**เรื่องนี้เกิดขึ้นตั้งแต่ 202-2-24 แล้วครับ สรุปง่ายๆ คือ Restore VM ครับ ยังพอเอาตัวรอดไปได้
เรื่องเกิดจากที่ Office ผมจะเปิดเครื่องตัวเองและดึงแชร์ทุกตัวมาที่เครื่อง และผมมี Antivirus ลงไว้แล้ว คือ Avira Free Antivirus ลงไม้ไม่ได้คิดมาก เห้นฟรี ก็เลยลงไว้
เช้าวันที่ 24 กพ 2021 ผมอยุ่ที่ห้องแล้วรีโมตเข้ามทีีคอมใน Office ตามปกติ เช็คระบบ
ไปเจอหน้าต่างเตือนว่าเจอไวรัส ของ Avira แต่ที่แปลกคือ ไวรัสมันแตกตัวไปตามโฟลเดอร์ต่างๆ
โดนจุดเริ่มต้น น่าจะมาจาก Share Drive 10.213
แล้วมันลามไปทั่ว Network
พอลองเปิด VM ของตัวการ 10.213 ก็ชัดเลยว่าโดย Ransomware เปิดมาเจอข้อความเรียกค่าไถ่เลยทีเดียว
และทุกไฟลืใน VM ตัวนี้ กลายเป้นไฟลืนามสกุล globeimposter-alpha865qqz ทั้งหมด
.jpg)
หลังจากตรวจเช็คทุกๆ Server แล้ว ปรากฎว่าโดนไป 6 VM (จากทั้งหมด 20 VM) + 1 PC
ยังดีที่มีไฟล์ Veeam Backup เก็บไว้ และ VM ที่โดนเป็นตัวที่ไม่กระทบระบบเท่าไหร่ เลย Resore กลับมาได้ทันในช่วงเช้าวันนั้น
ข้่อสังเกตคือ VM ที่โดนจะเป็นตัวที่ไม่ได้ลง Antivirus เลย ก้คือ มีแค่ Windows Defender
ส่วนตัว PC เป็น Windows 10 มีแค่ Windows Defender เหมือนกัน
แต่ VM ที่เป็น Veeam Backp ไม่โดน ทั้งที่ ไม่มี Antivirus ลงไว้เลย แต่ที่น่าคิดคือ ไม่ีได้ JOIN Domain ไว้ด้วย (มีคนเคยบอกว่า Veeam Backup ไม่ต้อง JOIN จะได้ไม่โดนไวรัส ไม่รู้เกี่ยวกันหรือเปล่า)
สรุปการแก้ไข หลังโดน Ransomeware
- ลง Avira Free Antivirus แล้วสแกนไฟล์ทั้งหมด (ใน Server ลงได้แค่ Free Trial )
- ลบ VM ทั้ง 6 ตัว ที่โดน Ransomware ออก แล้ว Restore Veeam Backup ขึ้นมา
- PC ที่โดน Ransomware จัดการล้างเครื่อง ลง Windows ใหม่ (เป็นเครื่องเปล่า ยังไม่มีข้อมูล)
** PC Office ของพนักงานจะปิดหลังเลิกงานทุกเครื่อง แต่เึครื่องนี้ตั้งไว้แชร์ปริ้นเตอร์ เลยน่าจะลืมปิดเครื่อง
- PC มีลองลง Synology NAS ก็รดอปลอดภัย ไม่โดนไวรัส
- ให้ฝั่ง Network ดูเรื่อง Firewall Security เพราะใช้ Fortigate อยู่แล้ว
- Shared Drive ที่โดน Ransomware ลบทิ้งไปเลย แล้วให้ใช้ Sharepoint + One Drive
- เพิ่ม Antivirus ใน Veeam Backup (ส่วน PC ไม่ผ่านการรอนุมัติ)
หลังจบเรื่องนี้ ผมอยากลองของด้วยการติดต่อเพื่อขอจ่ายเงินดูครับ ตีเนียนไปว่าอยากจ่าย
พี่แกบอกให้ส่ง person ID ที่เป้นโค้ดเยอะๆ ตามภาพและไฟล์ที่าถูกเข้ารหัสไป 1 ไฟล์ ผมก็ส่งไฟล์รูปไปให้
พี่แกตอบกลับมาด้วย BTC ที่ต้องจ่ายครับ
Price for one decryptor 0.055 bitcoin
Price for decrypt all your network = 0.08 bitcoin
แน่นอนว่า ผมไม่จ่ายครับ 55
--รูปผม sensor ไว้นะครับ จริงๆรูปแสดงได้ปกติ--
เพิ่มเติม
ผมลองเอาไฟล์ไวรัสและไฟล์ที่ถูกเข้ารหัสไปเช็คครับ ผลคือ ยังไม่มีตัว Decrypt ชื่อมันคือ Globeimposter-<greek>865qqz เวอร์ชั้น 2.0 (เวอร์ชั่น 1.0 มีตัว Decrypt ไฟล์แจก)
รายละเอียด (มีคนแก้ไฟล์แล้ว แต่ยังไม่มีโปรแกรมแก้ไข)
http://id-ransomware.malwarehunterteam.com/identify.php?case=c0f623dbb409a1232acbe4b0e959334cad168289
