IRIS Ransomware

ในระหว่างการตรวจสอบความปลอดภัยทางไซเบอร์โดยกำหนดเป้าหมายไปที่ภัยคุกคามมัลแวร์ที่อาจเกิดขึ้น นักวิจัยได้บังเอิญพบกับซอฟต์แวร์ที่เป็นอันตรายซึ่งมีชื่อว่า IRIS ฟังก์ชันหลักเกี่ยวข้องกับการเข้ารหัสไฟล์ที่จัดเก็บไว้ในอุปกรณ์ที่ถูกบุกรุก หลังจากการเข้ารหัส ภัยคุกคามต้องการค่าไถ่จากเหยื่อที่ได้รับผลกระทบเพื่อแลกกับการถอดรหัสไฟล์ของพวกเขา

เมื่อดำเนินการแล้ว IRIS Ransomware จะเริ่มกระบวนการเข้ารหัสโดยกำหนดเป้าหมายไฟล์ประเภทต่างๆ ที่พบในระบบ มันเปลี่ยนชื่อไฟล์ดั้งเดิมโดยต่อท้ายส่วนขยายที่ประกอบด้วยอักขระที่สร้างแบบสุ่มสี่ตัว ตัวอย่างเช่น ไฟล์ที่เริ่มแรกชื่อ '1.pdf' จะปรากฏเป็น '1.pdf.592m' ในขณะที่ '2.png' จะแปลงเป็น '2.png.2n32' และอื่นๆ สำหรับไฟล์ที่เข้ารหัสทั้งหมด เมื่อเสร็จสิ้นกระบวนการเข้ารหัส IRIS จะปรับเปลี่ยนวอลเปเปอร์เดสก์ท็อปและฝากบันทึกเรียกค่าไถ่ที่มีป้ายกำกับว่า 'read_it.txt' นอกจากนี้ นักวิจัยได้ระบุแล้วว่า IRIS อยู่ในตระกูล Chaos Ransomware

IRIS Ransomware สามารถล็อคเหยื่อจากการเข้าถึงข้อมูลของพวกเขาได้

ข้อความเรียกค่าไถ่ที่ส่งโดย IRIS สรุปสถานการณ์: ไฟล์ของเหยื่อได้รับการเข้ารหัส และต้องชำระเงิน 350 ดอลลาร์ใน XMR (สกุลเงินดิจิทัล Monero) เพื่อกู้คืนไฟล์เหล่านั้น อย่างไรก็ตาม ข้อความดังกล่าวกล่าวเพิ่มเติมโดยอ้างว่าผู้โจมตีได้ขโมยข้อมูลที่ละเอียดอ่อน เช่น ประวัติการท่องเว็บ ข้อมูลระบุตัวบุคคล ข้อมูลการเข้าสู่ระบบ และหมายเลขบัตรเครดิต เรื่องนี้มีความซับซ้อนเนื่องจากการฟอร์แมตอุปกรณ์ไม่ถือเป็นวิธีแก้ปัญหา เนื่องจากจะไม่ลบข้อมูลที่ถูกขโมยไป ความหมายก็คือผู้โจมตีจะขู่ว่าจะเปิดเผยข้อมูลนี้หากไม่จ่ายค่าไถ่

ในสถานการณ์แรนซัมแวร์ทั่วไป การถอดรหัสโดยไม่ให้ผู้โจมตีเข้ามาเกี่ยวข้องนั้นแทบจะเป็นไปไม่ได้เลย ยกเว้นในกรณีที่พบไม่บ่อยนักที่แรนซัมแวร์มีข้อบกพร่องร้ายแรง อย่างไรก็ตาม แม้ว่าเหยื่อจะปฏิบัติตามข้อเรียกร้องค่าไถ่ พวกเขาก็มักจะไม่ได้รับเครื่องมือถอดรหัส ดังนั้นผู้เชี่ยวชาญแนะนำอย่างยิ่งว่าอย่าจ่ายค่าไถ่ เนื่องจากไม่เพียงแต่ล้มเหลวในการรับประกันการกู้คืนข้อมูล แต่ยังสนับสนุนกิจกรรมที่ผิดกฎหมายโดยการให้ทุนแก่อาชญากรไซเบอร์อีกด้วย

เพื่อป้องกันไม่ให้ IRIS Ransomware เข้ารหัสไฟล์เพิ่มเติม จำเป็นต้องลบมันออกจากระบบปฏิบัติการ อย่างไรก็ตาม โปรดทราบว่าการลบแรนซัมแวร์ออกจะไม่กู้คืนข้อมูลที่เข้ารหัสโดยอัตโนมัติ

ใช้มาตรการเพื่อปกป้องอุปกรณ์ของคุณจากมัลแวร์และแรนซัมแวร์

การปกป้องอุปกรณ์จากมัลแวร์และแรนซัมแวร์ถือเป็นสิ่งสำคัญในโลกดิจิทัลในปัจจุบัน คำแนะนำที่ครอบคลุมซึ่งสรุปมาตรการต่างๆ ที่ผู้ใช้สามารถดำเนินการเพื่อปกป้องอุปกรณ์ของตนได้อย่างมีประสิทธิภาพ:

• ติดตั้งซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียง : เริ่มต้นด้วยการติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ที่เชื่อถือได้บนอุปกรณ์ทั้งหมด เลือกผู้ให้บริการที่มีชื่อเสียงซึ่งมีการสแกนแบบเรียลไทม์ การอัปเดตอัตโนมัติ และความสามารถในการตรวจจับมัลแวร์ที่ครอบคลุม

• อัปเดตซอฟต์แวร์อยู่เสมอ : อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์เป็นประจำเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย เปิดใช้งานการอัปเดตอัตโนมัติทุกครั้งที่เป็นไปได้เพื่อให้แน่ใจว่าอุปกรณ์ได้รับการปกป้องจากภัยคุกคามล่าสุด

• ข้อควรระวังในการใช้อีเมล : โปรดใช้ความระมัดระวังเมื่อโต้ตอบกับไฟล์แนบและลิงก์ในอีเมล โดยเฉพาะจากแหล่งที่ไม่รู้จักหรือน่าสงสัย หลีกเลี่ยงการโต้ตอบกับลิงก์หรือดาวน์โหลดไฟล์แนบจากอีเมลที่ไม่พึงประสงค์ เนื่องจากอาจมีมัลแวร์หรือนำไปสู่กลวิธีฟิชชิ่ง

• ใช้การป้องกันไฟร์วอลล์ : เปิดใช้งานไฟร์วอลล์บนอุปกรณ์เพื่อติดตามและควบคุมการรับส่งข้อมูลเครือข่ายขาเข้าและขาออก ไฟร์วอลล์ถูกใช้เป็นเกราะป้องกันความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตและช่วยป้องกันกิจกรรมที่เป็นอันตราย

• ใช้รหัสผ่านที่รัดกุม : สร้างรหัสผ่านที่รัดกุมและไม่ซ้ำกันสำหรับบัญชีและอุปกรณ์ทั้งหมด ใช้การผสมระหว่างตัวอักษรพิมพ์เล็กและพิมพ์ใหญ่ อักขระพิเศษ และตัวเลข พิจารณาผู้จัดการรหัสผ่านเป็นทางเลือกในการจัดเก็บและจัดการรหัสผ่านอย่างปลอดภัย

• เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) : ปรับปรุงความปลอดภัยของบัญชีโดยเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) ทุกครั้งที่เป็นไปได้ 2FA เรียกร้องให้ผู้ใช้กรอกแบบฟอร์มการยืนยันอื่น เช่น รหัสที่ส่งไปยังอุปกรณ์มือถือของตน ก่อนที่จะเข้าถึงบัญชี

• สำรองข้อมูลเป็นประจำ : ใช้กลยุทธ์การสำรองข้อมูลเป็นประจำเพื่อปกป้องข้อมูลสำคัญจากการโจมตีของแรนซัมแวร์ สำรองข้อมูลไปยังฮาร์ดไดรฟ์ภายนอก บริการจัดเก็บข้อมูลบนคลาวด์ หรืออุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) ตรวจสอบให้แน่ใจว่ามีการสำรองข้อมูลอย่างสม่ำเสมอและเก็บไว้อย่างปลอดภัย

• ให้ความรู้แก่ผู้ใช้ : ให้ความรู้แก่ตนเองและผู้อื่นเกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์ที่รู้จักกันดี และวิธีรักษาความปลอดภัยทางออนไลน์ ฝึกอบรมพนักงาน สมาชิกในครอบครัว และเพื่อน ๆ ให้รับรู้ถึงความพยายามในการฟิชชิ่ง เว็บไซต์ที่น่าสงสัย และความเสี่ยงอื่น ๆ ที่อาจเกิดขึ้น

• จำกัดสิทธิ์ผู้ใช้ : จำกัดสิทธิ์ผู้ใช้บนอุปกรณ์เพื่อลดผลกระทบจากการติดมัลแวร์ หลีกเลี่ยงการใช้บัญชีผู้ดูแลระบบสำหรับงานประจำวัน และให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ที่เชื่อถือได้เมื่อจำเป็นเท่านั้น

• รับทราบข้อมูลอยู่เสมอ: รับความกระจ่างเกี่ยวกับภัยคุกคามและแนวโน้มด้านความปลอดภัยทางไซเบอร์ล่าสุดโดยการติดตามแหล่งข้อมูลที่มีชื่อเสียง ติดตามมัลแวร์และแรนซัมแวร์รูปแบบต่างๆ การอัปเดตความปลอดภัย และแนวปฏิบัติที่ดีที่สุดในการปกป้องอุปกรณ์

ด้วยการใช้มาตรการที่ครอบคลุมเหล่านี้ ผู้ใช้สามารถลดความเสี่ยงของการติดมัลแวร์และแรนซัมแวร์บนอุปกรณ์ของตน และปกป้องข้อมูลอันมีค่าของตนจากการถูกบุกรุก

ข้อความเต็มของบันทึกเรียกค่าไถ่ที่สร้างโดย IRIS Ransomware คือ:

'HACKED BY IRIS!!!!!!!!!!!

Hello!

First off, this is not personal, its just businuss

All of your files have been encrypted!

Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back?

You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer.The price for the software is $350. Payment can be made in Monero only.

What happens if i don't pay?

You may think of just reseting your pc… We have all of your files, your addresses, passwords, emails, credit cards, search history, wifi logs, plus we literally everything that is on your computer. If you are connected to a wifi network we now also have all the files from those devices also.

How do I buy Monero/XMR?

Look up a youtube video on how to buy the coin, or visit localmonero.co to buy from a seller.

Payment Type: Monero/Xmr Coin

Amount: $350 USD In Monero/XMR

Monero/XMR address to send to:
45R284b7KTQaeM5t8A2fv617CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHVjoppdY24gvV17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

If you have any questions or issues contact: iriswaresupport@proton.me

HACKED BY IRIS (THE ONE AND ONLY)'