พบ Matrix Ransomware แบบใหม่แพร่ผ่านการแฮ็ก Remote Desktop

April 10, 2018 Cybersecurity, Endpoint Security, Network Security, Threats Update

นักวิจัยจาก MalwareHunterTeam ได้ค้นพบ Ransomware ตระกูล Matrix 2 ตัวที่ถูกติดตั้งหลังจากโจมตี Remote Desktop ที่เชื่อมต่อผ่านอินเทอร์เน็ตด้วยวิธีการ Brute-force รหัสผ่าน อีกทั้ง Ransomware ทั้งสองตัวนี้ไม่สามารถถอดรหัสข้อมูลแบบฟรีๆ ได้

credit : Bleepingcomputer.com

พฤติกรรมที่เหมือนกันของทั้งสองตัวคือแฮ็กเกอร์จะต้องแฮ็กผ่านบริการ Remote Desktop เสียก่อนเพื่อเข้าไปติดตั้งและรันมัลแวร์ หลังจากนั้นมันจะทำการเข้ารหัส Network share ที่ไม่ได้ถูก Map  แสดงหน้าต่างสถานะการเข้ารหัส ทำลาย Shadow volume copy สุดท้ายคือเข้ารหัสชื่อไฟล์ รวมถึงมีการเปลี่ยนพื้นหลังด้วย

สายพันธุ์แรก : Files4463@tuta.io

  • มีการแสดงหน้าต่าง 2 หน้าต่างคือ ข้อความแสดงสถานะของการเข้ารหัส และ ข้อมูลเกี่ยวกับการสแกนหา Network Share
  • เข้ารหัสชื่อไฟล์ต่อท้ายด้วย Files4463@tuta.io
  • ทิ้งโน๊ตไว้ในแต่ละโฟลเดอร์ที่ถูกสแกนชื่อ !ReadMe_To_Decrypt_Files!.rtf ซึ่งมีอีเมลติดต่อของแฮ็กเกอร์คือ File4463@gmail.com,  File4463@tuta.io และ  File4463@protonmail.ch
credit : Bleepingcomputer.com

สายพันธ์ุสอง : RestorFile@tutanota.com

ลักษณะคล้ายกับสายพันธุ์แรกที่แตกต่างกันคือ
  • มีข้อความ Debug ดีกว่าแบบแรก
  • เข้ารหัสข้อมูลด้วยชื่อ RestorFile@tutanota.com
  • ใช้คำสั่ง Cipher.exe /w:c เพื่อเขียนทับพื้นที่ว่างบนคอมพิวเตอร์ในไดร์ฟ C:\ หลังเข้ารหัสเสร็จ (ปกติแล้วคำสั่งนี้เป็นเครื่องมือ Build-in ใน Windows สามารถใช้เพื่อการลบข้อมูลอย่างถาวรโดยการเขียนข้อมูลทับเพื่อป้องกันเครื่องมือกู้คืนข้อมูล)
  • ทิ้งโน๊ตไว้ชื่อ #Decrypt_Files_ReadMe#.rtf อีเมลติดต่อของแฮ็กเกอร์คือ RestorFile@tutanota.com, RestorFile@protonmail.com และ RestorFile@qq.com

ผู้เชี่ยวชาญแนะวิธีการป้องกันดังนี้

  • มีการ Backup ข้อมูลที่น่าเชื่อถือพร้อมทั้งทำการทดสอบการกู้ข้อมูลในกรณีฉุกเฉินเช่น Ransomware เป็นต้น
  • ตรวจสอบให้แน่ใจว่าไม่มีคอมพิวเตอร์ในองค์กรหรือเครือข่ายที่สามารถทำการ Remote Desktop จากภายนอกได้ หากจำเป็นจริงๆ ให้วางไว้หลัง VPN
  • วางนโนบายการล็อกบัญชีเพื่อให้ทำการ Brute-force ได้ยากขึ้น
  • อย่าลืมติดตั้งซอฟต์แวร์ด้านความมั่นคงปลอดภัยที่มีประสิทธิภาพด้วย
  • ฝึกฝนนิสัยการใช้งาน อย่าเปิดไฟล์แนบที่ไม่น่าไว้ใจ จนกว่าจะสามารถยืนยันได้ว่าผู้ส่งน่าเชื่อถือและตั้งใจส่งมาจริง
  • อัปเดต Windows และโปรแกรมเสริมอื่นๆ อย่างสม่ำเสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/new-matrix-ransomware-variants-installed-via-hacked-remote-desktop-services/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CyberGenics ผนึก Ensign InfoSecurity ยกระดับ Cybersecurity ไทย รับมือภัยยุค AI และความเสี่ยง Quantum Safe [PR]

บริษัท ไซเบอร์จีนิคส์ จำกัด (CyberGenics) ผู้นำด้านความมั่นคงปลอดภัยไซเบอร์แบบครบวงจรในเครือบริษัท จีเอเบิล จำกัด (มหาชน) (G-ABLE) ประกาศลงนามบันทึกความเข้าใจ (MOU) กับ Ensign InfoSecurity ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ชั้นนำจากสิงคโปร์ …

Trend Micro เตือนช่องโหว่ Zero-day บน Apex One ถูกใช้โจมตีจริงแล้ว

Trend Micro ออกแพตช์แก้ช่องโหว่ Zero-day CVE-2026-34926 บน Apex One เวอร์ชัน On-premises หลังพบว่าถูกใช้โจมตีจริงแล้ว ขณะที่ CISA สั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์ภายในวันที่ …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand