Aurora / Zorro Ransomware กำลังแพร่กระจายอย่างต่อเนื่อง
Aurora Ransomware ได้มีการกระจายตั้งแต่ช่วงฤดูร้อนของปี 2018 ได้กลับมาปรากฏตัวอีกครั้งในรูปแบบสายพันธุ์ใหม่เรียกว่า Zorro Ransomware ปัจจุบันยังไม่แน่ชัดว่า Ransomware นี้มีการกระจายอย่างไร แต่มีข้อบ่งชี้ว่าอาจถูกติดตั้งโดยการแฮ็กเข้าสู่คอมพิวเตอร์ที่ใช้ Remote Desktop Service และคอมพิวเตอร์ที่มีการเปิดให้เข้าถึงจาก Internet ซึ่งแฮกเกอร์จะสุ่มรหัสผ่านบัญชี RDP เพื่อเข้าถึงคอมพิวเตอร์และติดตั้ง Ransomware ลงบนเครื่อง
ข่าวดีก็คือ Michael Gillespie และ Francesco Muroni ได้ค้นพบวิธีถอดรหัส Ransomware ตัวนี้แล้ว
จากการตรวจสอบ wallet ที่ถูกใช้ในการจ่ายเงิน ปัจจุบันมีธุรกรรม 105 รายการ ตั้งแต่ปลายเดือนกันยายน โดยได้เงินไป 2.7 bitcoins ซึ่งเท่ากับ 12,000 ดอลลาร์สหรัฐฯ
เมื่อติดตั้ง Ransomware แล้ว จะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่ง (C&C) เพื่อรับข้อมูลและใช้ในการเข้ารหัสไฟล์ของเหยื่อ จากนั้นจะเชื่อมต่อกับ http://www.geoplugin[.]net/php.gp เพื่อระบุว่าเหยื่ออยู่ในประเทศใดบ้างจาก IP ทั้งนี้มีการพบคำว่า "Russia" ในไฟล์ที่ใช้รัน จึงมีการคาดการณ์ว่า Ransomware นี้จะไม่เข้ารหัสเหยื่อที่อยู่ในประเทศรัสเซีย เมื่อมีการรันไฟล์แล้วจะสแกนคอมพิวเตอร์เพื่อหาชนิดของไฟล์ที่เป็นเป้าหมาย และทำการเข้ารหัส เมื่อทำการเข้ารหัสแล้วจะเพิ่มนามสกุลไฟล์ .aurora ต่อท้าย และสร้างใบเรียกค่าไถ่ในแต่ละโฟลเดอร์ที่เข้ารหัส เพื่อบอกคำแนะนำ และวิธีชำระค่าไถ่ สุดท้าย Ransomware จะสร้างไฟล์ %UserProfile%wall.i ซึ่งเป็นไฟล์ jpg และตั้งเป็นภาพพื้นหลัง Desktop ในภาพมีคำแนะนำเพื่อให้เหยื่อรู้ว่าต้องไปเปิดใบเรียกค่าไถ่จากไหน
วิธีป้องกันจาก Aurora / Zorro Ransomware
หรือการเรียกค่าไถ่อื่นๆ คือการติดตั้งซอฟต์แวร์ป้องกันความปลอดภัยบนเครื่อง และควรมีการสำรองข้อมูลอย่างสม่ำเสมอ นอกจากนี้ ransomware ส่วนมาก จะได้รับการติดตั้งผ่านบริการ Remote Desktop จึงควรเปิดใช้ Remote Desktop เท่าที่จำเป็นเท่านั้น รวมถึงการตรวจสอบให้แน่ใจว่าไม่มีคอมพิวเตอร์ที่ใช้บริการ Desktop จากระยะไกลเชื่อมต่อกับอินเทอร์เน็ตโดยตรง หากจำเป็นต้องมีการ Remote ควรจะต่อ VPN ก่อน เพื่อให้สามารถเข้าถึงได้เฉพาะกับผู้ที่มีบัญชี VPN ในเครือข่ายของคุณเท่านั้น นอกจากนี้ไม่ควรเปิดไฟล์แนบที่มาจากบุคคลที่ไม่น่าเชื่อถือ และหมั่นอัพเดทโปรแกรมรักษาความปลอดภัยบนเครื่อง รวมทั้งโปรแกรมอื่นๆ ที่มีการใช้งานบนเครื่องให้ใหม่อยู่เสมอ
ที่มา: bleepingcomputer.com
You must be logged in to post a comment.