พร้อมแฉความลับ !! Ransomware ตัวใหม่แบล็คเมลเหยื่อแทนการเข้ารหัส

Proofpoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึง Ransowmare รูปแบบใหม่ที่แพร่กระจายตัวผ่านแคมเปญ Malvertising โดยแทนที่จะเข้ารหัสไฟล์ข้อมูลของเหยื่อ กลับค้นหาข้อมูลความลับและขู่ว่าจะประจานสู่สาธารณะถ้าไม่จ่ายค่าไถ่

ขู่จะเผยแพร่ความลับหากไม่จ่ายค่าไถ่

Ransomware ดังกล่าวมีชื่อว่า Ransoc ซึ่งมีเป้าหมายหลักที่ผู้ใช้ที่เข้าเว็บโป๊ โดยแพร่กระจายตัวผ่านทางลิงค์โฆษณาที่แฝงอยู่บนหน้าเว็บ เมื่อเหยื่อเผลอกดลิงค์ดาวน์โหลดมัลแวร์มาติดตั้ง Ransoc จะทำการสแกนค้นหาชื่อไฟล์และข้อความเกี่ยวกับสื่อลามกอนาจาร ไม่ว่าจะเป็นไฟล์วิดีโอ ไฟล์ Torrent รวมไปถึงข้อมูลที่อยู่บน Skype, Facebook และ LinkedIn

จากนั้น Ransoc จะทำการล็อกหน้าจอของเหยื่อ แล้วนำข้อมูลที่จะได้จากการสแกนมาสร้าง “ประกาศบทลงโทษ (Penalty Notice)” ปลอมซึ่งคล้ายกับใบสั่งทางกฏหมาย แล้วเรียกร้องให้จ่ายค่าปรับ ในกรณีที่ไม่ทำตาม จะเผยแพร่ข้อมูลเหล่านั้นออกสู่สาธารณะซึ่งนอกจากเหยื่อจะเสียชื่อเสียง เกิดความอับอายแล้ว อาจถูกจับดำเนินคดีตามกฏหมายได้ นอกจากนี้ยังระบุอีกกว่า เงินค่าปรับจะถูกส่งคืนให้แก่เหยื่อ ถ้าเหยื่อไม่ถูกจับได้อีกครั้งในช่วงระยะเวลา 180 วัน

Ransoc ต่างจาก Ransomware ทั่วไปตรงที่ไม่มีการเข้ารหัสไฟล์ หรือขโมยข้อมูลสำคัญเช่น Username/Password แต่อย่างใด แต่ใช้วิธีข่มขู่เหยื่อโดยการประจานให้เกิดความอับอายในกรณีที่ไม่ยอมจ่ายค่าไถ่ นอกจากนี้ Ransoc ยังให้ชำระเงินผ่านทางบัตรเครดิตแทนที่จะเป็น Bitcoin ดังรูปด้านล่าง

อย่างไรก็ตาม การชำระเงินผ่านบัตรเครดิตแบบนี้ทำให้ตำรวจสามารถตามสืบสาวไปยังตัวคนร้ายได้ง่าย แสดงให้เห็นว่าแฮ็คเกอร์ต้องมั่นใจเป็นอย่างมากว่าเหยื่อจะไม่เปิดเผยความลับที่ถูกแบล็คเมลอย่างแน่นอน

วิธีการกำจัด Ransoc Ransomware

Ransoc จะทำการล็อกหน้าจอและเบราเซอร์เพื่อให้แสดงผลข้อความเรียกค่าไถ่แต่เพียงอย่างเดียว โดย Ransoc จะตรวจสอบ regedit, msconfig และ taskmgr ทุกๆ 100 มิลลิวินาที และจัดการ Kill processes เหล่านั้นทิ้งก่อนที่เหยื่อจะมีโอกาสปิดหรือหยุดการทำงานของมัลแวร์

แต่ข่าวดีคือ เหยื่อสามารถจัดการกับ Ransoc ได้โดยการรีสตาร์ทเครื่องคอมพิวเตอร์ แล้วเข้าระบบปฏิบัติการแบบ Safe Mode จากนั้นค้นหาและลบ Registry Keys ของ Ransoc ที่ช่วยให้มัลแวร์เริ่มการทำงานทุกครั้งเมื่อเปิดเครื่อง

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaErrorHandler

Registry Key แสดงให้เห็นว่า Ransoc ถูกรันจาก Shortcut ที่ชื่อว่า JavaErrorHandle.lnk ซึ่งเหยื่อสามารถกด Properties เพื่อตำแหน่งที่แท้จริงของมัลแวร์ได้ จากนั้นก็จัดการลบไฟล์มัลแวร์เหล่านั้นทิ้งไปซะ

ที่มา: http://www.bleepingcomputer.com/news/security/ransoc-ransomware-extorts-users-who-accessed-questionable-content/