พร้อมแฉความลับ !! Ransomware ตัวใหม่แบล็คเมลเหยื่อแทนการเข้ารหัส

November 17, 2016 Cybersecurity, Endpoint Security, Products, Proofpoint, Threats Update, Web Security

Proofpoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึง Ransowmare รูปแบบใหม่ที่แพร่กระจายตัวผ่านแคมเปญ Malvertising โดยแทนที่จะเข้ารหัสไฟล์ข้อมูลของเหยื่อ กลับค้นหาข้อมูลความลับและขู่ว่าจะประจานสู่สาธารณะถ้าไม่จ่ายค่าไถ่

cdic_2015_sextortion_6

ขู่จะเผยแพร่ความลับหากไม่จ่ายค่าไถ่

Ransomware ดังกล่าวมีชื่อว่า Ransoc ซึ่งมีเป้าหมายหลักที่ผู้ใช้ที่เข้าเว็บโป๊ โดยแพร่กระจายตัวผ่านทางลิงค์โฆษณาที่แฝงอยู่บนหน้าเว็บ เมื่อเหยื่อเผลอกดลิงค์ดาวน์โหลดมัลแวร์มาติดตั้ง Ransoc จะทำการสแกนค้นหาชื่อไฟล์และข้อความเกี่ยวกับสื่อลามกอนาจาร ไม่ว่าจะเป็นไฟล์วิดีโอ ไฟล์ Torrent รวมไปถึงข้อมูลที่อยู่บน Skype, Facebook และ LinkedIn

จากนั้น Ransoc จะทำการล็อกหน้าจอของเหยื่อ แล้วนำข้อมูลที่จะได้จากการสแกนมาสร้าง “ประกาศบทลงโทษ (Penalty Notice)” ปลอมซึ่งคล้ายกับใบสั่งทางกฏหมาย แล้วเรียกร้องให้จ่ายค่าปรับ ในกรณีที่ไม่ทำตาม จะเผยแพร่ข้อมูลเหล่านั้นออกสู่สาธารณะซึ่งนอกจากเหยื่อจะเสียชื่อเสียง เกิดความอับอายแล้ว อาจถูกจับดำเนินคดีตามกฏหมายได้ นอกจากนี้ยังระบุอีกกว่า เงินค่าปรับจะถูกส่งคืนให้แก่เหยื่อ ถ้าเหยื่อไม่ถูกจับได้อีกครั้งในช่วงระยะเวลา 180 วัน

ransoc-notice

Ransoc ต่างจาก Ransomware ทั่วไปตรงที่ไม่มีการเข้ารหัสไฟล์ หรือขโมยข้อมูลสำคัญเช่น Username/Password แต่อย่างใด แต่ใช้วิธีข่มขู่เหยื่อโดยการประจานให้เกิดความอับอายในกรณีที่ไม่ยอมจ่ายค่าไถ่ นอกจากนี้ Ransoc ยังให้ชำระเงินผ่านทางบัตรเครดิตแทนที่จะเป็น Bitcoin ดังรูปด้านล่าง

ransoc-payment

อย่างไรก็ตาม การชำระเงินผ่านบัตรเครดิตแบบนี้ทำให้ตำรวจสามารถตามสืบสาวไปยังตัวคนร้ายได้ง่าย แสดงให้เห็นว่าแฮ็คเกอร์ต้องมั่นใจเป็นอย่างมากว่าเหยื่อจะไม่เปิดเผยความลับที่ถูกแบล็คเมลอย่างแน่นอน

วิธีการกำจัด Ransoc Ransomware

Ransoc จะทำการล็อกหน้าจอและเบราเซอร์เพื่อให้แสดงผลข้อความเรียกค่าไถ่แต่เพียงอย่างเดียว โดย Ransoc จะตรวจสอบ regedit, msconfig และ taskmgr ทุกๆ 100 มิลลิวินาที และจัดการ Kill processes เหล่านั้นทิ้งก่อนที่เหยื่อจะมีโอกาสปิดหรือหยุดการทำงานของมัลแวร์

แต่ข่าวดีคือ เหยื่อสามารถจัดการกับ Ransoc ได้โดยการรีสตาร์ทเครื่องคอมพิวเตอร์ แล้วเข้าระบบปฏิบัติการแบบ Safe Mode จากนั้นค้นหาและลบ Registry Keys ของ Ransoc ที่ช่วยให้มัลแวร์เริ่มการทำงานทุกครั้งเมื่อเปิดเครื่อง

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaErrorHandler

Registry Key แสดงให้เห็นว่า Ransoc ถูกรันจาก Shortcut ที่ชื่อว่า JavaErrorHandle.lnk ซึ่งเหยื่อสามารถกด Properties เพื่อตำแหน่งที่แท้จริงของมัลแวร์ได้ จากนั้นก็จัดการลบไฟล์มัลแวร์เหล่านั้นทิ้งไปซะ

ที่มา: http://www.bleepingcomputer.com/news/security/ransoc-ransomware-extorts-users-who-accessed-questionable-content/

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Elastic 9.4 ออกแล้ว

Elastic ได้ออกมาประกาศเปิดตัว Elastic 9.4 อย่างเป็นทางการ โดยเพิ่มความสามารถในการตรวจสอบการทำงานของ Context Engineering, Application และ Infrastructure เพิ่มเติม, เสริม AI ในการรักษาความมั่นคงปลอดภัย และเพิ่มความสามารถอื่นๆ อีกมากมาย ดังนี้

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand