Ransomware แบบใหม่ ปลอมมาในรูป Tech Support ล็อคหน้าจอ เรียกค่าไถ่

May 19, 2016 Endpoint Security, Malwarebytes, Products, Security, Threats Update

malwarebytes_logo_2

Malwarebytes ผู้ให้บริการโซลูชัน Anti-malware และ Anti-exploit ชั้นนำของโลก ออกมาแจ้งเตือนมิจฉาชีพออนไลน์เลียนแบบเทคนิคของ Ransomware ปลอมเป็น Tech Support ล็อคหน้าจอของผู้ใช้ระบบปฏิบัติการ Windows แล้วแจ้ง License หมดอายุ เหยื่อจำเป็นต้องจ่ายค่า License ใหม่เพื่อแลกกับการปลดล็อคเข้าเครื่อง

Malwarebytes ระบุ พบแฮ็คเกอร์หัวใสพัฒนามัลแวร์ Tech Support Locker เลียนแบบ Ransomware โดยแฝงมากับซอฟต์แวร์ฟรี หรือปลอมตัวเป็นอัพเดทของแอพพลิเคชันยอดนิยมต่างๆ หลังจากที่เหยื่อเผลอติดตั้งมัลแวร์ลงไปแล้ว มัลแวร์ Tech Support จะรอจนกว่าเหยื่อรีสตาร์ทคอมพิวเตอร์ จากนั้นจะเริ่มทำงานโดยการปลอมหน้า Windows Updates ที่คล้ายคลึงกับหน้าอัพเดทของแท้ขึ้นมา

tech_support_ransomware_1

หลังจากอัพเดท (ปลอมๆ) เสร็จ มัลแวร์จะทำการล็อคเครื่องและหน้าจอ พร้อมแสดงผลว่า “การอัพเดท Windows ไม่สามารถดำเนินการต่อได้ เนื่องจากซอฟต์แวร์ที่ใช้อยู่หมดอายุหรือมีปัญหา กรุณาใส่ Product Key เพื่อดำเนินการต่อ” พร้อมทั้งระบุ Error Code และหมายเลขโทรศัพท์ของทีม Support ให้สอบถาม เพื่อเพิ่มความแนบเนียน

tech_support_ransomware_2

เนื่องจากเครื่องคอมพิวเตอร์ถูกล็อค แล้ว Product Key ของแท้ที่เหยื่อมีอยู่ไม่สามารถใช้ได้ เหยื่อส่วนใหญ่จึงโทรหา Tech Support ตามเบอร์ที่แสดงบนหน้าจอ หลังจากที่ Malwarebytes ลองโทรไปที่เบอร์ดังกล่าว พบว่ามิจฉาชีพที่ปลอมตัวเป็น Tech Support ของ Microsoft แจ้งว่าให้กด Ctrl+Shift+T เพื่อเริ่มทำการติดตั้งโปรแกรม TeamViewer สำหรับรีโมทเข้ามาแก้ปัญดังกล่าว อย่างไรก็ตาม มิจฉาชีพปฏิเสธที่จะให้ข้อมูลอื่นเพิ่มเติมจนกว่าจะยอมจ่าย $250 หรือประมาณ 8,900 บาทเพื่อปลดล็อคเครื่องคอมพิวเตอร์

ถ้าเหยื่อไม่ยอมจ่ายค่าไถ่เพื่อปลดล็อคมัลแวร์ จะทำให้ไม่สามารถเข้าใช้ระบบปฏิบัติการได้อีกต่อไป อย่างไรก็ตาม ยังพอมีวิธีแก้ไขเพื่อ Bypass หน้าจอที่ถูกล็อคเข้าไปได้ นั่นคือ กด Ctrl+Shift+S เพื่อหยุดการทำงานของ Tech Support Locker ดังกล่าว หรือใส่ Product Key เป็น “h7c9-7c67-jb” หรือ “g6r-qrp6-h2” หรือ “yt-mq-6w” เพื่อปลดล็อคคอมพิวเตอร์ แล้วจัดการคลีนมัลแวร์ให้เรียบร้อย อย่างไรก็ตาม รหัสเหล่านี้สามารถใช้กับมัลแวร์เพียงบาง Instance เท่านั้น

ที่แย่คือ จากการอัพโหลดมัลแวร์ที่แฝงตัวอยู่ใน PC Cleanner (Win32.Trojan.Agent@PC Cleaner.exe) ขึ้น VirusTotal พบว่ามี Antivirus เพียง 13 จาก 52 รายการที่สามารถตรวจจับ Tech Support Locker นี้ได้ ผู้ใช้ระบบปฏิบัติการ Windows จึงควรพึงระวังการติดตั้งโปรแกรมและแอพพลิเคชันต่างๆ ให้มากขึ้น โดยเลือกติดตั้งเฉพาะโปรแกรมที่มาจากแหล่งที่เชื่อถือได้เท่านั้น

ที่มา: http://www.networkworld.com/article/3071721/security/ransomware-like-tech-support-scam-locks-screen-labels-windows-product-key-as-invalid.html

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Dynatrace Webinar: Enabling DevOps/SRE to Build Better Quality Software with Dynatrace

DPM (Thailand) ร่วมกับ Dynatrace ขอเรียนเชิญ Developers, DevOps Engineer และ SRE เข้าร่วมงานสัมมนาออนไลน์เรื่อง "Enabling DevOps/SRE to Build Better Quality Software with Dynatrace" เพื่อเรียนรู้ว่า Dynatrace Cloud Automation จะช่วยแก้ปัญหาและเพิ่มความเร็วและเสถียรภาพของ DevOps ได้อย่างไร ในวันพฤหัสบดีที่ 25 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar ฟรี

ผู้เชี่ยวชาญเผยเซิร์ฟเวอร์ VNC กว่า 9,000 ตัวออนไลน์โดยไร้รหัสผ่าน

ชาวแอดมินทั้งหลายคงรู้จักการใช้ VNC เพื่อรีโมตไปยังเครื่องภายในกันดีอยู่แล้ว แต่สิ่งที่น่ากังวลคือผู้เชี่ยวชาญจาก Cyble ได้สแกนเซิร์ฟเวอร์เหล่านี้ที่ออนไลน์อยู่ในอินเทอร์เน็ตและพบว่ามีเครื่องกว่า 9,000 ตัวที่ไร้การป้องกันด้วยรหัสผ่าน

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand