TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
McAfee Labs ได้ออกมาเปิดเผยถึงการค้นพบ Locky Ransomware ซึ่งจะทำการเข้ารหัสไฟล์ในเครื่องของเหยื่อเพื่อเรียกค่าไถ่แลกกับการถอดรหัสไฟล์เหล่านั้นคืน ที่จากเดิมใช้การแพร่กระจายผ่าน Macro ของไฟล์ Microsoft Office นั้น ได้เริ่มมีการแพร่กระจายผ่านทาง JavaScript แทนเป็นที่เรียบร้อยแล้ว
ตัว JavaScript นี้จะถูกทำ Obfuscate มาเป็นอย่างให้ตรวจสอบได้ยากว่าไฟล์นี้คือการโจมตีหรือไม่ และทำให้หลบเลี่ยงการตรวจจับของ Anti-malware ได้อย่างง่ายดาย อีกทั้งยังมีขนาดเล็ก และทำหน้าที่เพียงติดตั้ง Ransomware ตัวจริงมาทำการโจมตีเท่านั้น โดยจะเริ่มทำงานได้จากการที่เหยื่อเปิดไฟล์ซึ่งฝัง JavaScript นี้เอาไว้
ที่น่าสนใจอีกอย่างก็คือ Locky Ransomware นี้จะทำการตรวจสอบก่อนด้วยว่าระบบปฏิบัติการของผู้ใช้งานติดตั้งมาเป็นภาษารัสเซียหรือเปล่า ซึ่งถ้าตรวจพบว่าใช่ก็จะไม่ทำการโจมตี
ทางด้าน McAfee Labs ที่ออกมาเปิดเผยนี้ก็ยังได้แจ้งอีกด้วยว่าผลิตภัณฑ์กลุ่ม Intel Security นี้ก็มีการตรวจสอบ JavaScript และ Locky Ransomware ได้อยู่แล้วในปัจจุบัน
ที่มา: https://blogs.mcafee.com/mcafee-labs/locky-ransomware-rampage-javascript-downloader/
