SyncCrypt Ransomware Hides Inside JPG Files, Appends .KK Extension

"SyncCrypt" Ransomware ตัวใหม่ ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Emxisoft แพร่กระจายโดยใช้ไฟล์ที่แนบมาใน SPAM ซึ่งจะไปเรียก WSF ไฟล์อีกทีนึง เมื่อผู้ใช้งานเผลอติดตั้งไฟล์ดังกล่าว เครื่องคอมพิวเตอร์จะถูกเข้ารหัส และใส่ .kk ต่อท้ายชื่อไฟล์ที่เข้ารหัส
การใช้ไฟล์ WSF ไม่ใช่เรื่องแปลกใหม่ แต่วิธีการทำงานในครั้งนี้ของมันน่าสนใจเพราะสคริปต์ WSF จะดาวน์โหลดภาพที่มีการฝังไฟล์ ZIP ซึ่งเก็บไฟล์ที่มีความจำเป็นต่อกระบวนการเข้ารหัสของ SyncCrypt ไว้ ทำให้สามารถหลบหลีกการตรวจจับของ antivirus ได้ เมื่อ SyncCrypt ทำการเข้ารหัสเครื่องคอมพิวเตอร์เสร็จแล้วโฟลเดอร์ที่ชื่อว่า README จะปรากฏบนเดสก์ท็อป โดยจะมีไฟล์ AMMOUNT.txt, key, readme.html และ readme.png ซึ่งไฟล์ ammount.txt จะระบุจำนวนเงินค่าไถ่ของคีย์ถอดรหัส
เพื่อป้องกันตัวเองจาก SyncCrypt หรือจาก ransomware อื่นๆ สิ่งสำคัญคือต้องมีความระมัดระวังในการใช้เครื่องคอมพิวเตอร์ และควรจะมีซอฟต์แวร์ด้านความปลอดภัยที่น่าเชื่อถือ ควรมีการสำรองข้อมูล(Back up) และพร้อมที่จะเรียกคืน(Restore) ได้ในกรณีฉุกเฉิน

ที่มา : bleepingcomputer