ค้นพบ Matrix Ransomware รูปแบบใหม่ เปลี่ยนชื่อไฟล์ที่เข้ารหัสและแก้ไขนามสกุลเป็น .FOX สิ่งที่น่าสนใจสำหรับ ransomware ตัวนี้คือมีการตรวจสอบว่าไฟล์มีการใช้งานอยู่หรือไม่เพื่อทำการเข้ารหัส
Ransomware ตัวนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam โดยจะติดตั้งผ่านคอมพิวเตอร์ที่มีการเปิด Remote Desktop ผ่านการเชื่อมต่อกับอินเทอร์เน็ตจากภายนอก ผู้โจมตีจะสแกน ranges ของ IP เพื่อค้นหาเครื่องเป้าหมายและพยายามสุ่มรหัสผ่าน เมื่อสามารถเข้าถึงคอมพิวเตอร์ได้ จะทำการติดตั้ง ransomware
Fox Ransomware ถูกพัฒนามาจาก Matrix Ransomware ที่จะมีการติดต่อกับ C&C server และแสดงคอนโซลอัพเดตสถานะในการเข้ารหัส มีการวาง batch ไฟล์เพื่อปิดไฟล์ที่เปิดอยู่ทั้งหมดเพื่อทำการเข้ารหัส โดยเริ่มจากการลบ attributes ทั้งหมดออกจากไฟล์, เปลี่ยนแปลงสิทธิ์การเป็นเจ้าของและสุดท้ายใช้ Handle.exe ที่มาจาก Sysinternals เพื่อจัดการปิดไฟล์ที่เปิดอยู่ทั้งหมด
ไฟล์ที่ถูกเข้ารหัสจะถูกเปลี่ยนชื่อไฟล์และต่อท้ายด้วยนามสกุล .FOX ตัวอย่างเช่น [[PabFox@protonmail[.]com|mailto:PabFox@protonmail.com]] .CAE5V4FC-wwWa0jxY.FOX จะมีการสร้างใบแจ้งค่าไถ่ที่มีชื่อ #FOX_README#.rtf ที่มีคำแนะนำในการติดต่อผู้โจมตีเพื่อชำระเงิน อีเมลที่ระบุในใบเรียกค่าไถ่คือ [PabFox@protonmail[.]com|mailto:PabFox@protonmail.com], [FoxHelp@cock[.]li|mailto:FoxHelp@cock.li]และ [FoxHelp@tutanota[.]com|mailto:FoxHelp@tutanota.com] และมีรหัส Bitmessage ให้มาเพื่อติดต่อขอข้อมูล ขั้นตอนสุดท้ายของกระบวนการเข้ารหัสจะมีการสร้าง Random ไฟล์ที่เป็น .vbs ในโฟลเดอร์ AppData เพื่อสร้าง scheduled task ชื่อ DSHCA ขึ้นมาเรียกใช้ไฟล์ batch ที่มีสิทธิ์ระดับ admin ซึ่งจะทำการล้างข้อมูลในเครื่องคอมพิวเตอร์, ปิดการใช้งาน repair features, ลบ shadow volume copy โดยใช้ WMIC, PowerShell และ vssadmin, ลบ Windows recovery และลบไฟล์ VBS, scheduled task และตัวมันเอง
อย่างไรก็ดีการที่มันพยายามจัดการปิดไฟล์ทั้งหมดก่อนที่จะเข้ารหัส ทำให้กระบวนการเข้ารหัสจะช้ามาก ผู้ใช้จึงสามารถตรวจพบได้ว่ามีการติดไวรัสก่อนที่กระบวนการจะเสร็จสมบูรณ์
ข้อแนะนำ
- ทำการ Backup ข้อมูลอย่างสม่ำเสมอ
- อย่าเปิดเอกสารแนบถ้าไม่ทราบว่าใครเป็นผู้ส่ง และสแกนเอกสารแนบด้วยเครื่องมือต่างๆ
- ตรวจสอบให้แน่ใจว่าการอัปเดต Windows ทั้งหมดได้รับการติดตั้งทันทีที่ออกมา นอกจากนี้อัพเดตโปรแกรมทั้งหมดโดยเฉพาะ Java, Flash และ Adobe Reader โปรแกรมเก่า ๆ มีช่องโหว่
- ใช้รหัสผ่านที่คาดเดาได้ยากและไม่ใช้รหัสผ่านเดียวกันซ้ำในหลายๆ Site
- หากมีการใช้ Remote Desktop Services อย่าเชื่อมต่อโดยตรงกับอินเทอร์เน็ต หากจำเป็นให้เข้าถึงได้โดยผ่าน VPN เท่านั้น
- ลง Endpoint Protection หรือ Anti-virus ที่น่าเชื่อถือบนเครื่อง
ที่มา : bleepingcomputer
You must be logged in to post a comment.