วิธีถอนการติดตั้ง Ransomware ของ Cyber ​​Police Android

การใช้ประโยชน์ที่เรียกว่า "Cyber ​​Police" เกิดขึ้นอย่างแพร่หลายมาระยะหนึ่งแล้ว แต่วิธีการใหม่ที่ใช้อยู่ในขณะนี้สามารถส่งผลกระทบต่ออุปกรณ์ Android หลายล้านเครื่อง มันจะล็อคอุปกรณ์ของคุณ ทำให้ไร้ประโยชน์ และสามารถติดตั้งบนอุปกรณ์โดยไม่ต้องมีปฏิสัมพันธ์กับผู้ใช้จากเหยื่อ

Cyber ​​Police ซึ่งเป็นแรนซั่มแวร์รูปแบบหนึ่งถูกค้นพบโดย บลูโค้ทแล็บส์ และได้รับการยืนยันจาก Zimperium Labs ซึ่งเป็นกลุ่มเดียวกับที่ค้นพบ แฮ็ค StageFright.

แรนซัมแวร์คืออะไร?

Ransomare คือซอฟต์แวร์ที่มีโค้ดที่เป็นอันตรายซึ่งสามารถล็อกอุปกรณ์หรือคอมพิวเตอร์เพื่อไม่ให้สามารถใช้งานได้ ซึ่งหมายความว่าคุณจะไม่สามารถเปิดแอปใดๆ หรือเข้าถึงการตั้งค่าบนอุปกรณ์ได้ โดยปกติข้อความจะปรากฏขึ้นเพื่ออธิบายว่าอุปกรณ์ถูกล็อค และคุณต้องจ่ายค่า “ค่าไถ่” เพื่อปลดล็อคและกำจัดซอฟต์แวร์ที่เป็นอันตราย

ข่าวดีก็คือข้อมูลของคุณมักจะปลอดภัย แต่ข่าวร้ายก็คือการจ่ายค่าไถ่ไม่ได้ลบซอฟต์แวร์ออกจริงๆ

อธิบายการแฮ็กตำรวจไซเบอร์

ชื่อของตำรวจไซเบอร์มาจากวิธีการนำเสนอตัวเองเมื่อเปิดใช้งานบนอุปกรณ์ของคุณ คุณจะเห็นข้อความเหมือนข้อความด้านล่างนี้อธิบายว่าอุปกรณ์ของคุณถูกล็อคเพราะคุณน่าจะเคยเข้าดูเว็บไซต์ที่ผิดกฎหมายมาก่อน

ข้อความดังกล่าวอ้างว่ามาจากหน่วยงานบางประเภท ซึ่งอาจเรียกว่า "หน่วยงานความมั่นคงแห่งชาติของสหรัฐอเมริกา" หรืออะไรทำนองนั้น

“เอเจนซี่” นี้จะให้เวลาคุณสักระยะในการ “เรียกค่าไถ่” เพื่อที่จะไม่ดำเนินการทางกฎหมาย และ “เอเจนซี่” จะกู้คืนอุปกรณ์ของคุณเป็นโบนัสพิเศษ ในตัวอย่างนี้ “ค่าไถ่” คือรหัสบัตรของขวัญ Apple iTunes มูลค่า $100 สองรหัส ฟังดูง่ายพอ แต่คุณไม่เคยถูกคุกคามทางกฎหมายเลยตั้งแต่แรก และการจ่ายค่าไถ่จะไม่ปลดล็อคอุปกรณ์ของคุณ

ส่วนที่น่ากลัวของช่องโหว่นี้คือสามารถติดตั้งบนอุปกรณ์ของคุณจากโฆษณาธรรมดาบนเว็บเพจ โดยไม่จำเป็นต้องเปิดมันจริงๆ และไม่มีทางที่จะตรวจจับโฆษณาที่เป็นอันตรายเหล่านี้ได้ Andrew Brandt ผู้อำนวยการฝ่ายวิจัยภัยคุกคามที่ Blue Coat Labs กล่าวว่า “นี่เป็นครั้งแรกที่ฉันทราบ [ว่า] ชุดการหาประโยชน์สามารถติดตั้งแอปที่เป็นอันตรายบน อุปกรณ์เคลื่อนที่โดยที่ผู้ใช้ไม่ต้องโต้ตอบใดๆ ในส่วนของเหยื่อ” เนื่องจากการใช้ประโยชน์เป็นแอปจริง ๆ คุณจึงคิดว่าการอนุญาตจะต้องได้รับการอนุมัติ แต่อย่างใด บายพาส

หลังจากที่ Blue Coat ค้นพบการแฮ็กนั้น Joshua Drake จากห้องปฏิบัติการ Zimperium ได้วิเคราะห์และพบว่าแอปใช้เครื่องมือรูทที่เรียกว่า Towelroot เพื่อควบคุมอุปกรณ์ของคุณ นอกจากนี้ยังใช้ช่องโหว่บางอย่างที่รั่วไหลออกมาระหว่างการละเมิดของทีมแฮ็ก ที่ ทีมแฮ็คซึ่งมีสำนักงานใหญ่ในเมืองมิลาน ประเทศอิตาลี ขายความสามารถในการเฝ้าระวังให้กับหน่วยงานบังคับใช้ในท้องถิ่น รัฐบาล และบริษัทเอกชน ก ฝ่าฝืน ข้อมูลของทีมแฮ็กเกอร์เองในเดือนกรกฎาคม 2558 เผยให้เห็นช่องโหว่หลายประการที่แฮกเกอร์สามารถใช้ได้

