Ransomware

Trojan Downloaders กำลังเพิ่มจำนวนขึ้นเรื่อยๆ: อย่าปล่อยให้ Locky หรือ TeslaCrypt ทำลายวันของคุณ

สัปดาห์หลังจากที่ Trojan Downloader โจมตีและเข้ารหัสไฟล์ของเหยื่อ Locky ยังคงโจมตีผู้ใช้ เพื่อให้คุณทำความรู้จักกับภัยนี้ พวกเราจึงเขียนวิธีรับมือเพื่อช่วยให้คุณปกป้องตัวเองได้อีกระดับ

Locky คือ?

Win32/Filecoder.Locky.A คือโปรแกรมเรียกค่าไถ่ชนิดหนึ่งที่สามารถเข้ารหัสไฟล์ได้กว่า 100 ชนิด เช่น รูป, วิดีโอ, ฐานข้อมูล และอื่นๆ บนไดร์ฟถาวร ถอดเข้าออกได้ และเครือข่าย เมื่อเริ่มทำงาน โปรแกรมเรียกค่าไถ่จะจำลองตัวเองไปยังตำแหน่ง: %temp%\svchost.exe และเพิ่มตัวมันเองลงไปใน Startup หรือโปรแกรมที่จะทำงานอัตโนมัติเมื่อเครื่องเปิด

สาเหตุการติดเชื้อคืออีเมล์ที่แนบไฟล์อันตรายมา (สายพันธุ์ก่อนหน้าใช้ไฟล์ Word และ Excel ที่แฝงคำสั่งอันตรายเอาไว้) ไฟล์ที่แนบมาคือ Trojan Downloader ซึ่งเป็นสายพันธุ์ที่ ESET ตรวจจับได้ในชื่อ JS/TrojanDownloader.Nemucod เหมือนกับสายพันธุ์อื่นๆ เมื่อเปิดไฟล์ ไฟล์นี้บรรจุ JavaScript (.js) และเมื่อมันเริ่มทำงาน มันจะดาวน์โหลด และเริ่มการทำงาน

เมื่อเปิดไฟล์ Nemucod จะเริ่มการทำงานของ JavaScript (.js) ที่ดาวน์โหลดและเริ่มกระบวนการ ในกรณีนี้ Win32/Filecoder/Locky.A เริ่มทำงานและตรวจหาไฟล์ในไดร์ฟทั้งตัวเครื่องและเครือข่าย แล้วทำการเข้ารหัสพร้อมเปลี่ยนนามสกุลไฟล์เป็น ‘.locky’ เมื่อทุกกระบวนการเสร็จสิ้นโปรแกรมเรียกค่าไถ่ Locky จะเปลี่ยนพื้นหลังของระบบ แล้วแสดงข้อความแบบนี้:

1

หลังจากนี้เหยื่อจะถูกเรียกให้จ่ายค่าไถ่ พร้อมกับที่โทรจันออกจากระบบ ยิ่งไปกว่านั้นมัลแวร์จะเก็บข้อมูลเกี่ยวกับระบบปฏิบัติการ และการตั้งค่าต่างๆไว้ พร้อมรายชื่อไฟล์ที่ถูกเข้ารหัสไว้ และส่งไปยังเครื่องควบคุม โดยใช้ Protocal HTTP

โปรแกรมเรียกค่าไถ่ตัวนี้ จะเก็บไว้ในลิงก์ของ TOR และต้องชำระเป็นหน่วยเงินบิทคอยน์เท่านั้น

แผนการปัจจุบัน

ตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา พวกเรากำลังเผ้าดูความเคลื่อนไหวของโปรแกรมเรียกค่าไถ่หลายชนิด ยกตัวอย่างเช่น Locky และ TeslaCrypt ใช้การแพร่กระจายด้วยมัลแวร์ JS/TrojanDownloader.Nemucod แผนการเหล่านี้ถูกจับได้หลายครั้งด้วย ระบบวัดและส่งข้อมูลทางไกลของ ESET อย่างเช่น LiveGrid® อย่างในประเทศญี่ปุ่นมีอัตราการตรวจจับถึง 80%

อัตราการตรวจจับคำนวณโดยผู้ใช้ที่ส่งข้อมูลมาทาง LiveGrid® ที่แสดงเปอร์เซ็นของการตรวจจับมัลแวร์ทั้งหมด ในเซอฟเวอร์ของเรา

ถ้าเราใช้ข้อมูลในสัปดาห์ที่ผ่านมา โดยพวกเราได้สังเกตเห็น 3 สายพันธุ์ใหญ่ตั้งแต่สิ้นเดือนกุมภาพันธ์ โดยตัวสุดท้ายที่จับได้คือเมื่อวันที่ 17 มีนาคม ที่ผ่านมา

21

ประเทศได้ที่มีการแพร่กระจายของ Trojan Downloaders มากที่สุดในเดือนที่ผ่านมาคือ ประเทศญี่ปุ่น ตามมาด้วยประเทศในยุโรป อย่าง อิตาลี, อังกฤษ และไอร์แลนด์ พวกเราต้องพิจารณาถึงการเปลี่ยนแปลงของอัตราการตรวจจับเพราะในทุกวัน บางประเทศอย่าง เยอรมนี และสเปนก็มีอัตราการตรวจจับไม่น้อยเหมือนกัน

31

ภูมิภาคอื่นอย่างอเมริกาเหนือ, ออสเตเรีย, นิวซีแลนดิ์ และแอฟริกาใต้ ก็ได้รับผลกระทบ และตั้งแต่อีเมล์ที่ใช้ในการแพร่กระจาย Ransomware เขียนเป็นภาษาอังกฤษ พวกเราก็สามารถสันนิษฐานได้ว่าพื้นที่ไหนจะได้รับผลกระทบ

อีกจุดหนึ่งที่น่าสนใจคือ อาชญากรเน้นโจมตีไปในประเทศที่ร่ำรวย บางทีพวกเขาอาจหวังค่าไถ่ปริมาณมหาศาลจากประเทศนั้นๆ

วิธีรับมือ

วิธีการรับมือกับโปรแกรมเรียกค่าไถ่มีให้เห็นก่อนที่เจ้า Locky นี้จะเกิดขึ้นมาซะอีก แต่พวกเราจะบอกอีกครั้ง และเพิ่มเติมเกร็ดเล็กเกร็ดน้อยให้ด้วย:

  • สำรองข้อมูลสำคัญๆ เพื่อที่จะเผชิญหน้ากับโปรแกรมเรียกค่าไถ่อันตรายที่เข้ารหัสไฟล์ส่วนตัวของคุณ และคุณต้องจ่ายเพื่อเรียกมันคืน เป็นเรื่องที่ดีที่จะทำการสำรองข้อมูลอย่างสม่ำเสมอ และเก็บไว้ในที่ฮาร์ดไดร์ฟที่ไม่มีการเชื่อมต่อ หรืออย่างน้อยก็ในระบบ Cloud

ทำให้แน่ใจได้ว่าคุณกำลังเชื่อมต่อกับระบบสำรองข้อมูล เพราะถ้าคุณไม่ได้เชื่อมต่อ คุณอาจจะพบไฟล์สำรองของคุณถูกเข้ารหัส ตั้งแต่ที่โปรแกรมเรียกค่าไถ่มองหาไดร์ฟภายนอก หรือแม้กระทั่งโฟลเดอร์สาธารณะ และการเก็บข้อมูลบน Cloud ในอยู่ในผังระบบของคุณ

  • ใช้ซอฟต์แวร์แอนตี้ไวรัสเวอร์ชั่นล่าสุด และมั่นใจว่าโปรแกรมทำงานอยู่
  • อัพเดตระบบปฏิบัติการ และซอฟต์แวร์ การแสวงหาผลประโยชน์เกิดขึ้นจากช่องโหว่ของระบบหรือแอปพลิเคชั่น ซึ่งมักเป็นฝีมือของผู้เขียนโค้กมัลแวร์ เพราะฉะนั้นอย่าให้อาชญากรเข้ามาในระบบของคุณได้เพราะว่าคุณลืมที่จะอัพเดตระบบให้สม่ำเสมอ
  • ถ้าธุรกิจของคุณมีการใช้ Windows Active Directory คุณสามารถตั้งนโยบายเพื่อป้องกันโปรแกรมเรียกค่าไถ่ จากการเปิดใช้งานไฟล์และเริ่มเข้ารหัสไฟล์ หรือแพร่กระจายสู้เครือข่ายของคุณ คุฯสามารถป้องกันแม้กระทั่ง Macro หรือคำสั่งที่อาชญากรเขียนขึ้นมา ดังนั้นคุณจะสบายใจได้ว่าพนักงานของคุณจะไม่เปิดไฟล์มันตรายจากเอกสาร Microsoft Office

1 comment on “Trojan Downloaders กำลังเพิ่มจำนวนขึ้นเรื่อยๆ: อย่าปล่อยให้ Locky หรือ TeslaCrypt ทำลายวันของคุณ

%d bloggers like this: