Locky: Ransomware ใหม่แฝงมากับไฟล์ docx

Kevin Beaumont และ Larry Abrahms นักวิจัยจาก BleepingComputer ออกมาเผยถึงมัลแวร์เรียกค่าไถ่ หรือ Ransomware ตัวใหม่ที่ชื่อว่า “Locky” โดยจะแฝงตัวอยู่ในไฟล์ MS Word โดยอาศัยเทคนิคการทำ Social Engineering เพื่อหลอกให้เหยื่อเปิดไฟล์ ขณะนี้กำลังแพร่กระจายตัวด้วยอัตราเร็วที่สูงมาก ประมาณ 100,000 เครื่องต่อวัน

แฝงตัวอยู่ในไฟล์ invoice.docx หลอกให้เหยื่อยเปิดดู

Ransomware “Locky” อาศัยฟังก์ชัน Macro ที่อยู่ในไฟล์ MS Word ในการดาวน์โหลดตัวเองมาติดตั้งบนเครื่องของเหยื่อ โดยไฟล์ MS Word ดังกล่าวใช้ชื่อว่า “invoice.docx” ซึ่งแพร่กระจายตัวผ่านทาง Microsoft 365 หรือ Outlook ในรูปของไฟล์แนบ รอหลอกล่อให้เหยื่อที่ไม่ระมัดระวังเผลอเปิดไฟล์

locky_ransomware_1

Malicious Macro ต้นเหตุของหายนะ

เมื่อเหยื่อกดเปิดไฟล์ จะมีข้อความแจ้งว่าให้ “Enable Macros” ซึ่งถ้าเหยื่อเลือก Enable มัลแวร์ Locky จะถูกดาวน์โหลดจากเซิฟเวอร์ของแฮ็คเกอร์มาติดตั้งและเริ่มทำงานทันที Locky จะเข้ารหัสไฟล์ข้อมูล เอกสาร รูปภาพ วิดีโอ และอื่นๆ เปลี่ยนไฟล์เหล่านั้นให้มีนามสกุลเป็น .locky

จากนั้น Ransomware จะแสดงข้อความแจ้งเตือนเหยื่อเกี่ยวกับสถานการณ์ที่เกิดขึ้น พร้อมคำแนะนำในการติดตั้ง Tor เพื่อเข้าถึงหน้าเว็บไซต์ของแฮ็คเกอร์ใน Dark Web และจ่ายค่าไถ่สำหรับกุญแจปลดรหัส ซึ่งอยู่ที่ประมาณ 0.5 – 2 Bitcoins (ประมาณ 7,500 – 30,000 บาท)

locky_ransomware_2

Network-based Backup Files ก็ถูกเข้ารหัสไปด้วย

จุดเด่นที่สำคัญของ Locky คือ สามารถเข้ารหัสไฟล์สำรองที่เก็บอยู่บนระบบเครือข่ายได้ นั่นหมายความว่า ถ้าอุปกรณ์คอมพิวเตอร์มีการเชื่อมต่อกับ Storage ที่ใช้สำรองข้อมูลบนเครื่อง ข้อมูลสำรองเหล่านั้นก็จะถูกเข้ารหัสไปด้วยเช่นกัน ผู้ดูแลระบบจึงควรวางแผนและติดตั้ง Backup Solution โดยพิจารณาถึงความเสี่ยงข้อนี้ด้วย

จะเห็นว่า แนวคิดของมัลแวร์ Locky ยังคงอาศัยเทคนิคเดิมๆ ไม่ว่าจะเป็นเรื่อง Email Phishing หรือการใช้ Macro ในการดาวน์โหลด Ransomware มาติดตั้งเพื่อเข้ารหัสไฟล์และเรียกค่าไถ่ แต่สิ่งหนึ่งที่ทำให้ Ransomware นี้แพร่กระจายตัวอย่างรวดเร็วและประสบความสำเร็จคือ เทคนิค Social Engineering พื้นฐานแต่ได้ผลขะงัด โดยอาศัยแค่ชื่อ “invoice.docx” ก็สามารถหลอกหล่อให้เหยื่อตายใจ เผลอกดเปิดไฟล์เข้าไปอ่าน เพียงแค่นี้เหยื่อก็ติดกับดักที่วางไว้แล้ว

locky_ransomware_3

ที่มา: http://thehackernews.com/2016/02/locky-ransomware-decrypt.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Cyber Threat Alliance – Making the Impossible Possible and WAN Edge Transformation

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Webinar เรื่อง “Cyber Threat Alliance – Making the Impossible Possible and WAN Edge Transformation” …

Qlik เข้าซื้อกิจการ Blendr.io เสริมการทำ iPaaS ช่วยดึงข้อมูลโดยอัตโนมัติมาทำการวิเคราะห์ได้ง่ายขึ้น

Qlik ได้ประกาศถึงการเข้าซื้อกิจการของ Belndr.io ผู้พัฒนาโซลูชัน Embedded Integration and Automation Platform (iPaaS) สำหรับใช้ในการผสานดึงข้อมูลจากบริการ SaaS และ Cloud มาใช้ในการวิเคราะห์ได้ในอัตโนมัติและ Real-Time ยิ่งขึ้น