จากข้อมูลของ Blue Coat โทรจันของตำรวจไซเบอร์คือ เอกสารครั้งแรก ในเดือนธันวาคม 2558 แต่วิธีการใหม่นี้อาจมีมาตั้งแต่เดือนกุมภาพันธ์ 2559

อุปกรณ์ที่ได้รับผลกระทบ

ข่าวดีก็คือว่าถ้าคุณใช้ หุ่นยนต์ อุปกรณ์ที่มีอายุไม่เกินหนึ่งปี คุณก็คงจะโอเค การใช้ประโยชน์นี้สามารถส่งผลต่อ Android เวอร์ชัน 4.0.3 ถึง 4.4.4 เท่านั้น นั่นคือ Ice Cream Sandwich (2011) ถึง KitKat (2013) โชคดีที่โทรศัพท์รุ่นใหม่ส่วนใหญ่ได้รับการอัปเกรดเป็น Lollipop (2014) หรือสูงกว่าแล้ว อย่างไรก็ตามตามล่าสุด แดชบอร์ด Android (4 เมษายน 2559) ร้อยละ 56.9 ของทั้งหมด หุ่นยนต์ อุปกรณ์อยู่ในหมายเลขเวอร์ชันเหล่านี้ นั่นหมายถึงมากกว่า 500 ล้าน หุ่นยนต์ อุปกรณ์ได้รับผลกระทบทั่วโลก เพราะอัตราที่แย่มากที่สุด หุ่นยนต์ โทรศัพท์ได้รับการอัพเดต อุปกรณ์เหล่านี้มักจะไม่ได้รับการอัพเดตอีก ดังนั้น อุปกรณ์เหล่านี้จึงเสี่ยงต่อการถูกคุกคามอยู่เสมอ

Blue Coat พบช่องโหว่บนแท็บเล็ต Samsung รุ่นเก่าที่ใช้ CyanogenMod 10 ซึ่งใช้ Android 4.2.2 แม้ว่า CyanogenMod จะเป็น ROM แบบกำหนดเอง แต่คุณไม่จำเป็นต้องติดตั้งเพื่อให้แอปโทรจันเข้าควบคุม อุปกรณ์.

การป้องกันตัวเอง

สมมติว่าคุณมีอุปกรณ์ Android ที่ใช้งานซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ คุณไม่สามารถทำอะไรได้มากนักเพื่อป้องกันการโจมตีได้อย่างสมบูรณ์ อย่างไรก็ตาม มีบางสิ่งที่คุณสามารถทำได้ซึ่งอาจจำกัดโอกาสที่คุณจะตกเป็นเหยื่อ

สิ่งแรกและชัดเจนที่สุดที่ต้องทำคือซื้ออุปกรณ์รุ่นใหม่ เนื่องจากโทรศัพท์หรือแท็บเล็ตปัจจุบันของคุณอาจจะไม่ได้รับการอัพเดตด้วยแพตช์ แน่นอนว่าอาจไม่สามารถทำได้ในขณะนี้ ดังนั้นคุณสามารถพยายามหลีกเลี่ยงเว็บไซต์ที่ร่มรื่นได้ สิ่งเหล่านี้คือโฆษณาที่มีแนวโน้มที่จะมีประเภทโฆษณาที่สามารถติดตั้งแอปโทรจันบนอุปกรณ์ของคุณได้ ไม่น่าเป็นไปได้ที่โฆษณาเหล่านี้จะปรากฏบนเว็บไซต์ที่มีชื่อเสียงเช่น Google, CNN, Amazon, ESPN หรือ Digital Trends (อย่าทิ้งเราไป!) อีกสิ่งหนึ่งที่คุณสามารถลองได้คือติดตั้งแอปเบราว์เซอร์รุ่นใหม่เช่น โครเมียมซึ่งอาจบล็อกโฆษณาที่เป็นอันตรายไม่ให้แพร่ระบาดในระบบของคุณได้

สุดท้ายนี้ ไม่ว่าคุณจะทำอะไรก็ตาม ตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลรูปภาพ วิดีโอ เพลง และไฟล์สำคัญอื่น ๆ ของคุณไว้เป็นประจำ แม้ว่าการโจมตีของตำรวจไซเบอร์อาจจะไม่ลบพวกมันออกจากอุปกรณ์ของคุณ แต่คุณอาจไม่สามารถเข้าถึงพวกมันได้ในขณะที่มีการโจมตีอยู่

การลบการหาประโยชน์

มีความไม่แน่นอนอยู่บ้าง แต่อย่างน้อยก็มีความหวังอยู่บ้าง สิ่งแรกที่คุณต้องรู้ก็คือ ไม่เคย จ่ายค่าไถ่โปรแกรมคอมพิวเตอร์บางตัวก็โยนใส่คุณไม่ว่าจะเกิดอะไรขึ้นก็ตาม คุณจะเสียเงินเพียงเพราะอุปกรณ์ของคุณจะไม่มีประโยชน์

ตามข้อมูลของ Brandt ที่ Blue Coat Labs เขาสามารถรีเซ็ตแท็บเล็ต Samsung เป็นค่าเริ่มต้นจากโรงงานเพื่อลบแอปโทรจันได้สำเร็จ ขออภัย การรีเซ็ตเป็นค่าจากโรงงานส่งผลให้ข้อมูลทั้งหมดบนอุปกรณ์ถูกลบ มันเจ็บปวดแต่ก็เป็นทางเลือกที่ดีที่สุด หากข้อมูลของคุณยังไม่ได้สำรองข้อมูล คุณสามารถลองเชื่อมต่อโทรศัพท์หรือแท็บเล็ตกับเดสก์ท็อปหรือแล็ปท็อป และดูว่าคุณสามารถคัดลอกเนื้อหาก่อนที่จะเริ่มการรีเซ็ตเป็นค่าจากโรงงานได้หรือไม่

เนื่องจากคุณจะไม่สามารถเข้าสู่การตั้งค่าได้ คุณจะต้องเริ่มต้นการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานด้วยวิธีที่แตกต่างออกไปเล็กน้อย อุปกรณ์แต่ละชิ้นมีความแตกต่างกันเล็กน้อย แต่ลองทำสิ่งนี้บนอุปกรณ์ Samsung:

1. กดค้างไว้ที่ พลัง ปุ่ม, ปรับระดับเสียงขึ้น ปุ่มและ บ้าน ขณะปิดเครื่อง
2. เมื่อโลโก้ Samsung ปรากฏขึ้น ให้ปล่อย เท่านั้น ที่ ปุ่มเพาเวอร์.
3. หน้าจอการกู้คืนระบบ Android จะปรากฏขึ้น
4. ใช้ ปริมาณ ปุ่มเพื่อไฮไลต์ ล้างข้อมูล / ตั้งค่าตามโรงงาน.
5. กด พลัง เพื่อเลือกตัวเลือกการรีเซ็ตเป็นค่าจากโรงงาน

ผู้ใช้บางรายระบุว่าพวกเขาไม่สามารถรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากโรงงานได้เนื่องจากแอปโทรจันป้องกันไม่ให้พวกเขาทำเช่นนั้น คุณอาจอยู่ในสถานการณ์ที่คุณไม่มีการสำรองข้อมูลและไม่สามารถเข้าถึงข้อมูลได้ในขณะที่เชื่อมต่ออุปกรณ์ของคุณกับคอมพิวเตอร์ ในกรณีใดกรณีนี้ คุณสามารถลองรีบูตอุปกรณ์เข้าสู่เซฟโหมดได้ เมื่อทำเช่นนี้ คุณจะสามารถเปิดได้ การตั้งค่าตามด้วย การใช้งาน, และ ตัวจัดการแอปพลิเคชัน เพื่อลบแอปโทรจัน น่าเสียดายที่การค้นหาแอปโทรจันนั้นไม่ใช่เรื่องง่าย

ต่อไปนี้เป็นวิธีรีบูทอุปกรณ์ของคุณในเซฟโหมด:

1. ในขณะที่อุปกรณ์ของคุณเปิดอยู่ ให้กดปุ่มเปิด/ปิดค้างไว้สองสามวินาทีจนกว่าคุณจะได้รับข้อความแจ้งให้ปิดโทรศัพท์ของคุณ
2. แตะค้างไว้ ปิด ตัวเลือกบนจอแสดงผลสักครู่จนกว่าคุณจะได้รับข้อความแจ้งให้ยืนยันว่าคุณต้องการรีบูตเข้าสู่เซฟโหมด

เมื่อคุณอยู่ในเซฟโหมดแล้ว ให้เปิด ผู้จัดการแอปพลิเคชัน และมองหาแอปใดก็ได้ภายใต้ ดาวน์โหลดแล้ว แท็บที่คุณไม่รู้จักและลบออก น่าเสียดายที่นี่อาจจะยากกว่าที่คิด แต่มันก็คุ้มค่าที่จะลอง เมื่อคุณพร้อมแล้ว เพียงปิดโทรศัพท์หรือแท็บเล็ตตามปกติแล้วเปิดเครื่องเพื่อรีบูตในสถานะปกติ หวังว่าแอปโทรจันจะหายไปและโทรศัพท์ของคุณจะถูกปลดล็อค คุณสามารถทำซ้ำขั้นตอนนี้และลองอีกครั้งได้ตลอดเวลา

หากคุณไม่สามารถรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากโรงงานหรือลบแอปโทรจันได้ อาจถึงเวลาที่ต้องซื้อแอปใหม่

คำแนะนำของบรรณาธิการ

• แอพกว่า 80+ แอพเหล่านี้อาจเรียกใช้แอดแวร์บน iPhone หรืออุปกรณ์ Android ของคุณ