Breaking News

พบ Ransomware ชนิดใหม่ ปลอมเป็น Windows Critical Update

sophos_logo

Sophos ผู้ให้บริการโซลูชันรักษาความมั่นคงปลอดภัยและป้องกันการสูญหายของข้อมูลชั้นนำของโลก ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ ชื่อว่า Fantom (Troj/Fantom-B) ถึงแม้ว่าจะเป็น Ransomware ที่ไม่ได้มีความซับซ้อนและไม่ได้แพร่กระจายตัวออกไปมากนัก แต่มีจุดเด่นตรงที่การปลอมเป็น Windows Critical Update เพื่อหลอกผู้ใช้ที่ไม่คุ้นเคยกับการอัปเดตระบบปฏิบัติการได้

Fantom Ransomware ถูกพัฒนาโดยภาษา C# และมีลักษณะการทำงานเหมือนกับ Ransomware อื่นๆ คือ หลังจากถูกติดตั้งลงบนเครื่องจะทำการเข้ารหัสไฟล์แล้วเรียกค่าไถ่ แต่มีการเพิ่มฟีเจอร์พิเศษคือการปลอมตัวเองเป็นการอัปเดตระบบปฏิบัติขณะทำการโจมตีผู้ใช้ เพื่อให้ผู้ใช้ไม่รู้ตัวว่าไฟล์ข้อมูลของตนกำลังถูกเข้ารหัสอยู่

sophos_fantom_ransomware_1

จุดเด่นของ Fantom Ransomware คือ การระบุตัวเองเป็น Windows Sysinternals Tool ที่เรียกว่า sigcheck อย่างไรก็ตาม พึงระลึกไว้เสมอว่า Windows Updates จะไม่ถูกส่งมาผ่านทางอีเมลในรูปของไฟล์ exe อย่างแน่นอน หรือถ้ามีจริง ก็ต้องมี Digital Signature ของทาง Microsoft แนบมาด้วยเสมอ

sophos_fantom_ransomware_2

เมื่อเหยื่อเปิดไฟล์ Ransomware ดังกล่าว โปรเซส critical update และ WindowsFormsApplication5 จะเริ่มทำงาน โดยโปรเซสแรกจะทำหน้าที่เข้ารหัสไฟล์ข้อมูลบนเครื่องคอมพิวเตอร์ของเหยื่อ พร้อมต่อท้ายด้วยนามสกุล .fantom ในขณะที่โปรเซสที่สองจะทำหน้าที่เป็นตัวล่อ เพื่อให้เหยื่อไม่สังเกตถึงความเปลี่ยนแปลงและปิดเครื่องก่อนที่ไฟล์ข้อมูลจะถูกเข้ารหัสทั้งหมด นอกจากนี้ เพื่อให้การอัปเดต Windows สมจริงมากยิ่งขึ้น WindowsFormsApplication5 จะแสดงหน้าจอดังรูปด้านล่าง

sophos_fantom_ransomware_3

หลังจากที่ Fantom เข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว จะแสดงข้อความดังรูปด้านล่าง ซึ่งถ้าเหยื่อเผลอตอบ Yes ไป Fantom Ransomware จะดำเนินการลบ Shadow Copies ที่มีทั้งหมด เพื่อให้เหยื่อไม่สามารถกู้ไฟล์ต้นฉบับกลับคืนมาได้ (นี่คือสาเหตุว่าทำไมจึงควรสำรองข้อมูลไว้ภายนอกแบบออฟไลน์)

sophos_fantom_ransomware_4

เมื่อดำเนินการทุกขั้นตอนเสร็จสิ้น Fantom จะสร้างไฟล์เรียกค่าไถ่ชื่อ DECRYPT_YOUR_FILES.HTML บนหน้า Desktop พร้อมระบุจำนวนเงินค่าไถ่ที่ต้องจ่ายในสกุลเงิน Bitcoin และวิธีติดต่อผ่านแฮ็คเกอร์ผ่านทางเครือข่าย TOR

sophos_fantom_ransomware_5

รายละเอียดเพิ่มเติม: https://nakedsecurity.sophos.com/2016/09/02/fantom-ransomware-pretends-to-be-a-windows-critical-update/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[รีวิว] ASUS ExpertPC D5 SFF: Commercial PC ขนาดเล็กประสิทธิภาพสูง สำหรับการทำงาน

หลังจากบทความก่อนหน้าที่ได้รีวิว ASUS ExpertBook กันไปแล้ว คราวนี้ก็ถึงคราวของบทความถัดมากับการรีวิว ASUS ExpertPC D5 SFF ซึ่งเป็น Commercial PC ในตระกูล ASUS Expert สำหรับการทำงานกันบ้างแล้วครับ ซึ่งโดยรวมแล้วก็จัดเป็นเครื่อง PC สำเร็จรูปที่น่าประทับใจดีทีเดียว ผู้ที่สนใจมาอ่านรีวิวฉบับเต็มกันในบทความนี้ได้เลยครับ

[Guest Post] โซลูชัน Private Cloud in A Box จากยิบอินซอย ผสานที่สุดของซอฟทแวร์จาก VMware และฮาร์ดแวร์จาก HPE

ใช้คลาวด์บน data center ของคุณเอง ขยายธุรกิจได้อย่างรวดเร็ว จ่ายตามการใช้งานจริงเป็นรายเดือนกับโซลูชัน Private Cloud in A Box จากยิบอินซอย ผสานที่สุดของซอฟทแวร์จาก VMware และฮาร์ดแวร์จาก HPE