Locky: Ransomware ใหม่แฝงมากับไฟล์ docx

Kevin Beaumont และ Larry Abrahms นักวิจัยจาก BleepingComputer ออกมาเผยถึงมัลแวร์เรียกค่าไถ่ หรือ Ransomware ตัวใหม่ที่ชื่อว่า “Locky” โดยจะแฝงตัวอยู่ในไฟล์ MS Word โดยอาศัยเทคนิคการทำ Social Engineering เพื่อหลอกให้เหยื่อเปิดไฟล์ ขณะนี้กำลังแพร่กระจายตัวด้วยอัตราเร็วที่สูงมาก ประมาณ 100,000 เครื่องต่อวัน

แฝงตัวอยู่ในไฟล์ invoice.docx หลอกให้เหยื่อยเปิดดู

Ransomware “Locky” อาศัยฟังก์ชัน Macro ที่อยู่ในไฟล์ MS Word ในการดาวน์โหลดตัวเองมาติดตั้งบนเครื่องของเหยื่อ โดยไฟล์ MS Word ดังกล่าวใช้ชื่อว่า “invoice.docx” ซึ่งแพร่กระจายตัวผ่านทาง Microsoft 365 หรือ Outlook ในรูปของไฟล์แนบ รอหลอกล่อให้เหยื่อที่ไม่ระมัดระวังเผลอเปิดไฟล์

locky_ransomware_1

Malicious Macro ต้นเหตุของหายนะ

เมื่อเหยื่อกดเปิดไฟล์ จะมีข้อความแจ้งว่าให้ “Enable Macros” ซึ่งถ้าเหยื่อเลือก Enable มัลแวร์ Locky จะถูกดาวน์โหลดจากเซิฟเวอร์ของแฮ็คเกอร์มาติดตั้งและเริ่มทำงานทันที Locky จะเข้ารหัสไฟล์ข้อมูล เอกสาร รูปภาพ วิดีโอ และอื่นๆ เปลี่ยนไฟล์เหล่านั้นให้มีนามสกุลเป็น .locky

จากนั้น Ransomware จะแสดงข้อความแจ้งเตือนเหยื่อเกี่ยวกับสถานการณ์ที่เกิดขึ้น พร้อมคำแนะนำในการติดตั้ง Tor เพื่อเข้าถึงหน้าเว็บไซต์ของแฮ็คเกอร์ใน Dark Web และจ่ายค่าไถ่สำหรับกุญแจปลดรหัส ซึ่งอยู่ที่ประมาณ 0.5 – 2 Bitcoins (ประมาณ 7,500 – 30,000 บาท)

locky_ransomware_2

Network-based Backup Files ก็ถูกเข้ารหัสไปด้วย

จุดเด่นที่สำคัญของ Locky คือ สามารถเข้ารหัสไฟล์สำรองที่เก็บอยู่บนระบบเครือข่ายได้ นั่นหมายความว่า ถ้าอุปกรณ์คอมพิวเตอร์มีการเชื่อมต่อกับ Storage ที่ใช้สำรองข้อมูลบนเครื่อง ข้อมูลสำรองเหล่านั้นก็จะถูกเข้ารหัสไปด้วยเช่นกัน ผู้ดูแลระบบจึงควรวางแผนและติดตั้ง Backup Solution โดยพิจารณาถึงความเสี่ยงข้อนี้ด้วย

จะเห็นว่า แนวคิดของมัลแวร์ Locky ยังคงอาศัยเทคนิคเดิมๆ ไม่ว่าจะเป็นเรื่อง Email Phishing หรือการใช้ Macro ในการดาวน์โหลด Ransomware มาติดตั้งเพื่อเข้ารหัสไฟล์และเรียกค่าไถ่ แต่สิ่งหนึ่งที่ทำให้ Ransomware นี้แพร่กระจายตัวอย่างรวดเร็วและประสบความสำเร็จคือ เทคนิค Social Engineering พื้นฐานแต่ได้ผลขะงัด โดยอาศัยแค่ชื่อ “invoice.docx” ก็สามารถหลอกหล่อให้เหยื่อตายใจ เผลอกดเปิดไฟล์เข้าไปอ่าน เพียงแค่นี้เหยื่อก็ติดกับดักที่วางไว้แล้ว

locky_ransomware_3

ที่มา: http://thehackernews.com/2016/02/locky-ransomware-decrypt.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar : HPE ProLiant DX : The Best choice for Nutanix Hybrid Cloud Solutions

VST ECS ร่วมกับ Nutanix และ HPE ขอเรียนเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ “HPE ProLiant DX : The Best choice for …

Red Hat ออก RHEL 8.7 และ 9.1 เวอร์ชัน Beta

Red Hat ได้ประกาศออก RHEL เวอร์ชันเบต้นของ 8.1 และ 9.1 แล้วโดยมีฟีเจอร์ที่น่าสนใจดังนี้