Mobile Threat: มัลแวร์เรียกค่าไถ่รัวๆ

ช่วงนี้มีมัลแวร์เรียกค่าไถ่ หรือที่เรียกว่า Ransomware บน Android ถูกตรวจพบเป็นจำนวนมาก ไม่ว่าจะเป็น Simplelocker, Sex xonix หรือแฝงตัวมาในรูปของแอพปลอม เช่น FLVplayer เป็นต้น ซึ่งมัลแวร์เหล่านี้ส่วนใหญ่เมื่อฝังตัวลงบนอุปกรณ์แล้ว จะทำการเข้ารหัสข้อมูลเอกสาร, รูปถ่าย หรือไฟล์อื่นๆบนเครื่องของเรา นอกเสียจากจะจ่ายเงินค่าไถ่ให้แฮ็คเกอร์เพื่อแลกกับ Key ในการถอดรหัส

Fortinet บริษัทชั้นนำด้านระบบรักษาความปลอดภัยบนเครือข่ายได้รวบรวมข้อมูลของ Ransomware ทั้งบน Android และ iOS ทั้งหมดที่ตรวจจับได้มาเผยแพร่ให้ผู้ใช้อุปกรณ์เคลื่อนที่ได้ระมัดระวังกัน ดังนี้

1. Android Defender (Android/FakeDefend.A!tr)

แอพพลิเคชันป้องกันไวรัสปลอม ซึ่งจะแกล้งสแกนอุปกรณ์และแจ้งเตือนว่ามีไวรัสอยู่เป็นจำนวนมาก แล้วให้เหยื่อจ่ายเงินเพื่อซื้อ Full Subscription ในการจัดการไวรัสเหล่านั้น

ระบบปฏิบัติการ: Android
อันตราย:

• ถ้าเหยื่อซื้อ Subscription ข้อมูลบัตรเครดิตจะถูกส่งไปยังเซิฟเวอร์ของแฮ็คเกอร์แบบ “ไม่มีการเข้ารหัส” ทันที
• System Process และ Process ที่เกี่ยวกับแอพป้องกันไวรัสจริงๆบนเครื่องจะถูก Kill
• Android Package บน SD Card จะถูกลบ ซึ่งเป็นไปได้ที่จะลบแอพพลิเคชัน รวมทั้ง Rom Backup ไปด้วย
• หลังจากนั้น 6 ชั่วโมง หน้าจออุปกรณ์จะถูกล็อก ไม่สามารถใช้งานได้อีกต่อไป

การยกเลิกการติดตั้ง: ไม่สามารถทำได้ ล้างเครื่องใหม่อย่างเดียว
ความเสียหายต่อข้อมูลของผู้ใช้: ไม่มี (ถึงแม้ว่า Backup ของแอพพลิเคชันจะถูกลบไปก็ตาม)

2. BaDoink (Android/Koler.A!tr)

Ransomware ชนิดนี้ไม่ได้ก่อความเสียหายแก่ข้อมูลบนเครื่องของเหยื่อ แต่จะล็อกหน้าจอโดยใช้ประกาศแจ้งเตือนจากหน่วยงานตำรวจของพื้นที่ที่เหยื่ออาศัยอยู่

ระบบปฏิบัติการ: Android
อันตราย: เมื่อมัลแวร์ถูกติดตั้งจะล็อกหน้าจอให้ไม่สามารถใช้งานอุปกรณ์ได้
การยกเลิกการติดตั้ง: รีบูทเครื่องใน Safe Mode และ Uninstall แอพทิ้ง หรือล้างเครื่องใหม่
ความเสียหายต่อข้อมูลของผู้ใช้: ไม่มี

3. iCloud “Oleg Pliss” Ransomware

การเรียกค่าไถ่นี้ไม่ได้มาจาก Ransomware แต่แฮ็คเกอร์ใช้วิธีแฮ็คเข้า iCloud แล้วใช้ Find My iPhone ให้การล็อกเครื่อง แสดงข้อความบนหน้าจอเพื่อเรียกค่าไถ่ในการปลดล็อก (ไม่เป็นผลกับ Apple iOS ที่มี Passcode ใช้งานอยู่แล้ว)

ระบบปฏิบัติการ: Apple iOS
อันตราย:

• หน้าจอจะถูกล็อกด้วยรหัส Passcode และขึ้นข้อความเรียกค่าไถ่สำหรับปลดล็อกอุปกรณ์
• ข้อมูลบน iCloud อาจถูกขโมย แก้ไข หรือสูญหายเนื่องจากแฮ็คเกอร์ได้

การยกเลิกการติดตั้ง: ไม่มีอะไรให้ Uninstall แก้ไขโดย Reset เครื่องแล้ว Restore ข้อมูลที่สำรองไว้ (วิธีการ Reset)
ความเสียหายต่อข้อมูลของผู้ใช้: ข้อมูล Calendar, Contact และอื่นๆที่อยู่บน iCloud อาจถูกลบหรือขโมยโดยแฮ็คเกอร์ได้

4. Sex xonix หรือ Shadow Fight 2 (Android/Pletor.A!tr / Simplelocker)

ถือว่าเป็น Ransomware ตัวแรกบน Android ที่เข้ารหัสข้อมูล แล้วเรียกร้องให้จ่ายค่าไถ่สำหรับการปลดรหัส

ระบบปฏิบัติการ: Android
อันตราย:

• ส่งข้อความ Hearbeet ไปยังเซิฟเวอร์ C&C ผ่าน TOR
• ไฟล์นามสกุล jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp และ mp4 จะถูกเข้ารหัสทั้งหมด โดยใช้อัลกอริธึม AES
• ต่อให้ Uninstall แอพพลิเคชันบน Safe Mode ก็ยังไม่สามารถปลดรหัสได้

การยกเลิกการติดตั้ง: รีบูทเครื่องใน Safe Mode และ Uninstall แอพทิ้ง หรือล้างเครื่องใหม่
ความเสียหายต่อข้อมูลของผู้ใช้: ข้อมูลถูกเข้ารหัสโดย AES ซึ่งตอนนี้สามารถปลดรหัสได้โดยใช้ Avast! Ransomware Removal (ดาวน์โหลดได้ผ่าน Google Play Store)

5. FLVplayer, Release หรือ DayWeekBar (Android/Pletor.B!tr / Simplelocker)

Ransomware ตระกูลเดียวกันกับตัวก่อนหน้านี้ แต่แตกต่างกันตรงที่ มันสามารถอ่าน SMS ได้ ซึ่งเมื่อได้รับ SMS ที่มี “คีย์เวิร์ดพิเศษ” จากแฮ็คเกอร์ มันจะหยุดทำงาน และปลดรหัสไฟล์ข้อมูลทั้งหมดทันที (ตรงข้ามกับตัวก่อนที่จะหยุดการทำงานและปลดรหัสผ่านทางเซิฟเวอร์ C&C)

คำแนะนำจากทีมงาน TechTalkThai

• ติดตั้งแอพพลิเคชันผ่านทาง iTune Store หรือ Google Play Store เท่านั้น
• Backup ข้อมูลเป็นประจำ อย่างน้อยสัปดาห์ละครั้ง เพื่อที่ถ้ามีปัญหาเกิดขึ้น จะได้ restore ข้อมูลกลับคืนมาได้
• หลีกเลี่ยงการเข้าเว็บไซต์ที่ไม่พึงประสงค์ เช่น เว็บโป๊, เว็บการพนัน รวมถึงหลีกเลี่ยงลิงค์โฆษณาที่เด้งขึ้นมาให้กด
• อัพเดทระบบปฏิบัติการให้ล่าสุดอยู่เสมอ เช่น iOS 7.1.1 หรือ Android 4.4.4

* ภาพประกอบทั้งหมดมาจาก Blog ของ Fortinet

ที่มา: http://blog.fortinet.com/Mobile-Ransomware—Status-Quo/