Heimjdal Security การประกาศค้นพบ Ransomware หรือมัลแวร์เรียกค่าไถ่แคมเปญใหม่ ที่ยกระดับการโจมตีขึ้นไปอีกขั้น กล่าวคือ มัลแวร์จะทำการขโมยรหัสผ่านของผู้ใช้ส่งไปให้แฮ็คเกอร์ ก่อนที่จะเข้ารหัสไฟล์เพื่อเรียกร้องค่าไถ่ มัลแวร์แคมเปญนี้ถูกเรียกว่า Angler
Exploit Kit ที่ทั้งขโมยข้อมูลและเข้ารหัสไฟล์
Angler เป็น Exploit Kit ที่จะทำการค้นหาช่องโหว่ของแอพพลิเคชัน เช่น Adobe Flash จากนั้นจะทำการส่ง Malicious Payloads เข้าไปยังเครื่องของเหยื่อ
-
Payload แรก เป็นชุดขโมยข้อมูลยอดนิยมที่ชื่อว่า
Pony ที่จะทำการรวบรวมข้อมูล Username และ Password ของเหยื่อที่เก็บไว้ในระบบแล้วส่งกลับไปยังแฮ็คเกอร์ ส่งผลให้แฮ็คเกอร์สามารถล้วงความลับของเว็บไซต์และแอพพลิเคชันต่างๆของเหยื่อเพื่อขโมยข้อมูลสำคัญต่อไปได้
-
Payload ที่สอง เป็นการส่งมัลแวร์เรียกค่าไถ่ที่รู้จักกันดี คือ
CryptoWall 4.0 เข้าไปล็อคการเข้าถึงไฟล์ของเหยื่อ จนกว่าจะได้รับค่าไถ่
สรุปแล้ว
Angler เป็นแคมเปญใหม่ของแฮ็คเกอร์ที่ทั้งแอบขโมยข้อมูลของผู้ใช้ และล็อคการใช้งานเพื่อเรียกค่าไถ่ จากการตรวจสอบพบว่าต้นกำเนิดอยู่ที่ประเทศยูเครน และมัลแวร์นี้ได้แพร่กระจายไปยังเว็บไซต์ของประเทศเดนมาร์กและประเทศอื่นๆในยุโรปมากกว่า 100 เว็บไซต์
ทำอย่างไรเมื่อติดมัลแวร์
Cryptowall 4.0 นับเป็นหนึ่งในมัลแวร์ที่เลวร้ายที่สุดและยังไม่มีวิธีการกู้ไฟล์ที่ถูกล็อคได้อย่างสมบูรณ์ คำแนะนำที่ดีที่สุดตอนนี้คือ Format ระบบคอมพิวเตอร์ใหม่ และย้อนไปใช้ข้อมูลสำรองที่ได้แบ็คอัพไว้ … หรืออาจจะลองเสี่ยงจ่ายค่าไถ่เพื่อแลกกับกุญแจในการปลดล็อครหัสก็ได้ อย่างไรก็ตาม ทางทีมงานก็ไม่แนะนำให้จ่ายค่าไถ่ เนื่องจากไม่มีอะไรการันตีว่าเราจะได้รับกุญแจในการถอดรหัสจริง
ป้องกันไว้ก่อนนับว่าดีที่สุด
วิธีรับมือกับมัลแวร์เรียกค่าไถ่ที่ดีที่สุดตอนนี้ คือ พยายามทำให้ระบบคอมพิวเตอร์ของเราปลอดภัยเสมอ ดังนี้
- อัพเดทแพทช์ของระบบปฏิบัติการและแอพพลิเคชันให้ล่าสุดอยู่เสมอ
- สร้างความตระหนักถึงอันตรายของมัลแวร์ให้แก่พนักงานในองค์กร
- แบ็คอัพข้อมูลของระบบเรื่อยๆ เมื่อมีปัญหาเกิดขึ้นจะได้กู้ไฟล์ข้อมูลกลับคืนมาได้
- ที่สำคัญที่สุด คือ หลีกเลี่ยงการกดลิงค์ที่แนบมาบนอีเมลล์ที่ไม่รู้จัก หรือเว็บไซต์ที่ไม่น่าเชื่อถือ
ที่มา:
http://thehackernews.com/2015/12/ransomware-hacking-password_3.html
ที่มา2:
https://www.techtalkthai.com/new-ransomware-campaign-will-steal-your-password-before-locking-files/
ปล. ตอนนี้ในไทย ก็มีบางแห่งบางบริษัทที่ติดกันไปแล้วก็มี โดยมากับอีเมล์ และ มากับการดาวน์โหลดไฟล์กับบางเว็บ ซึ่งไม่ทราบแน่ชัดว่ามาจากเว็บไหน แต่คนที่ติดเค้าบอกมาว่า "เค้าไปดาวน์โหลดหนังมาดู"
ระวัง !! Ransomware ตัวใหม่ที่แอบขโมยรหัสผ่านก่อนเข้ารหัสไฟล์ (งานนี้มีพ่วง CryptoWall 4.0 มาด้วย !!)
Exploit Kit ที่ทั้งขโมยข้อมูลและเข้ารหัสไฟล์
Angler เป็น Exploit Kit ที่จะทำการค้นหาช่องโหว่ของแอพพลิเคชัน เช่น Adobe Flash จากนั้นจะทำการส่ง Malicious Payloads เข้าไปยังเครื่องของเหยื่อ
- Payload แรก เป็นชุดขโมยข้อมูลยอดนิยมที่ชื่อว่า Pony ที่จะทำการรวบรวมข้อมูล Username และ Password ของเหยื่อที่เก็บไว้ในระบบแล้วส่งกลับไปยังแฮ็คเกอร์ ส่งผลให้แฮ็คเกอร์สามารถล้วงความลับของเว็บไซต์และแอพพลิเคชันต่างๆของเหยื่อเพื่อขโมยข้อมูลสำคัญต่อไปได้
- Payload ที่สอง เป็นการส่งมัลแวร์เรียกค่าไถ่ที่รู้จักกันดี คือ CryptoWall 4.0 เข้าไปล็อคการเข้าถึงไฟล์ของเหยื่อ จนกว่าจะได้รับค่าไถ่
สรุปแล้ว Angler เป็นแคมเปญใหม่ของแฮ็คเกอร์ที่ทั้งแอบขโมยข้อมูลของผู้ใช้ และล็อคการใช้งานเพื่อเรียกค่าไถ่ จากการตรวจสอบพบว่าต้นกำเนิดอยู่ที่ประเทศยูเครน และมัลแวร์นี้ได้แพร่กระจายไปยังเว็บไซต์ของประเทศเดนมาร์กและประเทศอื่นๆในยุโรปมากกว่า 100 เว็บไซต์
ทำอย่างไรเมื่อติดมัลแวร์
Cryptowall 4.0 นับเป็นหนึ่งในมัลแวร์ที่เลวร้ายที่สุดและยังไม่มีวิธีการกู้ไฟล์ที่ถูกล็อคได้อย่างสมบูรณ์ คำแนะนำที่ดีที่สุดตอนนี้คือ Format ระบบคอมพิวเตอร์ใหม่ และย้อนไปใช้ข้อมูลสำรองที่ได้แบ็คอัพไว้ … หรืออาจจะลองเสี่ยงจ่ายค่าไถ่เพื่อแลกกับกุญแจในการปลดล็อครหัสก็ได้ อย่างไรก็ตาม ทางทีมงานก็ไม่แนะนำให้จ่ายค่าไถ่ เนื่องจากไม่มีอะไรการันตีว่าเราจะได้รับกุญแจในการถอดรหัสจริง
ป้องกันไว้ก่อนนับว่าดีที่สุด
วิธีรับมือกับมัลแวร์เรียกค่าไถ่ที่ดีที่สุดตอนนี้ คือ พยายามทำให้ระบบคอมพิวเตอร์ของเราปลอดภัยเสมอ ดังนี้
- อัพเดทแพทช์ของระบบปฏิบัติการและแอพพลิเคชันให้ล่าสุดอยู่เสมอ
- สร้างความตระหนักถึงอันตรายของมัลแวร์ให้แก่พนักงานในองค์กร
- แบ็คอัพข้อมูลของระบบเรื่อยๆ เมื่อมีปัญหาเกิดขึ้นจะได้กู้ไฟล์ข้อมูลกลับคืนมาได้
- ที่สำคัญที่สุด คือ หลีกเลี่ยงการกดลิงค์ที่แนบมาบนอีเมลล์ที่ไม่รู้จัก หรือเว็บไซต์ที่ไม่น่าเชื่อถือ
ที่มา: http://thehackernews.com/2015/12/ransomware-hacking-password_3.html
ที่มา2: https://www.techtalkthai.com/new-ransomware-campaign-will-steal-your-password-before-locking-files/
ปล. ตอนนี้ในไทย ก็มีบางแห่งบางบริษัทที่ติดกันไปแล้วก็มี โดยมากับอีเมล์ และ มากับการดาวน์โหลดไฟล์กับบางเว็บ ซึ่งไม่ทราบแน่ชัดว่ามาจากเว็บไหน แต่คนที่ติดเค้าบอกมาว่า "เค้าไปดาวน์โหลดหนังมาดู"