2567
รับทำเว็บไซต์อสังหาริมทรัพย์  รับทำเว็บฟุตบอล  รับทำเว็บพระเครื่อง รับทำเว็บขายรถมือสอง
เว็บร้านค้าออนไลน์ 5500 บาท ราคาถูก
  รหัสสินค้า PRD99
  โปรโมชั่นเว็บราคาถูก เว็บร้านค้าออนไลน์ 5,500 บาท ราคาถูก
โปรโมชั่นเว็บราคาถูก
ลดเหลือ 5,500 บาท 
โปรโมชั่นเว็บราคาถูก 
ชื่อผู้ใช้
รหัสผ่าน
ลืมรหัสผ่าน | ลงทะเบียนสั่งซื้อ
ตะกร้าสินค้า
จำนวนสินค้า ชิ้น
รวมเงิน บาท
รับทำเว็บไซต์ราคาถูก ดูสินค้าในตะกร้า
ค้นหาสินค้า
ชื่อสินค้า
 
ตรวจสอบสินค้า
เลขที่ใบสั่งซื้อ
 

หมวดสินค้า
โปรโมชั่นเว็บราคาถูก สคริปเว็บประมูล+ลงประกาศฟรี
โปรโมชั่นเว็บราคาถูก สคริปเว็บเต็นท์รถมือสอง
โปรโมชั่นเว็บราคาถูก สคริปเว็บหางาน
โปรโมชั่นเว็บราคาถูก สคริปเว็บบอร์ด
โปรโมชั่นเว็บราคาถูก สคริปเว็บขายบ้าน ที่ดิน อสังหาริมทรัพย์
โปรโมชั่นเว็บราคาถูก สคริปเว็บฟุตบอล
โปรโมชั่นเว็บราคาถูก สคริปเว็บวาไรตี้
โปรโมชั่นเว็บราคาถูก สคริปเว็บไซต์วัด
โปรโมชั่นเว็บราคาถูก สคริปเว็บไซต์รีสอร์ท ห้องพัก ที่พัก ร้านอาหาร
โปรโมชั่นเว็บราคาถูก สคริปเว็บ ขยายสายงาน MLM
โปรโมชั่นเว็บราคาถูก สคริปร้านค้าออนไลน์
โปรโมชั่นเว็บราคาถูก สคริปเว็บพระเครื่อง
โปรโมชั่นเว็บราคาถูก สคริปเว็บหาเพื่อน Social Network
โปรโมชั่นเว็บราคาถูก สคริปเว็บ ขายสินค้า+โปรเจ๊ค
โปรโมชั่นเว็บราคาถูก สคริปเว็บลงประกาศฟรี
โปรโมชั่นเว็บราคาถูก สคริป Hosting
โปรโมชั่นเว็บราคาถูก สคริปเว็บ เว็บไซต์โรงเรียน
โปรโมชั่นเว็บราคาถูก สคริปเว็บ อบต. เทศบาล โรงพยาบาล
โปรโมชั่นเว็บราคาถูก รับทำระบบวิทยุออนไลน์
โปรโมชั่นเว็บราคาถูก รับทำเว็บไซต์ ด้วยระบบ JOOMLA
โปรโมชั่นเว็บราคาถูก ขายสคริปทำจาก SMF
โปรโมชั่นเว็บราคาถูก สคริป เว็บดูหนังออนไลน์
โปรโมชั่นเว็บราคาถูก สคริป เกมส์ออนไลน์
โปรโมชั่นเว็บราคาถูก สคริปเว็บ จองห้องพัก จองโรงแรม
โปรโมชั่นเว็บราคาถูก ขายสคริปทำจาก Discuz!
โปรโมชั่นเว็บราคาถูก สคริปเว็บ ติวเตอร์
โปรโมชั่นเว็บราคาถูก สคริปเว็บเพื่อการศึกษา
โปรโมชั่นเว็บราคาถูก สคริปห้างสรรพสินค้า
โปรโมชั่นเว็บราคาถูก สคริปเว็บเครื่องเสียง
โปรโมชั่นเว็บราคาถูก สคิปเว็บ อัพวีดีโอ
โปรโมชั่นเว็บราคาถูก ขายสคริปเว็บสำเร็จรูป
โปรโมชั่นเว็บราคาถูก สคริปเว็บหน่วยงาน เว็บบริษัท
โปรโมชั่นเว็บราคาถูก สคริปเว็บ 25satang
โปรโมชั่นเว็บราคาถูก สคริปเว็บท่องเที่ยว เว็บทัวร์
โปรโมชั่นเว็บราคาถูก สคริปเว็บไซต์ หน่วยงานอื่นๆ
โปรโมชั่นเว็บราคาถูก สคริปเว็บร้านเสริมสวย
โปรโมชั่นเว็บราคาถูก สคริปเว็บดูดวง
โปรโมชั่นเว็บราคาถูก รับทำเว็บไซต์สปา
โปรโมชั่นเว็บราคาถูก รับทำเว็บไซต์บริษัท ราคาถูก
โปรโมชั่นเว็บราคาถูก รับทำเว็บทนายความ
โปรโมชั่นเว็บราคาถูก รับเขียนโปรแกรมแบบฟอร์มรับข้อมูล
รับทำเว็บไซต์พระเครื่อง V1-mini
รหัสสินค้า PRD53 (สินค้าขายดี)
โปรโมชั่นเว็บราคาถูก รับทำเว็บไซต์พระเครื่อง V1-mini
...
ราคา 9500 บาท
ราคาพิเศษ 5900 บาท

