Breaking News

พบ Ransomware ชนิดใหม่ ปลอมเป็น Windows Critical Update

sophos_logo

Sophos ผู้ให้บริการโซลูชันรักษาความมั่นคงปลอดภัยและป้องกันการสูญหายของข้อมูลชั้นนำของโลก ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ ชื่อว่า Fantom (Troj/Fantom-B) ถึงแม้ว่าจะเป็น Ransomware ที่ไม่ได้มีความซับซ้อนและไม่ได้แพร่กระจายตัวออกไปมากนัก แต่มีจุดเด่นตรงที่การปลอมเป็น Windows Critical Update เพื่อหลอกผู้ใช้ที่ไม่คุ้นเคยกับการอัปเดตระบบปฏิบัติการได้

Fantom Ransomware ถูกพัฒนาโดยภาษา C# และมีลักษณะการทำงานเหมือนกับ Ransomware อื่นๆ คือ หลังจากถูกติดตั้งลงบนเครื่องจะทำการเข้ารหัสไฟล์แล้วเรียกค่าไถ่ แต่มีการเพิ่มฟีเจอร์พิเศษคือการปลอมตัวเองเป็นการอัปเดตระบบปฏิบัติขณะทำการโจมตีผู้ใช้ เพื่อให้ผู้ใช้ไม่รู้ตัวว่าไฟล์ข้อมูลของตนกำลังถูกเข้ารหัสอยู่

sophos_fantom_ransomware_1

จุดเด่นของ Fantom Ransomware คือ การระบุตัวเองเป็น Windows Sysinternals Tool ที่เรียกว่า sigcheck อย่างไรก็ตาม พึงระลึกไว้เสมอว่า Windows Updates จะไม่ถูกส่งมาผ่านทางอีเมลในรูปของไฟล์ exe อย่างแน่นอน หรือถ้ามีจริง ก็ต้องมี Digital Signature ของทาง Microsoft แนบมาด้วยเสมอ

sophos_fantom_ransomware_2

เมื่อเหยื่อเปิดไฟล์ Ransomware ดังกล่าว โปรเซส critical update และ WindowsFormsApplication5 จะเริ่มทำงาน โดยโปรเซสแรกจะทำหน้าที่เข้ารหัสไฟล์ข้อมูลบนเครื่องคอมพิวเตอร์ของเหยื่อ พร้อมต่อท้ายด้วยนามสกุล .fantom ในขณะที่โปรเซสที่สองจะทำหน้าที่เป็นตัวล่อ เพื่อให้เหยื่อไม่สังเกตถึงความเปลี่ยนแปลงและปิดเครื่องก่อนที่ไฟล์ข้อมูลจะถูกเข้ารหัสทั้งหมด นอกจากนี้ เพื่อให้การอัปเดต Windows สมจริงมากยิ่งขึ้น WindowsFormsApplication5 จะแสดงหน้าจอดังรูปด้านล่าง

sophos_fantom_ransomware_3

หลังจากที่ Fantom เข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว จะแสดงข้อความดังรูปด้านล่าง ซึ่งถ้าเหยื่อเผลอตอบ Yes ไป Fantom Ransomware จะดำเนินการลบ Shadow Copies ที่มีทั้งหมด เพื่อให้เหยื่อไม่สามารถกู้ไฟล์ต้นฉบับกลับคืนมาได้ (นี่คือสาเหตุว่าทำไมจึงควรสำรองข้อมูลไว้ภายนอกแบบออฟไลน์)

sophos_fantom_ransomware_4

เมื่อดำเนินการทุกขั้นตอนเสร็จสิ้น Fantom จะสร้างไฟล์เรียกค่าไถ่ชื่อ DECRYPT_YOUR_FILES.HTML บนหน้า Desktop พร้อมระบุจำนวนเงินค่าไถ่ที่ต้องจ่ายในสกุลเงิน Bitcoin และวิธีติดต่อผ่านแฮ็คเกอร์ผ่านทางเครือข่าย TOR

sophos_fantom_ransomware_5

รายละเอียดเพิ่มเติม: https://nakedsecurity.sophos.com/2016/09/02/fantom-ransomware-pretends-to-be-a-windows-critical-update/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยกระดับการเชื่อมต่อ Multi-cloud ให้ดียิ่งขึ้นด้วย SD-WAN

ปัจจุบันองค์กรหลายแห่งกำลังปรับใช้กลยุทธ์มัลติคลาวด์เพื่อให้สามารถใช้งานแพลตฟอร์มคลาวด์ได้หลายแพลตฟอร์ม สำหรับรองรับปริมาณงานที่หลากหลายประเภททั้งใน SaaS และในองค์กร ซึ่งแต่ละประเภทงานย่อมต้องการสมรรถนะและระดับบริการที่แตกต่างกัน โดยทั่วไปนั้น การเชื่อมโยงผู้ใช้งานในสำนักงานสาขาเข้ากับแอปพลิเคชันที่โฮสต์ไว้บนคลาวด์จำเป็นต้องส่งต่อทราฟฟิกไปยัง Data Center ของบริษัทผ่านทางโครงสร้างพื้นฐาน WAN เดิมที่ใช้งานอยู่ ซึ่งประกอบด้วยเราเตอร์ที่ส่งข้อมูลผ่านเครือข่าย MPLS ส่วนตัวของบริษัท …

Inspur ผู้ผลิต Server อันดับ 3 ของโลกและอันดับ 1 ของจีน กำลังขยายฐานธุรกิจสู่ตลาดเมืองไทยและทั่วโลก

เมื่อจีนได้ก้าวขึ้นมาสู่การเป็นมหาอำนาจทางเทคโนโลยีที่ส่งผลต่อการดำเนินธุรกิจทั่วโลก เหล่าผู้พัฒนาเทคโนโลยีในจีนเองก็ใช้โอกาสนี้ในการสยายปีกก้าวเข้าสู่ตลาดระดับโลกด้วยเช่นกัน ซึ่ง Inspur ผู้ผลิต Server ที่มีส่วนแบ่งตลาดเป็นอันดับ 1 ของจีนและอันดับ 3 ของโลกนั้นก็เป็นหนึ่งในผู้ผลิตที่มุ่งขยายตลาดระดับโลกอย่างเต็มกำลัง หวังก้าวสู่การเป็นผู้ผลิต Server ที่มีส่วนแบ่งตลาดอันดับ 1 …