TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Kevin Beaumont และ Larry Abrahms นักวิจัยจาก BleepingComputer ออกมาเผยถึงมัลแวร์เรียกค่าไถ่ หรือ Ransomware ตัวใหม่ที่ชื่อว่า “Locky” โดยจะแฝงตัวอยู่ในไฟล์ MS Word โดยอาศัยเทคนิคการทำ Social Engineering เพื่อหลอกให้เหยื่อเปิดไฟล์ ขณะนี้กำลังแพร่กระจายตัวด้วยอัตราเร็วที่สูงมาก ประมาณ 100,000 เครื่องต่อวัน
แฝงตัวอยู่ในไฟล์ invoice.docx หลอกให้เหยื่อยเปิดดู
Ransomware “Locky” อาศัยฟังก์ชัน Macro ที่อยู่ในไฟล์ MS Word ในการดาวน์โหลดตัวเองมาติดตั้งบนเครื่องของเหยื่อ โดยไฟล์ MS Word ดังกล่าวใช้ชื่อว่า “invoice.docx” ซึ่งแพร่กระจายตัวผ่านทาง Microsoft 365 หรือ Outlook ในรูปของไฟล์แนบ รอหลอกล่อให้เหยื่อที่ไม่ระมัดระวังเผลอเปิดไฟล์
Malicious Macro ต้นเหตุของหายนะ
เมื่อเหยื่อกดเปิดไฟล์ จะมีข้อความแจ้งว่าให้ “Enable Macros” ซึ่งถ้าเหยื่อเลือก Enable มัลแวร์ Locky จะถูกดาวน์โหลดจากเซิฟเวอร์ของแฮ็คเกอร์มาติดตั้งและเริ่มทำงานทันที Locky จะเข้ารหัสไฟล์ข้อมูล เอกสาร รูปภาพ วิดีโอ และอื่นๆ เปลี่ยนไฟล์เหล่านั้นให้มีนามสกุลเป็น .locky
จากนั้น Ransomware จะแสดงข้อความแจ้งเตือนเหยื่อเกี่ยวกับสถานการณ์ที่เกิดขึ้น พร้อมคำแนะนำในการติดตั้ง Tor เพื่อเข้าถึงหน้าเว็บไซต์ของแฮ็คเกอร์ใน Dark Web และจ่ายค่าไถ่สำหรับกุญแจปลดรหัส ซึ่งอยู่ที่ประมาณ 0.5 – 2 Bitcoins (ประมาณ 7,500 – 30,000 บาท)
Network-based Backup Files ก็ถูกเข้ารหัสไปด้วย
จุดเด่นที่สำคัญของ Locky คือ สามารถเข้ารหัสไฟล์สำรองที่เก็บอยู่บนระบบเครือข่ายได้ นั่นหมายความว่า ถ้าอุปกรณ์คอมพิวเตอร์มีการเชื่อมต่อกับ Storage ที่ใช้สำรองข้อมูลบนเครื่อง ข้อมูลสำรองเหล่านั้นก็จะถูกเข้ารหัสไปด้วยเช่นกัน ผู้ดูแลระบบจึงควรวางแผนและติดตั้ง Backup Solution โดยพิจารณาถึงความเสี่ยงข้อนี้ด้วย
จะเห็นว่า แนวคิดของมัลแวร์ Locky ยังคงอาศัยเทคนิคเดิมๆ ไม่ว่าจะเป็นเรื่อง Email Phishing หรือการใช้ Macro ในการดาวน์โหลด Ransomware มาติดตั้งเพื่อเข้ารหัสไฟล์และเรียกค่าไถ่ แต่สิ่งหนึ่งที่ทำให้ Ransomware นี้แพร่กระจายตัวอย่างรวดเร็วและประสบความสำเร็จคือ เทคนิค Social Engineering พื้นฐานแต่ได้ผลขะงัด โดยอาศัยแค่ชื่อ “invoice.docx” ก็สามารถหลอกหล่อให้เหยื่อตายใจ เผลอกดเปิดไฟล์เข้าไปอ่าน เพียงแค่นี้เหยื่อก็ติดกับดักที่วางไว้แล้ว
ที่มา: http://thehackernews.com/2016/02/locky-ransomware-decrypt.html