วันที่ 11-10-2560 ขายไปแล้วทั้งหมด 95

รหัสสินค้า PRD28 (สินค้าขายดี)
โปรโมชั่นเว็บราคาถูก รับทำเว็บไซต์ รีสอร์ท ห้องอาหาร ร้านอาหาร ห้องเช่า ที่พัก
รับทำเว็บไซต์ รีสอร์ท ห้องอาหาร ร้านอาหาร ห้องเช่า ที่พัก 
&n...  
ราคา 10000 บาท ราคาพิเศษ 8900 บาท
วันที่ 13-08-2556 ผู้เข้าชมทั้งหมด 13114 ครั้ง

รหัสสินค้า PRD70 (สินค้าขายดี)
โปรโมชั่นเว็บราคาถูก สคริปห้างสรรพสินค้าออนไลน์ ECMall

ราคา 12000 บาท ราคาพิเศษ 9500 บาท

วันที่ 24-08-2556 ผู้เข้าชมทั้งหมด 511 ครั้ง
 
 
 

 


เจาะลึกการทำงานของ Wana Decrypt0r 2.0 พร้อมวิธีรับมือ

:: เมื่อ 13-05-2560 :: เข้าชมทั้งหมด 3672 ครั้ง ::

กลายเป็นจุดสนใจของสำนักข่าวทั่วโลกทันที หลังจากที่ Wana Decrypt0r 2.0 เริ่มแพร่ระบาดเมื่อวานนี้ ซึ่งผ่านไปยังไม่ถึง 24 ชั่วโมงก็มีผู้ตกเป็นเหยื่อแล้วกว่า 100,000 รายจาก 100 กว่าประเทศทั่วโลก ไม่ว่าจะเป็น Telefonica (ISP จากสเปน) กระทรวงมหาดไทยของรัสเซีย สถานีรถไฟในเยอรมนี รวมไปถึงมหาวิทยาหลายแห่งในประเทศจีน ทางเว็บไซต์ Bleeping Computer จึงได้รวบรวมข้อมูลเชิงเทคนิคของ Ransomware ดังกล่าวมาเผยแพร่ เพื่อให้ฝ่าย IT ที่เกี่ยวข้องทราบถึงการทำงานเบื้องต้น และเตรียมรับมือได้อย่างถูกต้อง

Ransomware มีชื่อเรียกว่าอะไรกันแน่

ตอนนี้หลายคนคงเห็นว่าหลายเว็บไซต์ หลายสำนักข่าวเรียกชื่อ Ransomware แตกต่างกันไป ไม่ว่าจะเป็น WCry, WannaCry, WannaCrypt และอื่นๆ ซึ่งทาง TechTalkThai เองก็ใช้คำว่า Wana Decrypt0r เนื่องจาก Ransomware แสดงหน้าล็อกสกรีนด้วยชื่อดังกล่าว อย่างไรก็ตาม ชื่ออย่างเป็นทางการของ Ransomware นี้คือ WanaCrypt0r ดังนั้น เพื่อผลประโยชน์ในการค้นหาข้อมูล บทความนี้จะใช้ชื่อ WanaCrypt0r และ Wana Decrypt0r ทั้งหมด

WanaCrypt0r แพร่กระจายตัวอย่างไร

MalwareHunterTeam ค้นพบ WanaCrypt0r ครั้งแรกเมื่อหลายสัปดาห์ก่อน แต่ยังไม่มีการเคลื่อนไหวแต่อย่างใด จนถึงเมื่อวานนี้ WanaCrypt0r ได้เริ่มแพร่ระบาดไปทั่วโลกผ่านทาง Exploit ที่ชื่อว่า “EternalBlue” ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่กลุ่มแฮ็คเกอร์ที่ชื่อว่า Shadow Brokers เอามาเผยแพร่ออนไลน์เมื่อกลางเดือนเมษายนที่ผ่านมา Exploit นี้จะเจาะเข้าระบบคอมพิวเตอร์จากระยะไกลผ่านทางโปรโตคอล SMBv1 ถึงแม้ว่า Microsoft จะออกแพทช์ MS17-010 เพื่ออุดช่องโหว่นี้ไปแล้ว แต่หลายคนทั่วโลกยังคงไม่ได้อัปเดตแพทช์

ถ้าใครยังไม่ได้ลงแพทช์ MS17-010 จงหยุดงานทุกอย่างแล้วอัปเดตแพทช์บัดเดี๋ยวนี้ !!

เนื่องจาก WanaCrypt0r กำลังแพร่ระบาดอย่างบ้าคลั่ง และยังไม่มีเครื่องมือ Decryptor สำหรับปลดล็อกแต่อย่างใด ดังนั้นวิธีการที่ดีที่สุดคือการอุดช่องโหว่เพื่อลดความเสี่ยงไม่ให้ WanaCrypt0r เจาะเข้าระบบคอมพิวเตอร์ได้ ยิ่งถ้าพร้อมสำรองข้อมูลด้วยก็จะเป็นอะไรที่ช่วยให้อุ่นใจได้มาก

WanaCrypt0r เข้ารหัสไฟล์ข้อมูลอย่างไร

หลังจากที่ WanaCrypt0r เจาะเข้าระบบคอมพิวเตอร์ได้แล้ว ตัว Installer จะทำการแตกไฟล์ตัวเองไว้ที่เดียวกับที่มันหลุดเข้ามา ไฟล์ที่แตกมานี้จะอยู่ในรูปของโฟลเดอร์ ZIP ที่ถูกล็อกด้วยรหัสผ่าน ซึ่งประกอบด้วยไฟล์หลายรายการที่จะถูกใช้และรันโดย WanaCrypt0r ดังแสดงในรูปด้านล่าง

ไฟล์ที่แตกมานี้ ในโฟลเดอร์ msg จะประกอบด้วยข้อความเรียกค่าไถ่ซึ่งรองรับหลากหลายภาษา ได้แก่ Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish และ Vietnamese (ยังไม่มีภาษาไทย)

จากนั้น WanaCrypt0r จะทำการดาวน์โหลด TOR Client จาก https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip มาแตกไฟล์และเก็บไว้ที่โฟลเดอร์ TaskData ซึ่งโปรแกรม TOR Client นี้จะถูกใช้เพื่อติดต่อสื่อสารกับ C&C Server ของแฮ็คเกอร์ที่ gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion และ cwwnhwhlz52maqm7.onion

เพื่อที่จะเตรียมคอมพิวเตอร์ให้ Ransomware สามารถเข้ารหัสไฟล์ข้อมูลให้ได้มากที่สุด WanaCrypt0r จะรันคำสั่ง icacls . /grant Everyone:F /T /C /Q เพื่อเปลี่ยนให้ทุกคนมีสิทธิ์เต็มที่ (Full Permissions) ในทุกๆ ไฟล์ที่อยู่ภายใต้โฟลเดอร์และโฟลเดอร์ย่อยที่ Ransomware เข้าถึง นอกจากนี้ WanaCrypt0r ยังจัดการฆ่าโปรเซสที่เกี่ยวข้องกับ Database Server และ Mail Server เพื่อที่จะได้เข้ารหัสข้อมูลที่เก็บอยู่ใน Database และ Mail ด้วยเช่นกัน

คำสั่งที่ใช้รันเพื่อฆ่าโปรเซสของ Database และ Mail ได้แก่

taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange*
taskkill.exe /f /im Microsoft.Exchange.*

จนถึงตอนนี้ Wana Crypt0r ก็พร้อมที่จะเข้ารหัสไฟล์ข้อมูลบนคอมพิวเตอร์แล้ว ซึ่งไฟล์ที่จะถูกเข้ารหัสประกอบด้วย

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp,
 .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, 
.frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, 
.asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, 
.svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, 
.tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf,
 .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt,
 .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx และ .doc

