TTT 2025 Events

พบ Matrix Ransomware แบบใหม่แพร่ผ่านการแฮ็ก Remote Desktop

April 10, 2018 Cybersecurity, Endpoint Security, Network Security, Threats Update

นักวิจัยจาก MalwareHunterTeam ได้ค้นพบ Ransomware ตระกูล Matrix 2 ตัวที่ถูกติดตั้งหลังจากโจมตี Remote Desktop ที่เชื่อมต่อผ่านอินเทอร์เน็ตด้วยวิธีการ Brute-force รหัสผ่าน อีกทั้ง Ransomware ทั้งสองตัวนี้ไม่สามารถถอดรหัสข้อมูลแบบฟรีๆ ได้

credit : Bleepingcomputer.com

พฤติกรรมที่เหมือนกันของทั้งสองตัวคือแฮ็กเกอร์จะต้องแฮ็กผ่านบริการ Remote Desktop เสียก่อนเพื่อเข้าไปติดตั้งและรันมัลแวร์ หลังจากนั้นมันจะทำการเข้ารหัส Network share ที่ไม่ได้ถูก Map  แสดงหน้าต่างสถานะการเข้ารหัส ทำลาย Shadow volume copy สุดท้ายคือเข้ารหัสชื่อไฟล์ รวมถึงมีการเปลี่ยนพื้นหลังด้วย

สายพันธุ์แรก : Files4463@tuta.io

  • มีการแสดงหน้าต่าง 2 หน้าต่างคือ ข้อความแสดงสถานะของการเข้ารหัส และ ข้อมูลเกี่ยวกับการสแกนหา Network Share
  • เข้ารหัสชื่อไฟล์ต่อท้ายด้วย Files4463@tuta.io
  • ทิ้งโน๊ตไว้ในแต่ละโฟลเดอร์ที่ถูกสแกนชื่อ !ReadMe_To_Decrypt_Files!.rtf ซึ่งมีอีเมลติดต่อของแฮ็กเกอร์คือ File4463@gmail.com,  File4463@tuta.io และ  File4463@protonmail.ch
credit : Bleepingcomputer.com

สายพันธ์ุสอง : RestorFile@tutanota.com

ลักษณะคล้ายกับสายพันธุ์แรกที่แตกต่างกันคือ
  • มีข้อความ Debug ดีกว่าแบบแรก
  • เข้ารหัสข้อมูลด้วยชื่อ RestorFile@tutanota.com
  • ใช้คำสั่ง Cipher.exe /w:c เพื่อเขียนทับพื้นที่ว่างบนคอมพิวเตอร์ในไดร์ฟ C:\ หลังเข้ารหัสเสร็จ (ปกติแล้วคำสั่งนี้เป็นเครื่องมือ Build-in ใน Windows สามารถใช้เพื่อการลบข้อมูลอย่างถาวรโดยการเขียนข้อมูลทับเพื่อป้องกันเครื่องมือกู้คืนข้อมูล)
  • ทิ้งโน๊ตไว้ชื่อ #Decrypt_Files_ReadMe#.rtf อีเมลติดต่อของแฮ็กเกอร์คือ RestorFile@tutanota.com, RestorFile@protonmail.com และ RestorFile@qq.com

ผู้เชี่ยวชาญแนะวิธีการป้องกันดังนี้

  • มีการ Backup ข้อมูลที่น่าเชื่อถือพร้อมทั้งทำการทดสอบการกู้ข้อมูลในกรณีฉุกเฉินเช่น Ransomware เป็นต้น
  • ตรวจสอบให้แน่ใจว่าไม่มีคอมพิวเตอร์ในองค์กรหรือเครือข่ายที่สามารถทำการ Remote Desktop จากภายนอกได้ หากจำเป็นจริงๆ ให้วางไว้หลัง VPN
  • วางนโนบายการล็อกบัญชีเพื่อให้ทำการ Brute-force ได้ยากขึ้น
  • อย่าลืมติดตั้งซอฟต์แวร์ด้านความมั่นคงปลอดภัยที่มีประสิทธิภาพด้วย
  • ฝึกฝนนิสัยการใช้งาน อย่าเปิดไฟล์แนบที่ไม่น่าไว้ใจ จนกว่าจะสามารถยืนยันได้ว่าผู้ส่งน่าเชื่อถือและตั้งใจส่งมาจริง
  • อัปเดต Windows และโปรแกรมเสริมอื่นๆ อย่างสม่ำเสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/new-matrix-ransomware-variants-installed-via-hacked-remote-desktop-services/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รายงาน Group-IB ชี้ APAC ต้องเผชิญกับภัยคุกคามทางไซเบอร์เพิ่มขึ้นเรื่อย ๆ [PR]

รายงาน High-Tech Crime Trends Report 2025 ของ Group-IB เผยให้เห็นว่า ภูมิภาคเอเชียแปซิฟิกต้องเผชิญภัยคุกคามไซเบอร์ที่เพิ่มขึ้น ท่ามกลางสถานการณ์ความเสี่ยงที่ทั่วโลกกำลังเผชิญมากขึ้นเรื่อย ๆ

Cloudsec Asia จับมือ Nokia เสริมแกร่งระบบป้องกันภัยไซเบอร์ระดับ Mission-Critical ให้องค์กรในประเทศไทย [PR]

Cloudsec Asia ผู้ให้บริการโซลูชันความปลอดภัยไซเบอร์ชั้นนำของไทย ประกาศความร่วมมือครั้งสำคัญกับ Nokia เพื่อยกระดับความปลอดภัยทางไซเบอร์ระดับ Mission-Critical แก่องค์กรในประเทศไทย Cloudsec Asia จะเป็นผู้บูรณาการระบบ (System Integrator) สำหรับโครงการที่ใช้เทคโนโลยีความปลอดภัยของ Nokia …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand