Ransomware แบบใหม่ ปลอมมาในรูป Tech Support ล็อคหน้าจอ เรียกค่าไถ่

Malwarebytes ผู้ให้บริการโซลูชัน Anti-malware และ Anti-exploit ชั้นนำของโลก ออกมาแจ้งเตือนมิจฉาชีพออนไลน์เลียนแบบเทคนิคของ Ransomware ปลอมเป็น Tech Support ล็อคหน้าจอของผู้ใช้ระบบปฏิบัติการ Windows แล้วแจ้ง License หมดอายุ เหยื่อจำเป็นต้องจ่ายค่า License ใหม่เพื่อแลกกับการปลดล็อคเข้าเครื่อง

Malwarebytes ระบุ พบแฮ็คเกอร์หัวใสพัฒนามัลแวร์ Tech Support Locker เลียนแบบ Ransomware โดยแฝงมากับซอฟต์แวร์ฟรี หรือปลอมตัวเป็นอัพเดทของแอพพลิเคชันยอดนิยมต่างๆ หลังจากที่เหยื่อเผลอติดตั้งมัลแวร์ลงไปแล้ว มัลแวร์ Tech Support จะรอจนกว่าเหยื่อรีสตาร์ทคอมพิวเตอร์ จากนั้นจะเริ่มทำงานโดยการปลอมหน้า Windows Updates ที่คล้ายคลึงกับหน้าอัพเดทของแท้ขึ้นมา

หลังจากอัพเดท (ปลอมๆ) เสร็จ มัลแวร์จะทำการล็อคเครื่องและหน้าจอ พร้อมแสดงผลว่า “การอัพเดท Windows ไม่สามารถดำเนินการต่อได้ เนื่องจากซอฟต์แวร์ที่ใช้อยู่หมดอายุหรือมีปัญหา กรุณาใส่ Product Key เพื่อดำเนินการต่อ” พร้อมทั้งระบุ Error Code และหมายเลขโทรศัพท์ของทีม Support ให้สอบถาม เพื่อเพิ่มความแนบเนียน

เนื่องจากเครื่องคอมพิวเตอร์ถูกล็อค แล้ว Product Key ของแท้ที่เหยื่อมีอยู่ไม่สามารถใช้ได้ เหยื่อส่วนใหญ่จึงโทรหา Tech Support ตามเบอร์ที่แสดงบนหน้าจอ หลังจากที่ Malwarebytes ลองโทรไปที่เบอร์ดังกล่าว พบว่ามิจฉาชีพที่ปลอมตัวเป็น Tech Support ของ Microsoft แจ้งว่าให้กด Ctrl+Shift+T เพื่อเริ่มทำการติดตั้งโปรแกรม TeamViewer สำหรับรีโมทเข้ามาแก้ปัญดังกล่าว อย่างไรก็ตาม มิจฉาชีพปฏิเสธที่จะให้ข้อมูลอื่นเพิ่มเติมจนกว่าจะยอมจ่าย $250 หรือประมาณ 8,900 บาทเพื่อปลดล็อคเครื่องคอมพิวเตอร์

ถ้าเหยื่อไม่ยอมจ่ายค่าไถ่เพื่อปลดล็อคมัลแวร์ จะทำให้ไม่สามารถเข้าใช้ระบบปฏิบัติการได้อีกต่อไป อย่างไรก็ตาม ยังพอมีวิธีแก้ไขเพื่อ Bypass หน้าจอที่ถูกล็อคเข้าไปได้ นั่นคือ กด Ctrl+Shift+S เพื่อหยุดการทำงานของ Tech Support Locker ดังกล่าว หรือใส่ Product Key เป็น “h7c9-7c67-jb” หรือ “g6r-qrp6-h2” หรือ “yt-mq-6w” เพื่อปลดล็อคคอมพิวเตอร์ แล้วจัดการคลีนมัลแวร์ให้เรียบร้อย อย่างไรก็ตาม รหัสเหล่านี้สามารถใช้กับมัลแวร์เพียงบาง Instance เท่านั้น

ที่แย่คือ จากการอัพโหลดมัลแวร์ที่แฝงตัวอยู่ใน PC Cleanner (Win32.Trojan.Agent@PC Cleaner.exe) ขึ้น VirusTotal พบว่ามี Antivirus เพียง 13 จาก 52 รายการที่สามารถตรวจจับ Tech Support Locker นี้ได้ ผู้ใช้ระบบปฏิบัติการ Windows จึงควรพึงระวังการติดตั้งโปรแกรมและแอพพลิเคชันต่างๆ ให้มากขึ้น โดยเลือกติดตั้งเฉพาะโปรแกรมที่มาจากแหล่งที่เชื่อถือได้เท่านั้น

ที่มา: http://www.networkworld.com/article/3071721/security/ransomware-like-tech-support-scam-locks-screen-labels-windows-product-key-as-invalid.html