Locky: Ransomware ใหม่แฝงมากับไฟล์ docx

February 20, 2016 Cybersecurity, Endpoint Security, Microsoft, Products, Threats Update

Kevin Beaumont และ Larry Abrahms นักวิจัยจาก BleepingComputer ออกมาเผยถึงมัลแวร์เรียกค่าไถ่ หรือ Ransomware ตัวใหม่ที่ชื่อว่า “Locky” โดยจะแฝงตัวอยู่ในไฟล์ MS Word โดยอาศัยเทคนิคการทำ Social Engineering เพื่อหลอกให้เหยื่อเปิดไฟล์ ขณะนี้กำลังแพร่กระจายตัวด้วยอัตราเร็วที่สูงมาก ประมาณ 100,000 เครื่องต่อวัน

แฝงตัวอยู่ในไฟล์ invoice.docx หลอกให้เหยื่อยเปิดดู

Ransomware “Locky” อาศัยฟังก์ชัน Macro ที่อยู่ในไฟล์ MS Word ในการดาวน์โหลดตัวเองมาติดตั้งบนเครื่องของเหยื่อ โดยไฟล์ MS Word ดังกล่าวใช้ชื่อว่า “invoice.docx” ซึ่งแพร่กระจายตัวผ่านทาง Microsoft 365 หรือ Outlook ในรูปของไฟล์แนบ รอหลอกล่อให้เหยื่อที่ไม่ระมัดระวังเผลอเปิดไฟล์

locky_ransomware_1

Malicious Macro ต้นเหตุของหายนะ

เมื่อเหยื่อกดเปิดไฟล์ จะมีข้อความแจ้งว่าให้ “Enable Macros” ซึ่งถ้าเหยื่อเลือก Enable มัลแวร์ Locky จะถูกดาวน์โหลดจากเซิฟเวอร์ของแฮ็คเกอร์มาติดตั้งและเริ่มทำงานทันที Locky จะเข้ารหัสไฟล์ข้อมูล เอกสาร รูปภาพ วิดีโอ และอื่นๆ เปลี่ยนไฟล์เหล่านั้นให้มีนามสกุลเป็น .locky

จากนั้น Ransomware จะแสดงข้อความแจ้งเตือนเหยื่อเกี่ยวกับสถานการณ์ที่เกิดขึ้น พร้อมคำแนะนำในการติดตั้ง Tor เพื่อเข้าถึงหน้าเว็บไซต์ของแฮ็คเกอร์ใน Dark Web และจ่ายค่าไถ่สำหรับกุญแจปลดรหัส ซึ่งอยู่ที่ประมาณ 0.5 – 2 Bitcoins (ประมาณ 7,500 – 30,000 บาท)

locky_ransomware_2

Network-based Backup Files ก็ถูกเข้ารหัสไปด้วย

จุดเด่นที่สำคัญของ Locky คือ สามารถเข้ารหัสไฟล์สำรองที่เก็บอยู่บนระบบเครือข่ายได้ นั่นหมายความว่า ถ้าอุปกรณ์คอมพิวเตอร์มีการเชื่อมต่อกับ Storage ที่ใช้สำรองข้อมูลบนเครื่อง ข้อมูลสำรองเหล่านั้นก็จะถูกเข้ารหัสไปด้วยเช่นกัน ผู้ดูแลระบบจึงควรวางแผนและติดตั้ง Backup Solution โดยพิจารณาถึงความเสี่ยงข้อนี้ด้วย

จะเห็นว่า แนวคิดของมัลแวร์ Locky ยังคงอาศัยเทคนิคเดิมๆ ไม่ว่าจะเป็นเรื่อง Email Phishing หรือการใช้ Macro ในการดาวน์โหลด Ransomware มาติดตั้งเพื่อเข้ารหัสไฟล์และเรียกค่าไถ่ แต่สิ่งหนึ่งที่ทำให้ Ransomware นี้แพร่กระจายตัวอย่างรวดเร็วและประสบความสำเร็จคือ เทคนิค Social Engineering พื้นฐานแต่ได้ผลขะงัด โดยอาศัยแค่ชื่อ “invoice.docx” ก็สามารถหลอกหล่อให้เหยื่อตายใจ เผลอกดเปิดไฟล์เข้าไปอ่าน เพียงแค่นี้เหยื่อก็ติดกับดักที่วางไว้แล้ว

locky_ransomware_3

ที่มา: http://thehackernews.com/2016/02/locky-ransomware-decrypt.html

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Elastic 9.4 ออกแล้ว

Elastic ได้ออกมาประกาศเปิดตัว Elastic 9.4 อย่างเป็นทางการ โดยเพิ่มความสามารถในการตรวจสอบการทำงานของ Context Engineering, Application และ Infrastructure เพิ่มเติม, เสริม AI ในการรักษาความมั่นคงปลอดภัย และเพิ่มความสามารถอื่นๆ อีกมากมาย ดังนี้

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand