ค้นหาและย้ายไฟล์ที่ถูกเข้ารหัสไปไว้ในที่เดียวกันด้วย CryptoSearch

Michael Gillespie นักวิจัยด้านความมั่นคงปลอดภัย พัฒนาแอพพลิเคชันบน Windows สำหรับช่วยผู้ที่ตกเป็นเหยื่อของ Ransomware ในการค้นหาไฟล์ที่ถูกเข้ารหัสข้อมูล และเลือกได้ว่าจะคัดลอกหรือย้ายไฟล์เหล่านั้นไปเก็บรวบรวมไปที่ตำแหน่งใหม่ ระหว่างรอให้มีคนออก Decrypter สำหรับปลดล็อกไฟล์ในอนาคต

แอพพลิเคชันดังกล่าวมีชื่อว่า CryptoSearch ซึ่งทำงานร่วมกับ ID Ransomware สำหรับช่วยค้นหาไฟล์ที่ถูกเข้ารหัสข้อมูลจาก Ransowmare ประเภทต่างๆ ซึ่งปกติแล้ว Ransomware ไม่ได้เข้ารหัสไฟล์เพียงแค่โฟลเดอร์ใดโฟลเดอร์หนึ่ง แต่จะกระจายการเข้ารหัสข้อมูลไปทั่วทั้งอุปกรณ์คอมพิวเตอร์ จึงเป็นไปได้ยากที่เหยื่อจะระบุตำแหน่งไฟล์ที่ถูกเข้ารหัสได้ทั้งหมด

CryptoSearch ถูกออกแบบมาช่วยค้นหาและระบุตำแหน่งของไฟล์ข้อมูลที่ถูกเข้ารหัสทั้งหมด และย้ายไฟล์ไปยังตำแหน่งใหม่ เช่น ไดรฟ์สำรอง เพื่อให้ผู้ดูแลระบบสามารถจัดการคลีน Ransomware และไฟล์ที่ถูกเข้ารหัส หรือล้างข้อมูลทั้งหมดในฮาร์ดดิสก์และติดตั้งระบบปฏิบัติการใหม่ โดยมั่นใจว่าข้อมูลที่ถูกเข้ารหัสไม่สูญหายไปไหน และสามารถรอการปลดรหัสไฟล์เมื่อมี Decrypter ออกมาให้ใช้งานได้ในอนาคต

Gillespie ระบุว่า CryptoSearch จะทำการเรียกใช้บริการของ ID Ransomware เพื่อดึงข้อมูลล่าสุดเกี่ยวกับ Ransowmare เช่น รูปแบบของชื่อไฟล์ รูปแบบ Hex และนามสกุลหลังถูกเข้ารหัส เพื่อใช้ค้นหาไฟล์ที่ถูกเข้ารหัสข้อมูลทั้งหมดบนเครื่องคอมพิวเตอร์ และระบุประเภทของ Ransomware ที่โจมตี จากนั้นจะแสดงหน้าต่างให้เหยื่อเลือกว่าจะคัดลอกหรือย้ายไฟล์ที่ถูกเข้ารหัสเหล่านั้นไปเก็บไว้ที่ตำแหน่งใหม่

ขณะนี้ CryptoSearch อยู่ในช่วงทดสอบการใช้งาน ซึ่งคาดว่าจะมีการเพิ่มฟีเจอร์ใหม่ๆ ในอนาคต ล่าสุด CryptoSearch พร้อมทำงานในโหมดออฟไลน์ ซึ่งสามารถเก็บฐานข้อมูลจาก ID Ransomware มาใช้งานโดยที่เหยื่อไม่จำเป็นต้องเชื่อมต่ออินเทอร์เน็ต

ผู้ที่สนใจสามารถดาวน์โหลด CryptoSearch มาลองใช้งานได้ที่ https://download.bleepingcomputer.com/demonslay335/CryptoSearch.zip

ที่มา: https://www.bleepingcomputer.com/news/security/cryptosearch-finds-files-encrypted-by-ransomware-moves-them-to-new-location/