เมื่อสัปดาห์ที่ผ่านมานักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam ค้นพบ ransomware ตัวใหม่ชื่อว่า CryptoNar จากการตรวจสอบพบว่ามีผู้ติด ransomware ดังกล่าวเกือบ 100 คน
CryptoNar หรือ Crypto Nar Ransomware จะเข้ารหัสไฟล์ของเหยื่อ โดยจะทำการเข้ารหัสไฟล์แตกต่างกันออกไปขึ้นอยู่กับชนิดของไฟล์ที่กำลังถูกเข้ารหัส โดยไฟล์ที่เป็น .txt หรือ .md จะทำการเข้ารหัสไฟล์ทั้งหมดและเปลี่ยนนามสกุลไฟล์เป็น .fully.
นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ
จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin
ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น
- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.
พบการโจมตีในลักษณะ malspam ทำการหลอกลวงโดยปลอมใบแจ้งหนี้สำหรับการแจ้งยอดค้างชำระ เมื่อมีการเปิดใบแจ้งหนี้จะถูกติดตั้ง AZORult ซึ่งเป็น Trojan ขโมยข้อมูล และ Hermes 2.1 Ransomware ลงในคอมพิวเตอร์ของผู้รับ
อีเมลสแปมเหล่านี้ถูกส่งมาโดยใส่ subject เป็น "Invoice Due" และอ้างว่าเป็นข้อมูลเกี่ยวกับยอดค้างชำระ ที่มีเอกสารแนบ Word ชื่อ Invoice.
บริษัท AhnLab ผู้ให้บริการความปลอดภัยของเกาหลีใต้ ได้ทำการออกโปรแกรมสำหรับป้องกัน Ransomware GandCrab v4.1.2 เมื่อวันที่ 19 กรกฎาคม 2018 โดยโปรแกรมดังกล่าวจะทำการสร้างไฟล์ Ransomware ขึ้นบนคอมพิวเตอร์ของผู้ใช้ เพื่อหลอกให้ ransomware คิดว่าเครื่องของผู้ใช้งานติด Ransomware แล้ว
หลังจากที่ AhnLab เปิดตัวโปรแกรมสำหรับป้องกัน Ransomware GandCrab v4.1.2 (killswitch) ออกมาเพียงไม่กี่ชั่วโมง ทางด้าน Crab ผู้พัฒนา Ransomware GandCrab ก็ได้ทำการสร้างและเปิดตัว ransomware เวอร์ชันใหม่ขึ้นมาอีกสองเวอร์ชั่นคือ GandCrab v4.2.1 และ GandCrab v4.3 โดยมีข้อสันนิษฐานว่า Ransomware GandCrab เวอร์ชั่นใหม่มี exploit code ไปที่่โปรแกรมป้องกันมัลแวร์เรียกค่าไถ่ของ AhnLab โดยหนึ่งในการแสดงความคิดเห็นมีการอ้างถึง Ahnlab ว่า "hey ahnlab, score - 1:1,"
อย่างไรก็ตามทาง Ahnlab มีมั่นใจว่าโปรแกรมที่พัฒนานั้นสามารถใช้งานได้กับ GandCrab version 4.21 และ GandCrab version 4.3 ด้วย
ที่มา : Bleepingcomputer
Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่
ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ
Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้
เว็ปไซต์ : https://www.
นักวิจัยด้านความปลอดภัยพบรมัลแวร์บนแอนดรอยด์ Lokibot ซึ่งหากมีความพยายามจะดำเนินการลบมัลแวร์ออกนั้น มันจะทำการล็อคเครื่องแล้วเปลี่ยนตัวเองเป็น ransomware ทันที
เป้าหมายหลักแต่เดิมของ Lokibot คือการขโมยข้อมูลผู้ใช้งานโดยอาศัยการสร้างหน้าล็อกอินปลอมในแอปที่มีชื่อเสียงไม่ว่าจะเป็น Skype, Outlook และ WhatsApp โดยมันจะทำงานเฉพาะบน Android 4.0 ขึ้นไปและต้องอาศัยสิทธิ์ค่อนข้างสูงในระบบเพื่อให้สามารถทำงานได้
อย่างไรก็ตามทีมนักวิจัยจาก SfyLabs มีการค้นพบว่า LokiBot นั้นผิดพลาดในกระบวนการเข้ารหัสอย่างสิ้นเชิ่ง ส่งผลให้ไฟล์ที่ควรจะถูกเข้ารหัสนั้นไม่ได้เกิดการเข้ารหัสขึ้นมาจริงๆ แต่เห็นเป็นเพียงแค่การเปลี่ยนชื่อ แต่แม้ว่ากระบวนการเข้ารหัสไฟล์จะหละหลวม มัลแวร์ก็ยังทำการล็อคหน้าจอเพื่อไม่ให้ผู้ใช้งานเข้าถึงระบบได้อีกด้วย โดยวิธีเดียวที่จะทำให้ผู้ใช้งานสามารถเข้าถึงเครื่องได้อีกครั้งคือการบูตเครื่องเข้าสู่ Safe Mode ทำการลบบัญชีผู้ใช้งานที่มีสิทธิ์ของผู้ดูแลระบบที่ถูกสร้างโดย Lokibot และลบแอป Lokibot ทิ้ง
ขอให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อต้องดาวโหลดหรือติดตั้งแอปจากที่มาที่ไม่ชัดเจน รวมไปถึงตรวจสอบสิทธิ์ที่แอปร้องขอทุกครั้งเมื่อติดตั้ง
ที่มา: bleepingcomputer
แม้ว่าช่วงครึ่งปีแรกของ 2560 ไม่พบการโจมตีใดๆ จาก Necurs botnet เลย แต่เมื่อเร็ว ๆ นี้ได้มีการพบว่าถูกใช้ในการแพร่กระจาย Locky ransomware ผ่านอีเมลล์นับล้านฉบับ
นักวิจัยด้านความปลอดภัยจาก Symantec พบว่ากลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง Necurs botnet ได้มีการเพิ่มฟังค์ชันบางอย่างในชุดเครื่องมือหลัก เพื่อให้ได้ข้อมูลเชิงลึกเพิ่มเติมของเหยื่อผ่านการใช้ Screenshots และส่งกลับไป นอกจากนี้ผู้โจมตีได้ทำการอัพเกรดมัลแวร์ ให้มีฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting) ในกรณีที่เกิดปัญหาในการดาวน์โหลด เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ คล้ายกับฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting ) ของซอฟต์แวร์ที่ถูกต้อง
Necurs botnet มีการแพร่กระจายอยู่เพียง 5 ปีเท่านั้น แต่มันสามารถทำให้เครื่องของเหยื่อเป็นฐานในการแพร่กระจายมัลแวร์ (Zombie) ได้ถึง 6 ล้านเครื่อง ส่งผลทำให้เครื่องเหยื่อมีการดาวน์โหลด banking Trojans และ Ransomware ผ่านอีเมลล์ไปแล้วนับล้านฉบับ โดยส่วนใหญ่ผู้โจมตีจะปลอมแปลงอีเมลล์เป็นใบแจ้งหนี้ (INVOICE) โดยมีรายละเอียดดังนี้
Subject: Status of invoice [หมายเลขใบ INVOICE ปลอม]
Attachment: [หมายเลขใบ INVOICE ปลอม].html
เนื้อหาของอีเมลล์ประกอบด้วยข้อความที่จูงใจให้ผู้อ่านอยากเปิดเอกสารแนบเพื่อตรวจสอบใบแจ้งหนี้ หากผู้ใช้เปิดไฟล์ .html ที่แนบมา ระบบจะทำการดาวน์โหลด JavaScript ผ่านทาง iframe ที่ฝังมาเพื่อดาวน์โหลด Payload ที่อาจเป็น Locky หรือ Trickybot มาด้วย
วิธีป้องกันอันตรายจากอีเมลล์
1. ไม่ทำการเปิด หรือทำการลบอีเมลล์ที่ไม่มีแหล่งที่มาน่าเชื่อถือ โดยเฉพาะอย่างยิ่งหากเป็นอีเมลล์ที่มีลิงก์หรือไฟล์เอกสารแนบ
2. อัพเกรดโปรแกรมรักษาความปลอดภัยและซอฟต์แวร์อย่างสม่ำเสมอ
3. ทำการสำรองข้อมูลของเครื่องอย่างสม่ำเสมอ
ที่มา : digitaljournal
พบ Ransomware สายพันธุ์ใหม่ที่ชื่อว่า “Bad Rabbit” ระบาดในประเทศรัสเซีย และยูเครน โดยมีพฤติกรรมการเข้ารหัสคล้ายคลึงกับ Not-Petya คือทาการเข้ารหัส Harddisk ทาให้ไม่สามารถเปิดเครื่องได้ และเชื่อว่ามีพฤติกรรมการแพร่กระจายผ่านการใช้งาน SMB
วิธีการติดพบว่ามาจากการเข้าไปยังเว็ปไซต์ที่มีการวาง javascript เอาไว้ ซึ่งขณะนี้พบเพียงว่าเว็ปไซต์ดังกล่าวอยู่ในประเทศรัสเซีย, บัลแกเรีย และตุรกี จากนั้นจะมี Pop-up แจ้งเตือนเพื่อหลอกให้ทาการอัพเดท Flash Player
เมื่อกดปุ่ม Install ระบบจะทาการดาวน์โหลด Ransomware ที่มีชื่อไฟล์ว่า “install_flash_player.
แจ้งเตือน Ransomware บนแอนดรอยด์รูปแบบใหม่ "DoubleLocker" รันใหม่ทุกครั้งเมื่อกดปุ่มโฮม
นักวิจัยด้านความปลอดภัย Lukas Stefanko จาก ESET ได้ตรวจพบและทำการวิเคราะห์มัลแวร์เรียกค่าไถ่บนระบบปฏิบัติการแอนดรอยด์ภายใต้ชื่อ DoubleLocker โดยระบุไว้ว่า DoubleLocker นั้นมีวิธีการที่ค่อนข้างแปลกใหม่โดยการใช้ Accessibility service เป็นส่วนหนึ่งในการโจมตี
DoubleLocker แพร่กระจายผ่านทางแอปพลิเคชันแปลกๆ ที่ผู้ใช้งานติดตั้ง ผู้ใช้งานสามารถสังเกตความผิดปกติได้ว่าแอปของ DoubleLocker จะมีการร้องขอการใช้งานฟีเจอร์ Accessibility service ซึ่งโดยส่วนมากจะไม่มีการขอใช้งาน
เมื่อติดตั้งเป็นที่เรียบร้อย DoubleLocker จะมีการใช้ Accessibility service หรือส่วนที่ใช้ในการเข้าถึงเมนู และปรับแต่งแอปของตัวมันเองเพื่อให้ได้มาซึ่งสิทธิ์สูงสุดในระบบ ทันทีดำเนินการเรียบร้อย มัลแวร์จะทำการเปลี่ยนรหัสล็อคหน้าจอ ทำการเข้ารหัสไฟล์และแสดง ransom note ทันที
นอกเหนือจากนั้น DoubleLocker จะมีการตั้งค่าตัวเองให้เป็นแอปให้เป็น App Launcher หรือหน้าแอป ทำให้ทุกครั้งที่ผู้ใช้งานกดปุ่มโฮมเพื่อกลับไปที่หน้าแอปก็จะเป็นการเรียกมัลแวร์อีกครั้ง ค่าไถ่สำหรับ DoubleLocker นั้นอยู่ที่ประมาณ 70 ดอลลาร์สหรัฐฯ ผู้ใช้งานสามารถสังเกตเห็นไฟล์ที่ถูกเข้ารหัสได้จากนามสกุลของไฟล์ .cryeye
ในตอนนี้วิธีการเดียวที่จะแก้ปัญหาคือการทำ Factory Reset เพื่อล้างข้อมูลทั้งหมด
Recommendation: ขอให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อมีการติดตั้งแอปใดๆ ที่ลงในเครื่อง รวมไปถึงควรมีการตรวจเช็คแหล่งที่มาให้ดีก่อน
ที่มา: bleepingcomputer
Bitdefender ปล่อย Ransomware Recognition Tool ใช้ระบุตัวมัลแวร์เรียกค่าไถ่เพื่อตรวจสอบว่าถอดรหัสได้หรือไม่
Bitdefender ได้มีการเผยแพร่เครื่องมือชื่อว่า Ransomware Recognition Tool โดยเป็นเครื่องมือที่สามารถช่วยให้ผู้ใช้งานและผู้ดูแลระบบสามารถใช้ในการสแกนระบบ "หลัง" จากได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่เพื่อช่วยในการระบุรุ่นและประเภทของมัลแวร์เรียกค่าไถ่ และตรวจสอบว่ามัลแวร์เรียกค่าไถ่ในรุ่นดังกล่าวมีโปรแกรมสำหรับถอดรหัสหรือไม่ได้
สิ่งที่ต้องทำคือ ผู้ใช้งานจะต้องทำการดาวโหลดโปรแกรมดังกล่าว ทำการเปิดโปรแกรมและเลือกโฟลเดอร์ที่มีไฟล์ที่ถูกเข้ารหัสพร้อมทั้งโน๊ตที่มัลแวร์เรียกค่าไถ่ทิ้งไว้อยู่ โปรแกรมจะทำการอัพโหลดไฟล์โน๊ตดังกล่าวขึ้นระบบคลาวด์เพื่อตรวจสอบและแจ้งผลลัพธ์การตรวจสอบผ่านทางหน้าต่างโปรแกรม
ผู้ใช้งานสามารถดาวโหลดโปรแกรมและดูวิธีการใช้งานเบื้องต้นได้จากลิงค์แหล่งที่มา
ที่มา : ฺBitdefender