บริษัท AhnLab ผู้ให้บริการความปลอดภัยของเกาหลีใต้ ได้ทำการออกโปรแกรมสำหรับป้องกัน Ransomware GandCrab v4.1.2 เมื่อวันที่ 19 กรกฎาคม 2018 โดยโปรแกรมดังกล่าวจะทำการสร้างไฟล์ Ransomware ขึ้นบนคอมพิวเตอร์ของผู้ใช้ เพื่อหลอกให้ ransomware คิดว่าเครื่องของผู้ใช้งานติด Ransomware แล้ว

หลังจากที่ AhnLab เปิดตัวโปรแกรมสำหรับป้องกัน Ransomware GandCrab v4.1.2 (killswitch) ออกมาเพียงไม่กี่ชั่วโมง ทางด้าน Crab ผู้พัฒนา Ransomware GandCrab ก็ได้ทำการสร้างและเปิดตัว ransomware เวอร์ชันใหม่ขึ้นมาอีกสองเวอร์ชั่นคือ GandCrab v4.2.1 และ GandCrab v4.3 โดยมีข้อสันนิษฐานว่า Ransomware GandCrab เวอร์ชั่นใหม่มี exploit code ไปที่่โปรแกรมป้องกันมัลแวร์เรียกค่าไถ่ของ AhnLab โดยหนึ่งในการแสดงความคิดเห็นมีการอ้างถึง Ahnlab ว่า "hey ahnlab, score - 1:1,"

อย่างไรก็ตามทาง Ahnlab มีมั่นใจว่าโปรแกรมที่พัฒนานั้นสามารถใช้งานได้กับ GandCrab version 4.21 และ GandCrab version 4.3 ด้วย

ที่มา : Bleepingcomputer

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.

นักวิจัยด้านความปลอดภัยพบรมัลแวร์บนแอนดรอยด์ Lokibot ซึ่งหากมีความพยายามจะดำเนินการลบมัลแวร์ออกนั้น มันจะทำการล็อคเครื่องแล้วเปลี่ยนตัวเองเป็น ransomware ทันที

เป้าหมายหลักแต่เดิมของ Lokibot คือการขโมยข้อมูลผู้ใช้งานโดยอาศัยการสร้างหน้าล็อกอินปลอมในแอปที่มีชื่อเสียงไม่ว่าจะเป็น Skype, Outlook และ WhatsApp โดยมันจะทำงานเฉพาะบน Android 4.0 ขึ้นไปและต้องอาศัยสิทธิ์ค่อนข้างสูงในระบบเพื่อให้สามารถทำงานได้

อย่างไรก็ตามทีมนักวิจัยจาก SfyLabs มีการค้นพบว่า LokiBot นั้นผิดพลาดในกระบวนการเข้ารหัสอย่างสิ้นเชิ่ง ส่งผลให้ไฟล์ที่ควรจะถูกเข้ารหัสนั้นไม่ได้เกิดการเข้ารหัสขึ้นมาจริงๆ แต่เห็นเป็นเพียงแค่การเปลี่ยนชื่อ แต่แม้ว่ากระบวนการเข้ารหัสไฟล์จะหละหลวม มัลแวร์ก็ยังทำการล็อคหน้าจอเพื่อไม่ให้ผู้ใช้งานเข้าถึงระบบได้อีกด้วย โดยวิธีเดียวที่จะทำให้ผู้ใช้งานสามารถเข้าถึงเครื่องได้อีกครั้งคือการบูตเครื่องเข้าสู่ Safe Mode ทำการลบบัญชีผู้ใช้งานที่มีสิทธิ์ของผู้ดูแลระบบที่ถูกสร้างโดย Lokibot และลบแอป Lokibot ทิ้ง

ขอให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อต้องดาวโหลดหรือติดตั้งแอปจากที่มาที่ไม่ชัดเจน รวมไปถึงตรวจสอบสิทธิ์ที่แอปร้องขอทุกครั้งเมื่อติดตั้ง

ที่มา: bleepingcomputer

แม้ว่าช่วงครึ่งปีแรกของ 2560 ไม่พบการโจมตีใดๆ จาก Necurs botnet เลย แต่เมื่อเร็ว ๆ นี้ได้มีการพบว่าถูกใช้ในการแพร่กระจาย Locky ransomware ผ่านอีเมลล์นับล้านฉบับ

นักวิจัยด้านความปลอดภัยจาก Symantec พบว่ากลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง Necurs botnet ได้มีการเพิ่มฟังค์ชันบางอย่างในชุดเครื่องมือหลัก เพื่อให้ได้ข้อมูลเชิงลึกเพิ่มเติมของเหยื่อผ่านการใช้ Screenshots และส่งกลับไป นอกจากนี้ผู้โจมตีได้ทำการอัพเกรดมัลแวร์ ให้มีฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting) ในกรณีที่เกิดปัญหาในการดาวน์โหลด เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ คล้ายกับฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting ) ของซอฟต์แวร์ที่ถูกต้อง

Necurs botnet มีการแพร่กระจายอยู่เพียง 5 ปีเท่านั้น แต่มันสามารถทำให้เครื่องของเหยื่อเป็นฐานในการแพร่กระจายมัลแวร์ (Zombie) ได้ถึง 6 ล้านเครื่อง ส่งผลทำให้เครื่องเหยื่อมีการดาวน์โหลด banking Trojans และ Ransomware ผ่านอีเมลล์ไปแล้วนับล้านฉบับ โดยส่วนใหญ่ผู้โจมตีจะปลอมแปลงอีเมลล์เป็นใบแจ้งหนี้ (INVOICE) โดยมีรายละเอียดดังนี้

Subject: Status of invoice [หมายเลขใบ INVOICE ปลอม]
Attachment: [หมายเลขใบ INVOICE ปลอม].html
เนื้อหาของอีเมลล์ประกอบด้วยข้อความที่จูงใจให้ผู้อ่านอยากเปิดเอกสารแนบเพื่อตรวจสอบใบแจ้งหนี้ หากผู้ใช้เปิดไฟล์ .html ที่แนบมา ระบบจะทำการดาวน์โหลด JavaScript ผ่านทาง iframe ที่ฝังมาเพื่อดาวน์โหลด Payload ที่อาจเป็น Locky หรือ Trickybot มาด้วย

วิธีป้องกันอันตรายจากอีเมลล์
1. ไม่ทำการเปิด หรือทำการลบอีเมลล์ที่ไม่มีแหล่งที่มาน่าเชื่อถือ โดยเฉพาะอย่างยิ่งหากเป็นอีเมลล์ที่มีลิงก์หรือไฟล์เอกสารแนบ
2. อัพเกรดโปรแกรมรักษาความปลอดภัยและซอฟต์แวร์อย่างสม่ำเสมอ
3. ทำการสำรองข้อมูลของเครื่องอย่างสม่ำเสมอ

ที่มา : digitaljournal

พบ Ransomware สายพันธุ์ใหม่ที่ชื่อว่า “Bad Rabbit” ระบาดในประเทศรัสเซีย และยูเครน โดยมีพฤติกรรมการเข้ารหัสคล้ายคลึงกับ Not-Petya คือทาการเข้ารหัส Harddisk ทาให้ไม่สามารถเปิดเครื่องได้ และเชื่อว่ามีพฤติกรรมการแพร่กระจายผ่านการใช้งาน SMB
วิธีการติดพบว่ามาจากการเข้าไปยังเว็ปไซต์ที่มีการวาง javascript เอาไว้ ซึ่งขณะนี้พบเพียงว่าเว็ปไซต์ดังกล่าวอยู่ในประเทศรัสเซีย, บัลแกเรีย และตุรกี จากนั้นจะมี Pop-up แจ้งเตือนเพื่อหลอกให้ทาการอัพเดท Flash Player

เมื่อกดปุ่ม Install ระบบจะทาการดาวน์โหลด Ransomware ที่มีชื่อไฟล์ว่า “install_flash_player.

แจ้งเตือน Ransomware บนแอนดรอยด์รูปแบบใหม่ "DoubleLocker" รันใหม่ทุกครั้งเมื่อกดปุ่มโฮม

นักวิจัยด้านความปลอดภัย Lukas Stefanko จาก ESET ได้ตรวจพบและทำการวิเคราะห์มัลแวร์เรียกค่าไถ่บนระบบปฏิบัติการแอนดรอยด์ภายใต้ชื่อ DoubleLocker โดยระบุไว้ว่า DoubleLocker นั้นมีวิธีการที่ค่อนข้างแปลกใหม่โดยการใช้ Accessibility service เป็นส่วนหนึ่งในการโจมตี

DoubleLocker แพร่กระจายผ่านทางแอปพลิเคชันแปลกๆ ที่ผู้ใช้งานติดตั้ง ผู้ใช้งานสามารถสังเกตความผิดปกติได้ว่าแอปของ DoubleLocker จะมีการร้องขอการใช้งานฟีเจอร์ Accessibility service ซึ่งโดยส่วนมากจะไม่มีการขอใช้งาน

เมื่อติดตั้งเป็นที่เรียบร้อย DoubleLocker จะมีการใช้ Accessibility service หรือส่วนที่ใช้ในการเข้าถึงเมนู และปรับแต่งแอปของตัวมันเองเพื่อให้ได้มาซึ่งสิทธิ์สูงสุดในระบบ ทันทีดำเนินการเรียบร้อย มัลแวร์จะทำการเปลี่ยนรหัสล็อคหน้าจอ ทำการเข้ารหัสไฟล์และแสดง ransom note ทันที

นอกเหนือจากนั้น DoubleLocker จะมีการตั้งค่าตัวเองให้เป็นแอปให้เป็น App Launcher หรือหน้าแอป ทำให้ทุกครั้งที่ผู้ใช้งานกดปุ่มโฮมเพื่อกลับไปที่หน้าแอปก็จะเป็นการเรียกมัลแวร์อีกครั้ง ค่าไถ่สำหรับ DoubleLocker นั้นอยู่ที่ประมาณ 70 ดอลลาร์สหรัฐฯ ผู้ใช้งานสามารถสังเกตเห็นไฟล์ที่ถูกเข้ารหัสได้จากนามสกุลของไฟล์ .cryeye

ในตอนนี้วิธีการเดียวที่จะแก้ปัญหาคือการทำ Factory Reset เพื่อล้างข้อมูลทั้งหมด

Recommendation: ขอให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อมีการติดตั้งแอปใดๆ ที่ลงในเครื่อง รวมไปถึงควรมีการตรวจเช็คแหล่งที่มาให้ดีก่อน

ที่มา: bleepingcomputer

Bitdefender ปล่อย Ransomware Recognition Tool ใช้ระบุตัวมัลแวร์เรียกค่าไถ่เพื่อตรวจสอบว่าถอดรหัสได้หรือไม่

Bitdefender ได้มีการเผยแพร่เครื่องมือชื่อว่า Ransomware Recognition Tool โดยเป็นเครื่องมือที่สามารถช่วยให้ผู้ใช้งานและผู้ดูแลระบบสามารถใช้ในการสแกนระบบ "หลัง" จากได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่เพื่อช่วยในการระบุรุ่นและประเภทของมัลแวร์เรียกค่าไถ่ และตรวจสอบว่ามัลแวร์เรียกค่าไถ่ในรุ่นดังกล่าวมีโปรแกรมสำหรับถอดรหัสหรือไม่ได้

สิ่งที่ต้องทำคือ ผู้ใช้งานจะต้องทำการดาวโหลดโปรแกรมดังกล่าว ทำการเปิดโปรแกรมและเลือกโฟลเดอร์ที่มีไฟล์ที่ถูกเข้ารหัสพร้อมทั้งโน๊ตที่มัลแวร์เรียกค่าไถ่ทิ้งไว้อยู่ โปรแกรมจะทำการอัพโหลดไฟล์โน๊ตดังกล่าวขึ้นระบบคลาวด์เพื่อตรวจสอบและแจ้งผลลัพธ์การตรวจสอบผ่านทางหน้าต่างโปรแกรม

ผู้ใช้งานสามารถดาวโหลดโปรแกรมและดูวิธีการใช้งานเบื้องต้นได้จากลิงค์แหล่งที่มา

ที่มา : ฺBitdefender

Shadow Brokers, กลุ่ม hacker ชื่อดังที่เคยเป็นข่าวจากการปล่อยเครื่องมือชื่อว่า EternalBlue ที่ต่อมานำไปใช้สร้าง Wannacry ransomware ที่แพร่ระบาดอย่างหนักอยู่ช่วงหนึ่ง ล่าสุดได้ทำการปล่อยเครื่องมือที่ใช้ในการ hack ของ NSA ออกมาอีกครั้ง โดยมีชื่อว่า “UNITEDRAKE” ซึ่งกลไกหลักคือทำหน้าที่เก็บรวบรวมข้อมูลจากเครื่องเหยื่อโดยควบคุมจากระยะไกล (Remotely access control) มาพร้อมกับส่วนเสริมอีกจำนวนหนึ่งเพื่อช่วยให้สามารถ remote เข้าควบคุมเครื่องได้อย่างเต็มตัว นอกจากนี้ยังมีการปล่อยไฟล์ที่ไม่ได้เข้ารหัส ซึ่งก็คือคู่มือการใช้งาน UNITEDRAKE ที่พัฒนาขึ้นมาโดย NSA ข้อมูลในคู่มือระบุว่า UNITEDRAKE เป็น malware ปรับแต่งที่มีความสามารถในการ ดักจับภาพจาก webcam และเสียงจาก microphone, จดจำแป้นที่ถูกใช้พิมพ์ (log keystrokes), การเข้าถึงข้อมูลบน external drives เพื่อสอดแนมเป้าหมาย
UNITEDRAKE ประกอบไปด้วย 5 ส่วนหลักคือ server, system management interface (SMI), database (ใช้เก็บข้อมูลที่ขโมยมาได้), plug-in modules (ใช้ปรับแต่งระบบเพื่อเพิ่มความสามารถ), client (เครื่องของเหยื่อ) UNITEDRAKE เป็นที่รู้จักครั้งแรกเมื่อปี 2014 โดยเป็นส่วนหนึ่งของข้อมูลที่รั่วไหลออกมาจากผู้ทำสัญญาเก่าของ NSA ที่ชื่อว่า Edward Snowden เนื้อหาในเอกสารที่รั่วไหลของ Edward Snowden ระบุถึงเครื่องมืออื่นๆ ที่ทาง NSA ใช้ในการสอดแนมเช่น CAPTIVATEDAUDIENCE, GUMFISH, FOGGYBOTTOM, GROK, และ SALVAGERABBIT ทาง Shadow Brokers มีข้อเรียกร้องที่เปลี่ยนไปคือให้จ่ายเงินในหน่วย ZCash (ZEC) จากเดิมที่ใช้ Monero โดยในเดือนมิถุนายนค่าข้อมูลจะอยู่ที่ 100 ZEC แต่ปัจจุบัน กลุ่ม hacker ได้เรียกร้องเพิ่มเติมเป็น 16,000 ZEC หากต้องการเข้าถึงข้อมูลดังกล่าว โดยปัจจุบัน Zcash มีอัตราแลกเปลี่ยนที่ $248 ต่อหน่วย

ที่มา : thehackernews

โรงพยาบาลบางแห่งของ NHS Lanarkshire board ถูกโจมตีด้วย Bit Paymer ransomware โดยโรงพยาบาลที่เป็นส่วนหนึ่งของ NHS Lanarkshire board นั้น เช่น Hairmyres Hospital in East Kilbride, Monklands Hospital เป็นต้น การถูกโจมตีครั้งนี้เกิดขึ้นเมื่อวันศุกร์ที่ 25 สิงหาคม 2017 และทางเจ้าหน้าของทาง NHS Lanarkshire ทราบเรื่องทันทีในวันนั้น ในวันต่อมาทางบอร์ดบริหารได้ออกให้ข่าวว่าควบคุมสถานการณ์ไว้แล้ว และกำลังกู้ระบบต่างๆกลับขึ้นมาอยู่ ซึ่งคาดการณ์ว่าจะใช้เวลาจนถึงวันจันทร์ที่ 28 สิงหาคม 2017 มีเพียงข้อมูลเรื่องของกระบวนการและกำหนดการเพียงเล็กนอยที่ถูกยกเลิกไปเนื่องจากเหตุการณ์โจมตีครั้งนี้
Bit Paymer Ransomware เริ่มเป็นที่รู้จักครั้งแรกเมื่อวันที่ 21 มิถุนายน 2017 เมื่อมีนักวิจัยทวีตข้อมูลตัวอย่างของมัลแวร์ที่เขาได้ upload ไปยัง VirusTotal (web-based file scanning service) หรือบริการการสแกนไฟล์แบบเว็บ สิ่งที่ทำให้ต่างจาก ransomware ตัวอื่นๆ ในปัจจุบันคือ Bit Paymer มีการเขียนโค้ดที่ดีมากทำให้ดูเหมือนว่าเป็นการเขียนของ programmer ที่มีประสบการณ์สูง
เจ้าหน้าที่ด้านความปลอดภัยของทาง Emsisoft เชื่อว่า ransomware ถูกลงลงไว้ในเครื่องหลังจากผู้โจมตีทำการโจมตีแบบ brute-force ไปยัง RDP endpoints ที่ไม่ได้รับการป้องกัน เมื่อผู้โจมตีเข้ามาในระบบหนึ่งได้แล้ว จะย้ายไปยังระบบอื่นเรื่อยๆ เพื่อลงตัว Bit Paymer ransomware ไว้ที่ทุกๆระบบที่สามารถเข้าไปได้ การเข้ารหัสไฟล์จะเป็นการรวมกันของ RC4 และ RSA-1024 ซึ่งทางนักวิจัยบอกว่ายังไม่มีวิธีในการถอดรหัสไฟล์ดังกล่าวได้ ไฟล์ที่ถูกเข้ารหัสจะมี ".locked" ต่อท้ายที่ชื่อไฟล์เดิม และมีการสร้างไฟล์ text ทิ้งไว้ทุกๆ จุดที่ไปเข้ารหัสไฟล์ โดยในไฟล์ text จะบอกรายละเอียดเรื่องของการจ่ายเงิน รูปแบบของการจ่ายเงินจะแปลกกว่า ransomware ตัวอื่นๆ ตรงที่จะให้ส่ง 1 Bitcoin confirmation มาสามครั้งก่อนการจ่ายเงินจริงเพื่อป้องกันการส่งเงินไปผิดที่อยู่

bleepingcomputer

Ransomware ชื่อ "Nuclear BTCWare" ค้นพบโดย Michael-Gillespie และถูกเผยแพร่โดยนักพัฒนาซอฟต์แวร์เจาะระบบ จากการ Remote จากระยะไกลไปยังเครื่องเหยื่อที่มีการตั้ง Password ที่คาดเดาได้ง่าย เมื่อแฮกเกอร์สามารถเข้าถึงเครื่องคอมพิวเตอร์เหยื่อได้จึงทำการติดตั้ง ransomware และเข้ารหัสไฟล์ของเหยื่อ

แม้ว่าวิธีการเข้ารหัสจะคล้ายกับ Ransomware อื่นๆ แต่ก็จะมีความแตกต่างบางอย่าง เช่นไฟล์เรียกค่าไถ่ชื่อ "HELP.hta" และมีคำแนะนำให้ติดต่อ black.