เมื่อไฟล์ข้อมูลถูกเข้ารหัสเป็นที่เรียบร้อย WanaCrypt0r จะต่อท้ายไฟล์ด้วยนามสกุล .WNCRY เช่น test.jpg จะกลายเป็น test.jpg.WNCRY

ขณะที่เข้ารหัสไฟล์ WanaCrypt0r จะสร้างข้อความเรียกค่าไถ่ชื่อว่า @Please_Read_Me@.txt และคัดลอกตัวปลดรหัส @WanaDecryptor@.exe เก็บไว้ในทุกๆ โฟลเดอร์ที่มีไฟล์ถูกเข้ารหัสไปพร้อมๆ กัน

ถัดมา WanaCrypt0r จะทำการเคลียร์ Shadow Volume Copies หยุดการทำงานของ Windows Startup Recovery และเคลียร์ Windows Server Backup History โดยรันคำสั่ง C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

เนื่องจากคำสั่งนี้จำเป็นต้องรันโดยใช้สิทธิ์ของผู้ดูแลระบบ ดังนั้นเหยื่อจะเห็นหน้าต่างแจ้งเตือนของ UAC คล้ายกับที่แสดงด้านล่าง

สุดท้าย WanaCrypt0r จะแสดงหน้าล็อกสกรีนซึ่งระบุข้อความเรียกค่าไถ่พร้อมข้อมูลวิธีการชำระเงิน โดยเรียกค่าไถ่เป็นจำนวนเงินสูงถึง $300 (ประมาณ 10,500 บาท) เหยื่อสามารถเลือกเปลี่ยนภาษาได้ตามความต้องการ

เมื่อเหยื่อคลิกที่ปุ่ม Check Payment ตัว Ransomware จะเชื่อมต่อกลับไปยัง TOR C&C Server เพื่อตรวจสอบว่ามีการจ่ายค่าไถ่แล้วหรือยัง ถ้ามีการชำระค่าไถ่แล้ว Ransomware จะปลดล็อกไฟล์ข้อมูลให้โดยอัตโนมัติ แต่ถ้ายัง WanaCrypt0r จะแสดงหน้าต่างดังที่เห็นด้านล่าง

จากการตรวจสอบ พบว่าแฮ็คเกอร์ใช้ Bitcoin Address 3 รายการเป็นช่องทางในการเก็บค่าไถ่ ได้แก่ 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw และ 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn จนถึงตอนนี้ ทาง Bleeping Computer ก็ตั้งประเด็นสงสัยว่า ถ้าเหยื่อจ่ายค่าไถ่ผ่านทาง Bitcoin Address เดียวกันเป็นจำนวนมาก แฮ็คเกอร์จะทราบได้อย่างไรว่าเหยื่อคนไหนจ่ายค่าไถ่ไปแล้ว คนไหนยังไม่ได้จ่ายค่าไถ่

หน้าล็อกสกรีนของ WanaCrypt0r ยังมีลิงค์ Contact Us สำหรับเปิดกล่องข้อความให้เหยื่อติดต่อกับแฮ็คเกอร์ที่พัฒนา WanaCrypt0r อีกด้วย

นอกจากนี้ Ransomware ยังเปลี่ยนหน้า Wallpaper ของคอมพิวเตอร์ให้แสดงข้อความเรียกค่าไถ่ ดังแสดงในรูปด้านล่าง

สำหรับไฟล์ @Please_Read_Me@.txt ที่ถูกสร้างขึ้นไว้ในทุกๆ โฟลเดอร์ที่ไฟล์ถูกเข้ารหัส ก็จะถูกสร้างขึ้นบนหน้า Desktop ด้วยเช่นกัน ซึ่งไฟล์ดังกล่าวจะให้ข้อมูลเชิงถามตอบ (FAQ) เกี่ยวกับสถานการณ์ที่เกิดขึ้น

อย่างที่บอกไปตั้งแต่แรก จนถึงตอนนี้ยังไม่มี Decryptor สำหรับปลดล็อกไฟล์ที่ถูก Wana Decrypt0r 2.0 โจมตี เหยื่อจำเป็นต้องกู้ข้อมูลกลับคืนมาจากไฟล์ Backup หรือทดลองใช้โปรแกรมอย่าง Shadow Explorer โดยหวังว่า Ransomware จะไม่ได้ลบ Shadow Volume Copies ทิ้งไป ซึ่งถ้าเหยื่อไม่ได้กด Yes ตรงหน้าแจ้งเตือน UAC ก็มีโอกาสสูงที่จะกู้ข้อมูลกลับคืนมาได้

ดูวิธีกู้ข้อมูลจาก Shadow Volume Copies ได้ที่ https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volume-copies/

ป้องกันคอมพิวเตอร์ไม่ไห้ติด WanaCrypt0r Ransomware ได้อย่างไร

สิ่งสำคัญที่สุดไม่ใช่การมีระบบตรวจจับพฤติกรรมหรือโซลูชันสำหรับค้นหาภัยคุกคามใหม่ๆ แต่เป็นการอัปเดตแพทช์ด้านความมั่นคงปลอดภัยล่าสุดบนคอมพิวเตอร์ ถึงแม้ว่าจะในบางธุรกิจการติดตั้งแพทช์ใหม่ล่าสุดจะไม่อยู่ใน “Patch Management Policies” แต่การอัปเดตแพทช์ MS17-010 นี้จะช่วยอุดช่องโหว่ของ Exploit จาก NSA ที่ใช้แพร่กระจาย Ransomware เข้ามาได้ จึงเป็นสิ่งที่ควรกระทำอย่างยิ่ง

สำหรับผู้ที่ยังไม่สามารถอัปเดตแพทช์ได้ หรือต้องรอเข้ากระบวนการ Change Management แนะนำให้ยกเลิกการใช้โปรโตคอล SMBv1 หรือปิดพอร์ต 445 แทน

Indicator of Compromises

Hashes:

SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

ไฟล์ที่เกี่ยวข้องกับ WanaCrypt0r / Wana Decrypt0r

[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@WanaDecryptor@.exe
[Installed_Folder]\@WanaDecryptor@.exe.lnk
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe

Registry ที่เกี่ยวข้องกับ WanaCrypt0r / Wana Decrypt0r

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"

การเชื่อมต่อผ่านเครือข่ายจาก WanaCrypt0r / Wana Decrypt0r

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

ข้อความล็อกสกรีนของ WanaCrypt0r / Wana Decrypt0r

What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. 
Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.

Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking .
But if you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don't pay in 7 days, you won't be able to recover your files forever.
We will have free events for users who are so poor that they couldn't pay in 6 months.

How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click .
Please check the current price of Bitcoin and buy some bitcoins. For more information, click .
And send the correct amount to the address specified in this window.
After your payment, click . Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
Once the payment is checked, you can start decrypting your files immediately.

Contact
If you need our assistance, send a message by clicking .

We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. 
If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

ข้อความเรียกค่าไถ่ของ WanaCrypt0r / Wana Decrypt0r

Q: What's wrong with my files?

A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
 If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
 Let's start decrypting!

Q: What do I do?

A: First, you need to pay service fees for the decryption.
 Please send $300 worth of bitcoin to this bitcoin address: 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
 Run and follow the instructions! (You may need to disable your antivirus for a while.)
 
Q: How can I trust?

A: Don't worry about decryption.
 We will decrypt your files surely because nobody will trust us if we cheat users.


* If you need our assistance, send a message by clicking on the decryptor window.

นามสกุลไฟล์ที่ถูกเข้ารหัส

.WCRY
.WNCRY

ที่มาและภาพประกอบ: https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/

รับทำเว็บไซต์อสังหาริมทรัพย์ รับทำเว็บฟุตบอล รับทำเว็บพระเครื่อง รับทำเว็บขายรถมือสอง
หน้าแรก รายการสคริปต์เว็บ สินค้าในตะกร้า การสั่งซื้อและขนส่ง แจ้งการชำระเงิน เว็บบอร์ด ติดต่อเรา เว็บเพื่อนบ้าน ตัวอย่างลูกค้าบางส่วน
Copy Right © รับทำเว็บไซต์อสังหาริมทรัพย์ รับทำเว็บฟุตบอล รับทำเว็บพระเครื่อง รับทำเว็บขายรถมือสอง | Design By Webkroox.com เว็บครูเอ็กซ์ ดอตคอม
ติดต่อ จังหวัดขอนแก่น รหัสไปรษณีย์ 40000 เบอร์โทรศัพท์ 097-3049990(เบอร์ line) และ 080-7567590 ID Line : meewebsite
เช็คเมลล์ Email : webkroox@gmail.com รับทำเว็บไซต์ ราคาถูก
ร้านค้าออนไลน์นี้ได้แจ้งการเป็นผู้ประกอบธุรกิจพาณิชย์อิเล็กทรอนิกส์ด้วยการขอรับเครื่องหมาย DBD Registered กับทางกรมพัฒนาธุรกิจการค้า กระทรวงพาณิชย์