พบ Ransomware หลอกเป็นเกม Pokemon Go บน Windows

Michael Gillespie ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย ออกมาเตือนถึง Ransomware ตัวใหม่ที่หลอกผู้ใช้ว่าเป็นเกม Pokemon Go สำหรับเล่นบน Windows ซึ่งนอกจากจะเข้ารหัสไฟล์เรียกค่าไถ่แล้ว ยังสร้าง Backdoor สำหรับใช้ขโมยข้อมูลและกระจายตัวไปยังไดรฟ์อื่นๆ ได้

แพร่กระจายตัวและเข้ารหัสเหมือน Ransomware ทั่วไป

PokemonGo Ransomware แพร่กระจายตัวเหมือน Ransomware ทั่วๆ ไป คือ ผ่านทางอีเมล Phishing เมื่อผู้ใช้เผลอดาวน์โหลดและติดตั้งลงบนเครื่องแล้ว มัลแวร์จะทำการเข้ารหัสไฟล์ข้อมูลทั้งหมดโดยใช้อัลกอริธึมแบบ AES และต่อท้ายนามสกุลไฟล์ด้วย .locked จากนั้นจะแสดงข้อความเรียกค่าไถ่ซึ่งระบุว่าให้ติดต่อ me.blackhat20152015@mt2015.com เพื่อรับทราบวิธีจ่ายค่าไถ่

แถม Backdoor และแพร่กระจายตัวไปไดรฟ์อื่นๆ

นอกจากเข้ารหัสข้อมูลแล้ว PokemonGo Ransomware ยังมีฟีเจอร์เสริมที่ไม่ค่อยพบใน Ransowmare เท่าไหร่นัก นั่นคือการสร้าง Windows Account บน Admin Group สำหรับใช้เป็น Backdoor เพื่อเข้าถึงเครื่องของเหยื่อในอนาคต แพร่กระจายตัวเองไปยังไดรฟ์อื่นๆ เพื่อเข้ารหัสไฟล์ข้อมูลต่อ และสร้าง Network Shares นอกจากนี้ หลังจากตรวจสอบโค้ดดูแล้ว พบว่ามัลแวร์ดังกล่าวกำลังอยู่ในเฟสพัฒนา คาดว่าแฮ็คเกอร์จะมีการเพิ่มฟีเจอร์อื่นๆ เข้าไปอีก

พุ่งเป้าเหยื่อชาวอาหรับ

PokemonGo Ransomware ถูกออกแบบมาเพื่อโจมตีชาวอาหรับโดยเฉพาะ เนื่องจากชื่อไฟล์และข้อความเรียกค่าไถ่ถูกเขียนเป็นภาษาอารบิค คือ هام جدا.txt ซึ่งเป็นว่า สำคัญมาก.txt

เนื้อหาของข้อความเรียกค่าไถ่:

(: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا

แปลเป็นภาษาไทย:

(: ไฟล์ของคุณถูกเข้ารหัสเรียบร้อยแล้ว ติดต่อ Falaksa Mobilis ตามอีเมลแอดเดรส me.blackhat20152015@mt2015.com และขอบคุณล่วงหน้าสำหรับความใจดีของคุณ

รายละเอียดเพิ่มเติม: http://www.bleepingcomputer.com/news/security/pokemongo-ransomware-installs-backdoor-accounts-and-spreads-to-other-drives/