พบ Ransomware เรียกค่าไถ่ภาษาจีน แพร่กระจายในหลายเมืองใหญ่

trend_micro_logo_h50

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำของโลก ตรวจพบ Ransomware ที่ใช้ภาษาท้องถิ่น คือ ภาษาจีน แพร่กระจายตัวในเมืองใหญ่ๆ ของประเทศจีน เตือนผู้ใช้ทุกคนควรมีความตื่นตัวด้านความมั่นคงปลอดภัยมากขึ้น เนื่องจากทุกภูมิภาคทั่วโลกสามารถตกเป็นเหยื่อได้ทั้งสิ้น

Ransomware ที่ค้นพบนี้ไม่ใช่ Ransomware ตัวแรกที่แสดงผลข้อความเป็นภาษาจีน แต่เรียกได้ว่าเป็นตัวแรกที่ใช้ภาษาจีนแบบตัวย่อ (Simplified Chinese) ซึ่งเป็นรูปแบบหลักของประเทศจีนแผ่นดินใหญ่ และมีความเข้าใจทั้งภาษาและลักษณะของคนจีนเป็นอย่างดี ซึ่งแนวคิดของ Ransomware นี้ยังคงเหมือนเดิม คือ เข้ารหัสไฟล์ข้อมูล แสดงข้อความเรียกค่าไถ่ (ภาษาจีน) แล้วบอกวิธีการดาวน์โหลด Tor เพื่อจ่ายค่าไถ่ Ransomware นี้ถูกเรียกว่า Shujin (Ransom_SHUJIN.A)

หลังจากที่เหยื่อติด Ransomware มันจะทำการเข้ารหัสไฟล์ข้อมูล วิดีโอ รูปภาพ และเอกสารต่างๆ พร้อมแสดงข้อความเรียกค่าไถ่เป็นภาษาจีนดังรูปด้านล่าง โดยระบุข้อมูลเหมือนข้อความเรียกค่าไถ่ทั่วไป คือ รายละเอียดเหตุการณ์ที่เกิดขึ้น จำนวนไฟล์ที่ถูกเข้ารหัส และขนาดของไฟล์เหล่านั้น

shujin_ransomware_1

ข้อความเรียกค่าไถ่ภาษาจีนนี้ไม่ได้แปลมากจาก Google Translate แต่เขียนโดยผู้ที่เชี่ยวชาญภาษาจีน รวมถึงมีการดัดแปลงวิธีจ่ายค่าไถ่ให้เหมาะสมกับคนจีนด้วยเช่นกัน เช่น ใช้ Baidu ซึ่งเป็น Search Engine ยอดนิยมสำหรับคนจีนแทน Google ในการค้นหาและดาวน์โหลด Tor และมีคำแนะนำในการใช้ VPN หรือ Proxy เพื่อ Bypass ระบบความมั่นคงของประเทศจีนที่บล็อกไม่ให้ใช้ Tor อีกด้วย

shujin_ransomware_2

นอกจากนี้ คำแนะนำใน Dark Web ก็ยังเป็นภาษาจีนด้วยเช่นกัน ซึ่งระบุ URL สำหรับอำนวยความสะดวกต่างๆ เช่น การใช้ Bitcoin จ่ายค่าไถ่ ขั้นตอนการปลดล็อคไฟล์ข้อมูล และคำแนะนำอื่นๆ เป็นต้น

  • hxxp://eqlc75eumpb77ced[.]onion/Decrypt.exe – updated copy of Ransom_SHUJIN.A
  • hxxp://eqlc75eumpb77ced[.]onion/GetMKey.JPG – step-by-step instructions
  • hxxp://eqlc75eumpb77ced[.]onion/btc/ – bitcoin tutorials
  • hxxp://eqlc75eumpb77ced[.]onion/btc/help.html – bitcoin tutorials
  • hxxp://eqlc75eumpb77ced[.]onion/DeFile.JPG – more instructions

shujin_ransomware_3

อย่างไรก็ตาม Shujin Ransomware ยังมีลักษณะต้องสงสัยแปลกๆ กล่าวคือ มันไม่ได้ทำการเข้ารหัสข้อมูลจริงๆ และการใช้ Bitcoin กับ Tor ก็ไม่ใช่สิ่งปกติที่คนจีนทำกัน ปกติ Ransomware ที่พบในประเทศจีนมักจะเรียกค่าไถ่ผ่าน Alipay ซึ่งใช้หมายเลข QQ ในการจ่ายค่าไถ่แทน จึงเป็นไปได้ว่า แท้ที่จริงแล้วแฮ็คเกอร์อาจเป็นคนจีนหรือผู้เชี่ยวชาญด้านภาษาจีนแต่ไม่ได้อาศัยอยู่ในจีนแผ่นดินใหญ่

ที่มา: http://blog.trendmicro.com/trendlabs-security-intelligence/chinese-language-ransomware-makes-appearance/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Trend Micro เข้าซื้อ Cloud Conformity เสริมทัพ Cloud Security

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ประกาศเข้าควบรวมกิจการของ Cloud Confirmity บริษัทที่ให้บริการแพลตฟอร์มด้าน Cloud Security Posture Management ด้วยมูลค่า $70 ล้าน (ประมาณ …

Cyber Defense Initiative Conference (CDIC) 2019 เปิดลงทะเบียนวันนี้แล้ว

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2019” …