พร้อมแฉความลับ !! Ransomware ตัวใหม่แบล็คเมลเหยื่อแทนการเข้ารหัส

Proofpoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึง Ransowmare รูปแบบใหม่ที่แพร่กระจายตัวผ่านแคมเปญ Malvertising โดยแทนที่จะเข้ารหัสไฟล์ข้อมูลของเหยื่อ กลับค้นหาข้อมูลความลับและขู่ว่าจะประจานสู่สาธารณะถ้าไม่จ่ายค่าไถ่

cdic_2015_sextortion_6

ขู่จะเผยแพร่ความลับหากไม่จ่ายค่าไถ่

Ransomware ดังกล่าวมีชื่อว่า Ransoc ซึ่งมีเป้าหมายหลักที่ผู้ใช้ที่เข้าเว็บโป๊ โดยแพร่กระจายตัวผ่านทางลิงค์โฆษณาที่แฝงอยู่บนหน้าเว็บ เมื่อเหยื่อเผลอกดลิงค์ดาวน์โหลดมัลแวร์มาติดตั้ง Ransoc จะทำการสแกนค้นหาชื่อไฟล์และข้อความเกี่ยวกับสื่อลามกอนาจาร ไม่ว่าจะเป็นไฟล์วิดีโอ ไฟล์ Torrent รวมไปถึงข้อมูลที่อยู่บน Skype, Facebook และ LinkedIn

จากนั้น Ransoc จะทำการล็อกหน้าจอของเหยื่อ แล้วนำข้อมูลที่จะได้จากการสแกนมาสร้าง “ประกาศบทลงโทษ (Penalty Notice)” ปลอมซึ่งคล้ายกับใบสั่งทางกฏหมาย แล้วเรียกร้องให้จ่ายค่าปรับ ในกรณีที่ไม่ทำตาม จะเผยแพร่ข้อมูลเหล่านั้นออกสู่สาธารณะซึ่งนอกจากเหยื่อจะเสียชื่อเสียง เกิดความอับอายแล้ว อาจถูกจับดำเนินคดีตามกฏหมายได้ นอกจากนี้ยังระบุอีกกว่า เงินค่าปรับจะถูกส่งคืนให้แก่เหยื่อ ถ้าเหยื่อไม่ถูกจับได้อีกครั้งในช่วงระยะเวลา 180 วัน

ransoc-notice

Ransoc ต่างจาก Ransomware ทั่วไปตรงที่ไม่มีการเข้ารหัสไฟล์ หรือขโมยข้อมูลสำคัญเช่น Username/Password แต่อย่างใด แต่ใช้วิธีข่มขู่เหยื่อโดยการประจานให้เกิดความอับอายในกรณีที่ไม่ยอมจ่ายค่าไถ่ นอกจากนี้ Ransoc ยังให้ชำระเงินผ่านทางบัตรเครดิตแทนที่จะเป็น Bitcoin ดังรูปด้านล่าง

ransoc-payment

อย่างไรก็ตาม การชำระเงินผ่านบัตรเครดิตแบบนี้ทำให้ตำรวจสามารถตามสืบสาวไปยังตัวคนร้ายได้ง่าย แสดงให้เห็นว่าแฮ็คเกอร์ต้องมั่นใจเป็นอย่างมากว่าเหยื่อจะไม่เปิดเผยความลับที่ถูกแบล็คเมลอย่างแน่นอน

วิธีการกำจัด Ransoc Ransomware

Ransoc จะทำการล็อกหน้าจอและเบราเซอร์เพื่อให้แสดงผลข้อความเรียกค่าไถ่แต่เพียงอย่างเดียว โดย Ransoc จะตรวจสอบ regedit, msconfig และ taskmgr ทุกๆ 100 มิลลิวินาที และจัดการ Kill processes เหล่านั้นทิ้งก่อนที่เหยื่อจะมีโอกาสปิดหรือหยุดการทำงานของมัลแวร์

แต่ข่าวดีคือ เหยื่อสามารถจัดการกับ Ransoc ได้โดยการรีสตาร์ทเครื่องคอมพิวเตอร์ แล้วเข้าระบบปฏิบัติการแบบ Safe Mode จากนั้นค้นหาและลบ Registry Keys ของ Ransoc ที่ช่วยให้มัลแวร์เริ่มการทำงานทุกครั้งเมื่อเปิดเครื่อง

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaErrorHandler

Registry Key แสดงให้เห็นว่า Ransoc ถูกรันจาก Shortcut ที่ชื่อว่า JavaErrorHandle.lnk ซึ่งเหยื่อสามารถกด Properties เพื่อตำแหน่งที่แท้จริงของมัลแวร์ได้ จากนั้นก็จัดการลบไฟล์มัลแวร์เหล่านั้นทิ้งไปซะ

ที่มา: http://www.bleepingcomputer.com/news/security/ransoc-ransomware-extorts-users-who-accessed-questionable-content/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google Search ปรับอัลกอริทึมเน้นเนื้อหาคุณภาพสูง เพราะ TikTok เริ่มแย่งผู้ใช้

Google ได้มีการปรับให้ Google Search สามารถแสดงผลการค้นหาที่มีคุณภาพอย่างแท้จริง มากกว่าเนื้อหาที่ผลิตมาเพื่อให้ติดอันดับ

OneMeta AI ได้รับการยอมรับให้เป็นส่วนหนึ่งของ Microsoft for Startups Founders Hub

OneMeta AI ออกมาประกาศได้รับการยอมรับให้เป็นส่วนหนึ่งของ Microsoft for Startups Founders Hub และยังมองว่าเป็นก้าวที่สำคัญที่มาถูกทางแล้ว