นักวิจัยค้นพบโทรจันที่สามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware
นักวิจัยค้นพบโทรจันที่สามารถสามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware โดยมีการพัฒนามาจาก Trojan-Ransom.Win32.Rakhni ในตระกูล ransomware ที่พบตั้งแต่ปี 2013 โดยเน้นโจมตีผู้ใช้ในประเทศรัสเซีย
Rakhni แพร่ระบาดผ่านทางอีเมลล์ที่มีไฟล์แนบเป็น word ที่มีไอคอนของ ไฟล์ pdf ภายใน เมื่อผู้ใช้พยายามเปิดไอคอนดังกล่าวก็จะทำให้โทรจันดังกล่าวทำการติดตั้ง เมื่อติดตั้งแล้ว Rakhni จะทำการตรวจสอบคอมพิวเตอร์เพื่อตัดสินใจว่าจะทำการติดตั้ง Ransomware หรือติดตั้งตัวขุด Cryptocurrency โดยมีหลักการดังนี้
-ถ้าคอมพิวเตอร์มี แฟ้ม %AppData%\Bitcoin (ซึ่งอนุมานได้ว่ามีกระเป๋าเงิน bitcoin อยู่ในเครื่อง) โทรจันจะทำการติดตั้งตัว Ransomware
-ถ้าคอมพิวเตอร์ไม่มีแฟ้ม และมีมากกว่า 2 logical process โทรจันจะทำการติดตั้งตัวขุด
-ถ้าคอมพิวเตอร์ไม่มีแฟ้ม โทรจันจะใช้งาน worm component และพยายามแพร่กระจายไปยังเครื่องอื่นๆที่อยู่ใน local network
นอกจากนี้โทรจันดังกล่าวจะรันคำสั่งเพื่อพยายามหยุดการทำงานของ Windows Defender อีกด้วย
ในกรณีที่ติดตั้งตัว Ransomware
โทรจันจะทำการเข้ารหัสไฟล์ในเครื่องด้วยการเข้ารหัสแบบ RSA-1024 และแสดงข้อความเรียกค่าไถ่
ในกรณีที่ติดตั้งตัวขุด
โทรจันจะใช้ MinerGate เพื่อขุด Monero (XMR), Monero Original (XMO) และ Dashcoin (DSH)
วิธีป้องกัน
-ไม่เปิดไฟล์ หรือ link จาก email ที่น่าสงสัย
-ทำการ backup อยู่เป็นประจำ
-ใช้ anti-virus ที่อัพเดตอย่างสม่ำเสมอ
ที่มา:thehackernews
You must be logged in to post a comment.