Ransomware แบบใหม่ ปลอมมาในรูป Tech Support ล็อคหน้าจอ เรียกค่าไถ่

malwarebytes_logo_2

Malwarebytes ผู้ให้บริการโซลูชัน Anti-malware และ Anti-exploit ชั้นนำของโลก ออกมาแจ้งเตือนมิจฉาชีพออนไลน์เลียนแบบเทคนิคของ Ransomware ปลอมเป็น Tech Support ล็อคหน้าจอของผู้ใช้ระบบปฏิบัติการ Windows แล้วแจ้ง License หมดอายุ เหยื่อจำเป็นต้องจ่ายค่า License ใหม่เพื่อแลกกับการปลดล็อคเข้าเครื่อง

Malwarebytes ระบุ พบแฮ็คเกอร์หัวใสพัฒนามัลแวร์ Tech Support Locker เลียนแบบ Ransomware โดยแฝงมากับซอฟต์แวร์ฟรี หรือปลอมตัวเป็นอัพเดทของแอพพลิเคชันยอดนิยมต่างๆ หลังจากที่เหยื่อเผลอติดตั้งมัลแวร์ลงไปแล้ว มัลแวร์ Tech Support จะรอจนกว่าเหยื่อรีสตาร์ทคอมพิวเตอร์ จากนั้นจะเริ่มทำงานโดยการปลอมหน้า Windows Updates ที่คล้ายคลึงกับหน้าอัพเดทของแท้ขึ้นมา

tech_support_ransomware_1

หลังจากอัพเดท (ปลอมๆ) เสร็จ มัลแวร์จะทำการล็อคเครื่องและหน้าจอ พร้อมแสดงผลว่า “การอัพเดท Windows ไม่สามารถดำเนินการต่อได้ เนื่องจากซอฟต์แวร์ที่ใช้อยู่หมดอายุหรือมีปัญหา กรุณาใส่ Product Key เพื่อดำเนินการต่อ” พร้อมทั้งระบุ Error Code และหมายเลขโทรศัพท์ของทีม Support ให้สอบถาม เพื่อเพิ่มความแนบเนียน

tech_support_ransomware_2

เนื่องจากเครื่องคอมพิวเตอร์ถูกล็อค แล้ว Product Key ของแท้ที่เหยื่อมีอยู่ไม่สามารถใช้ได้ เหยื่อส่วนใหญ่จึงโทรหา Tech Support ตามเบอร์ที่แสดงบนหน้าจอ หลังจากที่ Malwarebytes ลองโทรไปที่เบอร์ดังกล่าว พบว่ามิจฉาชีพที่ปลอมตัวเป็น Tech Support ของ Microsoft แจ้งว่าให้กด Ctrl+Shift+T เพื่อเริ่มทำการติดตั้งโปรแกรม TeamViewer สำหรับรีโมทเข้ามาแก้ปัญดังกล่าว อย่างไรก็ตาม มิจฉาชีพปฏิเสธที่จะให้ข้อมูลอื่นเพิ่มเติมจนกว่าจะยอมจ่าย $250 หรือประมาณ 8,900 บาทเพื่อปลดล็อคเครื่องคอมพิวเตอร์

ถ้าเหยื่อไม่ยอมจ่ายค่าไถ่เพื่อปลดล็อคมัลแวร์ จะทำให้ไม่สามารถเข้าใช้ระบบปฏิบัติการได้อีกต่อไป อย่างไรก็ตาม ยังพอมีวิธีแก้ไขเพื่อ Bypass หน้าจอที่ถูกล็อคเข้าไปได้ นั่นคือ กด Ctrl+Shift+S เพื่อหยุดการทำงานของ Tech Support Locker ดังกล่าว หรือใส่ Product Key เป็น “h7c9-7c67-jb” หรือ “g6r-qrp6-h2” หรือ “yt-mq-6w” เพื่อปลดล็อคคอมพิวเตอร์ แล้วจัดการคลีนมัลแวร์ให้เรียบร้อย อย่างไรก็ตาม รหัสเหล่านี้สามารถใช้กับมัลแวร์เพียงบาง Instance เท่านั้น

ที่แย่คือ จากการอัพโหลดมัลแวร์ที่แฝงตัวอยู่ใน PC Cleanner (Win32.Trojan.Agent@PC Cleaner.exe) ขึ้น VirusTotal พบว่ามี Antivirus เพียง 13 จาก 52 รายการที่สามารถตรวจจับ Tech Support Locker นี้ได้ ผู้ใช้ระบบปฏิบัติการ Windows จึงควรพึงระวังการติดตั้งโปรแกรมและแอพพลิเคชันต่างๆ ให้มากขึ้น โดยเลือกติดตั้งเฉพาะโปรแกรมที่มาจากแหล่งที่เชื่อถือได้เท่านั้น

ที่มา: http://www.networkworld.com/article/3071721/security/ransomware-like-tech-support-scam-locks-screen-labels-windows-product-key-as-invalid.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้บริหารธุรกิจไทยเล่าประสบการณ์การก้าวสู่ยุค Citizen Data Scientist ด้วย Oracle Autonomous Data Warehouse

ทีมงาน TechTalkThai มีโอกาสได้เข้าฟัง Discussion Panel ของ Oracle ที่ได้เชิญลูกค้าจาก PTG Energy และ Forth Smart Service มาเล่าถึงประสบการณ์การใช้ Oracle Autonomous Data Warehouse ที่ช่วยให้การทำ Business Intelligence, Business Report และ Business Dashboard สำหรับทำ Data Driven Business นั้นเป็นไปได้อย่างรวดเร็วและง่ายดาย ไม่ต้องพึ่งพาฝ่าย IT หรือ DBA ในการดึงข้อมูลต่างๆ ที่ต้องการให้อีกต่อไป และยังทำให้การทำรายงานต่างๆ เร็วขึ้นกว่าเดิมหลายสิบถึงหลายร้อยเท่าอีกด้วย

[วิดีโอ] Sponsored Webinar: รู้เขา รู้เรา จัดระเบียบ Bot ดีและร้ายให้อยู่หมัดโดย F5 Networks

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย Sponsored Webinar เรื่อง “Fight the Good Fight against the Bad Bots – รู้เขา รู้เรา …