
เมื่อวานมีคน up ขึ้น virustotal มี antivirus จับได้แค่ 16 ตัว
พอมาวันนี้เข้าไปดูใหม่ จัดได้ 26 ตัว แล้วครับ ถือว่า update กันไวมากๆ

https://www.virustotal.com/en/file/6c4572cd447f7a0ad2c3bb3ec79bc792a0e18d8292bc51f0cc115e925cc4724f/analysis/

ปล.ผมดูจากชื่อ virus ที่จับเจอ (Trojan.CTBLocker.Gen.1) แสดงว่า ALYac Ad-Aware BitDefender Emsisoft F-Secure  MicroWorld-eScan ใช้ Database เดียวกัน
« แก้ไขครั้งสุดท้าย: 6 กุมภาพันธ์ 2015, 17:51:05 โดย wichate »

ออฟไลน์ Vivid

  • **
  • 370
  • 2
  • เพศ: ชาย
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #25 เมื่อ: 6 กุมภาพันธ์ 2015, 17:29:31 »
ตัวนี้มันเก่าแล้วครับ ผมเห็นใน face thaiadmin มีตัวใหม่กว่านี้  McAfee Fortigate AVG Avira ESET Symantec จับไม่เจอทั้งนั้น
ผมอยากให้ลองกับตัวใหม่นี้ด้วยครับ แต่ผมไม่รู้ว่าไฟล์ไวรัส โหลดจากที่ไหน

ที่บอกว่ามันเก่าแล้วหมายถึง

http://upload.siamza.com/1742329  ตัวนี้ใช่มั้ยครับ

ถ้างั้นรบกวนขอ Link ดาวน์โหลดตัวล่าสุด สำหรับทดสอบ KasperSky Endpoint Security 10 ของผมด้วยครับ
"ผมอยู่ในโลกนี้มานานพอสมควร และอยู่อย่างสังเกต ร่ำเรียน ศึกษา วิเคราะห์ มันมีสิ่งแปลกใหม่มาให้เราเรียนรู้ไม่มีวันจบสิ้น เพียงแต่เราจะรับเอามันไว้หรือไม่
อย่าปล่อยให้อะไรมันผ่านเราไปเฉย ๆ แม้แต่ความขมขื่นเจ็บปวดทุกข์ยากที่สุด ทุกสิ่งทุกอย่างเป็นครูสอนเราทั้งนั้น" รพินทร์ ไพรวัลย์

ออฟไลน์ PICKKY

  • *****
  • 58
  • 0
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #26 เมื่อ: 6 กุมภาพันธ์ 2015, 17:32:13 »
อันนี้เป็นภาพที่ผมโดนไปเมื่อ 04/02/2014

ออฟไลน์ PICKKY

  • *****
  • 58
  • 0
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #27 เมื่อ: 6 กุมภาพันธ์ 2015, 17:33:27 »
อันนี้เป็นภาพที่ผมโดนไปเมื่อ 04/02/2014

โทษที่ ครับ 04/02/2015 ครับ

ออฟไลน์ wichate

  • *
  • 595
  • 6
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #28 เมื่อ: 6 กุมภาพันธ์ 2015, 17:53:13 »
ที่บอกว่ามันเก่าแล้วหมายถึง

http://upload.siamza.com/1742329  ตัวนี้ใช่มั้ยครับ

ถ้างั้นรบกวนขอ Link ดาวน์โหลดตัวล่าสุด สำหรับทดสอบ KasperSky Endpoint Security 10 ของผมด้วยครับ

ใช่ครับ virus ตัวนี้เก่าแล้วแต่ผมเองก็ไม่มีตัวใหม่เสียด้วยซิ เดี๋ยวลองหาให้ครับ

ออฟไลน์ ibluesba

  • *****
  • 1,039
  • 6
  • ถามจัง!!! ตรูจะเป็นได้ใงฟร๊ะ ถ้าไม่เคยทำมาก่อน
Re: ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker กำลังระบาด
« ตอบกลับ #29 เมื่อ: 10 กุมภาพันธ์ 2015, 16:20:06 »
ใช่ครับ virus ตัวนี้เก่าแล้วแต่ผมเองก็ไม่มีตัวใหม่เสียด้วยซิ เดี๋ยวลองหาให้ครับ

"เก่าเเล้ว"    เเต่หากโดนไปเเล้วก้อเงิบเหมือนกันเน้ออออออออออออออออ   


ป้องกันมันไม่ยาก เเต่โดนเข้าไปละมันเเก้ยากจุงเบยยยยยยย   ^ ^