TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Emsisoft ผู้ให้บริการโซลูชัน Anti-malware ชื่อดังออก Decrypter สำหรับปลดรหัส Ransomware ตัวใหม่ ชื่อว่า Apocalypse ซึ่งหลังจากเข้ารหัสไฟล์ข้อมูลแล้วจะใช้นามสกุลเป็น .encrypted และบังคับให้เหยื่อส่งอีเมลไปยัง decryptionservice@mail.ru เพื่อขอรับคำแนะนำในการจ่ายค่าไถ่
หลังจาก Apocalypse ติดตั้งลงบนเครื่องแล้ว มันจะเก็บตัวเองไว้ที่ C:\Program Files (x86)\windowsupdate.exe และสร้างโปรแกรม Autorun ขึ้นมาเรียกว่า Windows Update Svc ซึ่งจะเริ่มทำงานทุกครั้งเมื่อผู้ใช้ล็อกอินเข้าสู่ Windows จากนั้นมัลแวร์จะเข้ารหัสไฟล์ข้อมูลทั้งหมดยกเว้นในโฟลเดอร์ Windows และไฟล์ที่มีนามสกุลเป็น .dat, .bat, .bin, .encrypted, .ini, .tmp, .lnk, .com, .msi, .sys, .dll, .exe โดยไฟล์ข้อมูลที่ถูกเข้ารหัสจะมีนามสกุลใหม่เป็น .encrypted
นอกจาก Apocalypse จะเข้ารหัสไฟล์ข้อมูลบนเครื่องแล้ว ยังทำการล็อกหน้าจอไม่ให้เหยื่อเข้าใช้คอมพิวเตอร์ได้อีกด้วย วิธีปลดรหัสไฟล์และกำจัดมัลแวร์ทำได้โดยรีบูทเครื่องใหม่เพื่อเข้า Safe Mode with Networking จากนั้นทำการ Disable มัลแวร์ไม่ให้เริ่มทำงานเมื่อเปิดเครื่อง โดยการรันโปรแกรม MSConfig แล้วไม่เลือก Windows Update Svc เสร็จแล้วให้ดาวน์โหลด Decryptor ของ Emsisoft ชื่อว่า decrypt_apocalypse.exe มาจัดการปลดรหัสไฟล์ข้อมูล
อ่านรายละเอียดและวิธีปลดรหัส Apocalypse Ransomware ได้ที่: http://www.bleepingcomputer.com/news/security/decryptor-for-the-apocalypse-ransomware-released-by-emsisoft/
