พร้อมแฉความลับ !! Ransomware ตัวใหม่แบล็คเมลเหยื่อแทนการเข้ารหัส

Proofpoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึง Ransowmare รูปแบบใหม่ที่แพร่กระจายตัวผ่านแคมเปญ Malvertising โดยแทนที่จะเข้ารหัสไฟล์ข้อมูลของเหยื่อ กลับค้นหาข้อมูลความลับและขู่ว่าจะประจานสู่สาธารณะถ้าไม่จ่ายค่าไถ่

cdic_2015_sextortion_6

ขู่จะเผยแพร่ความลับหากไม่จ่ายค่าไถ่

Ransomware ดังกล่าวมีชื่อว่า Ransoc ซึ่งมีเป้าหมายหลักที่ผู้ใช้ที่เข้าเว็บโป๊ โดยแพร่กระจายตัวผ่านทางลิงค์โฆษณาที่แฝงอยู่บนหน้าเว็บ เมื่อเหยื่อเผลอกดลิงค์ดาวน์โหลดมัลแวร์มาติดตั้ง Ransoc จะทำการสแกนค้นหาชื่อไฟล์และข้อความเกี่ยวกับสื่อลามกอนาจาร ไม่ว่าจะเป็นไฟล์วิดีโอ ไฟล์ Torrent รวมไปถึงข้อมูลที่อยู่บน Skype, Facebook และ LinkedIn

จากนั้น Ransoc จะทำการล็อกหน้าจอของเหยื่อ แล้วนำข้อมูลที่จะได้จากการสแกนมาสร้าง “ประกาศบทลงโทษ (Penalty Notice)” ปลอมซึ่งคล้ายกับใบสั่งทางกฏหมาย แล้วเรียกร้องให้จ่ายค่าปรับ ในกรณีที่ไม่ทำตาม จะเผยแพร่ข้อมูลเหล่านั้นออกสู่สาธารณะซึ่งนอกจากเหยื่อจะเสียชื่อเสียง เกิดความอับอายแล้ว อาจถูกจับดำเนินคดีตามกฏหมายได้ นอกจากนี้ยังระบุอีกกว่า เงินค่าปรับจะถูกส่งคืนให้แก่เหยื่อ ถ้าเหยื่อไม่ถูกจับได้อีกครั้งในช่วงระยะเวลา 180 วัน

ransoc-notice

Ransoc ต่างจาก Ransomware ทั่วไปตรงที่ไม่มีการเข้ารหัสไฟล์ หรือขโมยข้อมูลสำคัญเช่น Username/Password แต่อย่างใด แต่ใช้วิธีข่มขู่เหยื่อโดยการประจานให้เกิดความอับอายในกรณีที่ไม่ยอมจ่ายค่าไถ่ นอกจากนี้ Ransoc ยังให้ชำระเงินผ่านทางบัตรเครดิตแทนที่จะเป็น Bitcoin ดังรูปด้านล่าง

ransoc-payment

อย่างไรก็ตาม การชำระเงินผ่านบัตรเครดิตแบบนี้ทำให้ตำรวจสามารถตามสืบสาวไปยังตัวคนร้ายได้ง่าย แสดงให้เห็นว่าแฮ็คเกอร์ต้องมั่นใจเป็นอย่างมากว่าเหยื่อจะไม่เปิดเผยความลับที่ถูกแบล็คเมลอย่างแน่นอน

วิธีการกำจัด Ransoc Ransomware

Ransoc จะทำการล็อกหน้าจอและเบราเซอร์เพื่อให้แสดงผลข้อความเรียกค่าไถ่แต่เพียงอย่างเดียว โดย Ransoc จะตรวจสอบ regedit, msconfig และ taskmgr ทุกๆ 100 มิลลิวินาที และจัดการ Kill processes เหล่านั้นทิ้งก่อนที่เหยื่อจะมีโอกาสปิดหรือหยุดการทำงานของมัลแวร์

แต่ข่าวดีคือ เหยื่อสามารถจัดการกับ Ransoc ได้โดยการรีสตาร์ทเครื่องคอมพิวเตอร์ แล้วเข้าระบบปฏิบัติการแบบ Safe Mode จากนั้นค้นหาและลบ Registry Keys ของ Ransoc ที่ช่วยให้มัลแวร์เริ่มการทำงานทุกครั้งเมื่อเปิดเครื่อง

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaErrorHandler

Registry Key แสดงให้เห็นว่า Ransoc ถูกรันจาก Shortcut ที่ชื่อว่า JavaErrorHandle.lnk ซึ่งเหยื่อสามารถกด Properties เพื่อตำแหน่งที่แท้จริงของมัลแวร์ได้ จากนั้นก็จัดการลบไฟล์มัลแวร์เหล่านั้นทิ้งไปซะ

ที่มา: http://www.bleepingcomputer.com/news/security/ransoc-ransomware-extorts-users-who-accessed-questionable-content/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Oracle เผย เขียนโค้ดบน Solaris ใหม่ เปลี่ยนจากภาษา C เป็น Python เร็วขึ้น 17 เท่า

ทีมพัฒนาจาก Oracle ได้ออกมาเผยถึงการเขียนคำสั่ง listusers บน Solaris ใหม่ จากเดิมที่เคยใช้ภาษา C ในการพัฒนา เปลี่ยนมาใช้ Python 3 และพบว่าคำสั่งนี้สามารถทำงานได้เร็วขึ้นถึง 17 เท่า ในขณะที่โค้ดมีความยาวน้อยลงกว่าเดิมถึง 10 เท่า

ชมย้อนหลัง งาน ISS & SAP User Conference 2019

เมื่อวันพฤหัสบดีที่ 17 ตุลาคมที่ผ่านมา ISS Consulting ได้จัดงาน ISS & SAP User Conference 2019 ขึ้นภายใต้ธีม “Innovation Now” …