พบ Ransomware สายพันธุ์ใหม่ที่ชื่อว่า “Bad Rabbit” ระบาดในประเทศรัสเซีย และยูเครน โดยมีพฤติกรรมการเข้ารหัสคล้ายคลึงกับ Not-Petya คือทาการเข้ารหัส Harddisk ทาให้ไม่สามารถเปิดเครื่องได้ และเชื่อว่ามีพฤติกรรมการแพร่กระจายผ่านการใช้งาน SMB
วิธีการติดพบว่ามาจากการเข้าไปยังเว็ปไซต์ที่มีการวาง javascript เอาไว้ ซึ่งขณะนี้พบเพียงว่าเว็ปไซต์ดังกล่าวอยู่ในประเทศรัสเซีย, บัลแกเรีย และตุรกี จากนั้นจะมี Pop-up แจ้งเตือนเพื่อหลอกให้ทาการอัพเดท Flash Player
เมื่อกดปุ่ม Install ระบบจะทาการดาวน์โหลด Ransomware ที่มีชื่อไฟล์ว่า “install_flash_player.exe” ในที่สุดเครื่องที่ติดจะถูกเข้ารหัส และไม่สามารถเปิดเครื่องได้
ในส่วนของการแพร่ขยายผ่าน SMB นั้น พบว่าจะทาการ Scan เพื่อตรวจสอบว่ามีการแชร์ Service อะไรไว้บ้าง และใช้โปรแกรมอื่น(Mimikatz) ช่วยในการขโมย Credential บนเครื่อง ซึ่งแตกต่างกับ Not-Petya และ WannaCry ที่จะใช้ช่องโหว่(MS17-010)ในการแพร่กระจายเลย
ในส่วนของการป้องกัน และตรวจสอบขั้นต้นมีดังต่อไปนี้
1. ตรวจสอบว่าพบไฟล์ดังต่อไปนี้บนเครื่องหรือไม่ - Infpub.dat (79116fe99f2b421c52ef64097f0f39b815b20907) - Dispci.exe (afeee8b4acff87bc469a6f0364a81ae5d60a2add) - Install_flash_player.exe (de5c8d858e6e41da715dca1c019df0bfb92d32c0) - Page-main.js (4f61e154230a64902ae035434690bf2b96b4e018)
2. ตรวจสอบว่ามีความพยายามติดต่อไปยังเว็ปไซต์ดังต่อไปนี้หรือไม่ - http://caforssztxqzf2nm[.]onion - http://185.149.120[.]3/scholargoogle/ - hxxp://1dnscontrol[.]com/flash_install.php - hxxp://1dnscontrol[.]com/index.php
3. ตรวจสอบว่ามีการเข้าไปยังเว็ปไซต์ดังต่อไปนี้หรือไม่ และหลีกเลี่ยงการเข้าเว็ปไซต์ดังต่อไปนี้
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
4. หากพบหน้าต่าง Pop-up แจ้งการอัพเดท Flash Player ควรตรวจสอบ และหลีกเลี่ยงการอัพเดทไปก่อน จนกว่าจะมั่นใจ
5. ตรวจสอบในส่วนของ task schedule บนเครื่องว่ามีชื่อดังต่อไปนี้ในรายการหรือไม่
- viserion_
- rhaegal
- Drogon
6. หากพบว่าเครื่องติด ransomware แล้ว อย่าทาการ restart หรือ shutdown เครื่องเป็นอันขาด เนื่องจากอาจจะส่งให้ไม่สามารถกู้คืนเครื่องคืนมาได้
ทั้งนี้ในส่วนของรายละเอียดโดยละเอียดทางทีมงาน I-SECURE จะทาการอัพเดทให้โดยเร็วที่สุด
ที่มา : thehackernews
You must be logged in to post a comment.