Breaking News
AMR | Citrix Webinar: The Next New Normal

พร้อมแฉความลับ !! Ransomware ตัวใหม่แบล็คเมลเหยื่อแทนการเข้ารหัส

Proofpoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึง Ransowmare รูปแบบใหม่ที่แพร่กระจายตัวผ่านแคมเปญ Malvertising โดยแทนที่จะเข้ารหัสไฟล์ข้อมูลของเหยื่อ กลับค้นหาข้อมูลความลับและขู่ว่าจะประจานสู่สาธารณะถ้าไม่จ่ายค่าไถ่

cdic_2015_sextortion_6

ขู่จะเผยแพร่ความลับหากไม่จ่ายค่าไถ่

Ransomware ดังกล่าวมีชื่อว่า Ransoc ซึ่งมีเป้าหมายหลักที่ผู้ใช้ที่เข้าเว็บโป๊ โดยแพร่กระจายตัวผ่านทางลิงค์โฆษณาที่แฝงอยู่บนหน้าเว็บ เมื่อเหยื่อเผลอกดลิงค์ดาวน์โหลดมัลแวร์มาติดตั้ง Ransoc จะทำการสแกนค้นหาชื่อไฟล์และข้อความเกี่ยวกับสื่อลามกอนาจาร ไม่ว่าจะเป็นไฟล์วิดีโอ ไฟล์ Torrent รวมไปถึงข้อมูลที่อยู่บน Skype, Facebook และ LinkedIn

จากนั้น Ransoc จะทำการล็อกหน้าจอของเหยื่อ แล้วนำข้อมูลที่จะได้จากการสแกนมาสร้าง “ประกาศบทลงโทษ (Penalty Notice)” ปลอมซึ่งคล้ายกับใบสั่งทางกฏหมาย แล้วเรียกร้องให้จ่ายค่าปรับ ในกรณีที่ไม่ทำตาม จะเผยแพร่ข้อมูลเหล่านั้นออกสู่สาธารณะซึ่งนอกจากเหยื่อจะเสียชื่อเสียง เกิดความอับอายแล้ว อาจถูกจับดำเนินคดีตามกฏหมายได้ นอกจากนี้ยังระบุอีกกว่า เงินค่าปรับจะถูกส่งคืนให้แก่เหยื่อ ถ้าเหยื่อไม่ถูกจับได้อีกครั้งในช่วงระยะเวลา 180 วัน

ransoc-notice

Ransoc ต่างจาก Ransomware ทั่วไปตรงที่ไม่มีการเข้ารหัสไฟล์ หรือขโมยข้อมูลสำคัญเช่น Username/Password แต่อย่างใด แต่ใช้วิธีข่มขู่เหยื่อโดยการประจานให้เกิดความอับอายในกรณีที่ไม่ยอมจ่ายค่าไถ่ นอกจากนี้ Ransoc ยังให้ชำระเงินผ่านทางบัตรเครดิตแทนที่จะเป็น Bitcoin ดังรูปด้านล่าง

ransoc-payment

อย่างไรก็ตาม การชำระเงินผ่านบัตรเครดิตแบบนี้ทำให้ตำรวจสามารถตามสืบสาวไปยังตัวคนร้ายได้ง่าย แสดงให้เห็นว่าแฮ็คเกอร์ต้องมั่นใจเป็นอย่างมากว่าเหยื่อจะไม่เปิดเผยความลับที่ถูกแบล็คเมลอย่างแน่นอน

วิธีการกำจัด Ransoc Ransomware

Ransoc จะทำการล็อกหน้าจอและเบราเซอร์เพื่อให้แสดงผลข้อความเรียกค่าไถ่แต่เพียงอย่างเดียว โดย Ransoc จะตรวจสอบ regedit, msconfig และ taskmgr ทุกๆ 100 มิลลิวินาที และจัดการ Kill processes เหล่านั้นทิ้งก่อนที่เหยื่อจะมีโอกาสปิดหรือหยุดการทำงานของมัลแวร์

แต่ข่าวดีคือ เหยื่อสามารถจัดการกับ Ransoc ได้โดยการรีสตาร์ทเครื่องคอมพิวเตอร์ แล้วเข้าระบบปฏิบัติการแบบ Safe Mode จากนั้นค้นหาและลบ Registry Keys ของ Ransoc ที่ช่วยให้มัลแวร์เริ่มการทำงานทุกครั้งเมื่อเปิดเครื่อง

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaErrorHandler

Registry Key แสดงให้เห็นว่า Ransoc ถูกรันจาก Shortcut ที่ชื่อว่า JavaErrorHandle.lnk ซึ่งเหยื่อสามารถกด Properties เพื่อตำแหน่งที่แท้จริงของมัลแวร์ได้ จากนั้นก็จัดการลบไฟล์มัลแวร์เหล่านั้นทิ้งไปซะ

ที่มา: http://www.bleepingcomputer.com/news/security/ransoc-ransomware-extorts-users-who-accessed-questionable-content/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เราคิดไกลพอหรือยัง กับการคิดให้ไกลกว่าโรคระบาด

แม้ยังเป็นประเด็นถกเถียงกันอยู่ว่า เรายังอยู่ในช่วงเริ่มต้นของการทำความเข้าใจผลพวงจากการระบาดของโควิด-19 ในระยะกลางและระยะยาว แต่ก็เป็นไปได้ว่าในอนาคตธุรกิจส่วนใหญ่จะต้องพิจารณา ถึงการเปลี่ยนแปลงในสาระสำคัญของกลยุทธ์ รูปแบบธุรกิจ และการดำเนินการต่างๆ ของตนเองด้วย ดูเหมือนว่าบรรดานักวิเคราะห์ต่างเห็นพ้องกันมากขึ้นเรื่อยๆ ว่าธุรกิจในอุตสาหกรรมต่างๆ จะต้องกลับมาครองตลาด ส่วนแบ่ง และลูกค้าได้อีกครั้ง การจะทำให้สำเร็จได้นั้น จำเป็นต้องอาศัยนวัตกรรมที่เร็วขึ้นและการตลาดที่ดียิ่งขึ้น …

[รีวิว] Samsung Galaxy XCover Pro และ Samsung Galaxy Tab Active Pro: Smartphone และ Tablet สำหรับภาคธุรกิจและอุตสาหกรรม ที่เน้นความทนทานและการปรับแต่งเพื่อการทำงาน

ทีมงาน TechTalkThai มีโอกาสได้ทดลองใช้งาน Samsung Galaxy XCover Pro อุปกรณ์ Smartphone รุ่นธุรกิจและอุตสาหกรรม กับ Samsung Galaxy Tab Active …