Breaking News

พบ Ransomware ชนิดใหม่ ปลอมเป็น Windows Critical Update

sophos_logo

Sophos ผู้ให้บริการโซลูชันรักษาความมั่นคงปลอดภัยและป้องกันการสูญหายของข้อมูลชั้นนำของโลก ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ ชื่อว่า Fantom (Troj/Fantom-B) ถึงแม้ว่าจะเป็น Ransomware ที่ไม่ได้มีความซับซ้อนและไม่ได้แพร่กระจายตัวออกไปมากนัก แต่มีจุดเด่นตรงที่การปลอมเป็น Windows Critical Update เพื่อหลอกผู้ใช้ที่ไม่คุ้นเคยกับการอัปเดตระบบปฏิบัติการได้

Fantom Ransomware ถูกพัฒนาโดยภาษา C# และมีลักษณะการทำงานเหมือนกับ Ransomware อื่นๆ คือ หลังจากถูกติดตั้งลงบนเครื่องจะทำการเข้ารหัสไฟล์แล้วเรียกค่าไถ่ แต่มีการเพิ่มฟีเจอร์พิเศษคือการปลอมตัวเองเป็นการอัปเดตระบบปฏิบัติขณะทำการโจมตีผู้ใช้ เพื่อให้ผู้ใช้ไม่รู้ตัวว่าไฟล์ข้อมูลของตนกำลังถูกเข้ารหัสอยู่

sophos_fantom_ransomware_1

จุดเด่นของ Fantom Ransomware คือ การระบุตัวเองเป็น Windows Sysinternals Tool ที่เรียกว่า sigcheck อย่างไรก็ตาม พึงระลึกไว้เสมอว่า Windows Updates จะไม่ถูกส่งมาผ่านทางอีเมลในรูปของไฟล์ exe อย่างแน่นอน หรือถ้ามีจริง ก็ต้องมี Digital Signature ของทาง Microsoft แนบมาด้วยเสมอ

sophos_fantom_ransomware_2

เมื่อเหยื่อเปิดไฟล์ Ransomware ดังกล่าว โปรเซส critical update และ WindowsFormsApplication5 จะเริ่มทำงาน โดยโปรเซสแรกจะทำหน้าที่เข้ารหัสไฟล์ข้อมูลบนเครื่องคอมพิวเตอร์ของเหยื่อ พร้อมต่อท้ายด้วยนามสกุล .fantom ในขณะที่โปรเซสที่สองจะทำหน้าที่เป็นตัวล่อ เพื่อให้เหยื่อไม่สังเกตถึงความเปลี่ยนแปลงและปิดเครื่องก่อนที่ไฟล์ข้อมูลจะถูกเข้ารหัสทั้งหมด นอกจากนี้ เพื่อให้การอัปเดต Windows สมจริงมากยิ่งขึ้น WindowsFormsApplication5 จะแสดงหน้าจอดังรูปด้านล่าง

sophos_fantom_ransomware_3

หลังจากที่ Fantom เข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว จะแสดงข้อความดังรูปด้านล่าง ซึ่งถ้าเหยื่อเผลอตอบ Yes ไป Fantom Ransomware จะดำเนินการลบ Shadow Copies ที่มีทั้งหมด เพื่อให้เหยื่อไม่สามารถกู้ไฟล์ต้นฉบับกลับคืนมาได้ (นี่คือสาเหตุว่าทำไมจึงควรสำรองข้อมูลไว้ภายนอกแบบออฟไลน์)

sophos_fantom_ransomware_4

เมื่อดำเนินการทุกขั้นตอนเสร็จสิ้น Fantom จะสร้างไฟล์เรียกค่าไถ่ชื่อ DECRYPT_YOUR_FILES.HTML บนหน้า Desktop พร้อมระบุจำนวนเงินค่าไถ่ที่ต้องจ่ายในสกุลเงิน Bitcoin และวิธีติดต่อผ่านแฮ็คเกอร์ผ่านทางเครือข่าย TOR

sophos_fantom_ransomware_5

รายละเอียดเพิ่มเติม: https://nakedsecurity.sophos.com/2016/09/02/fantom-ransomware-pretends-to-be-a-windows-critical-update/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ฟรี VMware EVOLVE Online 2020 ลุ้นรับฟรี iPad Pro และ Apple Watch

ขอเชิญทุกท่านในวงการ IT เข้าร่วมงานสัมมนาออนไลน์ฟรี VMware EVOLVE Online 2020 งานสัมมนาออนไลน์ใหญ่จาก VMware ที่อัปเดตเทคโนโลยีล่าสุดพร้อมกันทั่วโลก พร้อมทำ Online Hands-on Lab เพื่อทำความรู้จักกับ VMware vSphere 7, VMware Tanzu Mission Control, Container, Software-Defined Networking, Hybrid Cloud และ VMware Cloud on AWS ซึ่งสามารถเข้าร่วมในเวลาใดก็ได้จนถึงวันที่ 30 มิถุนายน 2020 พร้อมลุ้นรับรางวัลสุดพิเศษ Apple iPad Pro, Apple Watch, Apple AirPods Pro และ Bang & Olufsen BeoPlay E8 2.0 โดยมีรายละเอียดของกิจกรรมต่างๆ ภายในงาน และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้

[Video Webinar] แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” พร้อมเจาะลึกความต้องการของ พ.ร.บ.ฯ ฉบับดังกล่าว และทำความรู้จักเทคโนโลยีแต่ละประเภทที่องค์กรสามารถนำไปประยุกต์ใช้เพื่อให้ตอบโจทย์ความต้องการเหล่านั้น ที่เพิ่งจัดไปเมื่อเดือนมีนาคมที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …