เตือน Magniber Ransomware ตัวใหม่ ต้นกำเนิดเดียวกับ Cerber

Michael Gillespie นักวิจัยความมั่นคงปลอดภัยออกมาแจ้งเตือนถึง Ransomware ตัวใหม่หรือที่เรียกว่า Magniber ซึ่งน่าจะมีต้นกำเนิดมาจาก Cerber Ransomware ที่เคยเกิดขึ้นก่อนหน้าที่ โดยมีจุดประสงค์เพื่อมุ่งโจมตีเหยื่อในเกาหลีใต้

จากรายงานของ Trend Macro พบว่ามัลแวร์ตัวนี้ได้มีจุดประสงค์ เพื่อโจมตีผู้ใช้งานในกลุ่มประเทศเกาหลีใต้ที่เข้าไปในหน้าเว็บไซต์ที่มีโฆษณาอันตรายแฝงอยู่ โดยนักวิจัยเชื่อว่าการที่ Magniber และ Cerber มีหน้าไซต์ในการจ่ายเงินที่เหมือนกันอาจจะทำให้ Ransomware สองตัวนี้มีความเชื่อมโยงกันอยู่บ้าง

Magniber มีวิธีการเข้าหน้าจ่ายเงินที่เป็นของตัวเองคือมีการสร้าง ID ให้เหยื่อแต่ละรายแตกต่างกัน เมื่อศึกษาถึงกระบวนกระโจมนั้นพบว่า Magniber จะเข้าไปเช็คภาษาเครื่องก่อนว่าเป็นภาษาเกาหลีหรือไม่ ถ้าใช่มันถึงจะเริ่มทำงาน โดยการเข้ารหัสไฟล์ที่มีนามสกุลในกลุ่มเป้าหมายและต่อท้ายนามสุกลของไฟล์ด้วย .ihsdj หรือ .kgpvwnr ในขณะเข้ารหัสนั้น Magniber จะสร้างบันทึกชื่อ READ_ME_FOR_DECRYPT_[id].txt ในแต่ละโฟลเดอร์ที่ไฟล์ถูกเข้ารหัส ภายในเนื้อหานั้นจะมีลิงค์ URL สำหรับการจ่ายค่าไถ่อยู่ ซึ่งจะบอกขั้นตอนตั้งแต่การซื้อ Bitcoin และวิธีการจ่ายค่าไถ่ว่าต้องทำอย่างไร

วิธีการป้องกัน Magniber Ransomware

โชคดีที่ Ransomware ตัวนี้อาจจะถูกถอดรหัสแก้ไขได้ ดังนั้นก็อย่าไปหลงเชื่อเสียเงินให้แฮ็คเกอร์โดยเด็ดขาด (ดูวิธีแก้ไขได้ตาม ลิงค์นี้) อย่างไรก็ตามทางที่ดีที่สุดคือสร้างนิสัยการใช้งานคอมพิวเตอร์และซอฟแวร์ให้มั่นคงปลอดภัยดังนี้

• สำรองข้อมูลให้ถูกต้องและครบถ้วน พร้อมทั้งตรวจสอบสม่ำเสมอว่าข้อมูลสามารถกู้คืนกลับมาได้เมื่อมีเหตุการณ์ผิดปกตเกิดขึ้น
• หาโปรแกรมที่มีการตรวจจับมัลแวร์เชิงพฤติกรรมอย่าง Emsisoft Antimalware ,Malwarebytes หรือ HitmanPro Alert มาใช้งาน
• อย่าเปิดไฟล์ที่ไม่น่าไว้วางใจจนกระทั่งพิสูจน์ได้ว่าคนนั้นสามารถเชื่อถือได้และตั้งใจส่งมาจริงๆ
• ตั้งรหัสผ่านให้ยากและอย่านำกลับมาใช้ซ้ำอีกในเว็บไซต์อื่นๆ
• หมั่นอัพเดตซอฟต์แวร์ให้ล่าสุดอยู่เสมอ เช่น Window ,Java ,Adobe Reader ,Flash หรือโปรแกรมอื่นๆ

ที่มาและเครดิตรูปภาพ : https://www.bleepingcomputer.com/news/security/goodbye-cerber-hello-magniber-ransomware/