Cybercrime

วิเคราะห์กระบวนการแพร่เชื้อของ Locky

หลายเดือนที่ผ่านมาจำนวนเครือข่าย และผู้ใช้ที่ได้รับผลกระทบจากโปรแกรมเรียกค่าไถ่มีมากขึ้นเรื่อยๆ โดยเฉพาะโปรแกรมเรียกค่าไถ่ชื่อ Locky ที่เข้ารหัสไฟล์ผู้ใช้และเรียกร้อง bitcoins เป็นค่าไถ่ เพื่อปลดล็อคไฟล์ แต่วิธีที่อาชญากรใช้เพื่อแทรกซึมเข้าไปในระบบของผู้ใช้ทำกันอย่างไร? ห้องวิจัยของ ESET ใน Latin America สามารถอธิบายวิธีที่อาชญากรใช้เพื่อหลบเลี่ยงระบบรักษาความปลอดภัย

Chart ด้านล่างแสดงกระบวนการของ Locky ที่ใช้แทรกซึมเข้าสู่ระบบ ขั้นแรก ผู้ใช้จะได้รับอีเมล์หัวข้อหนึ่ง ที่ถูกแปลเป็นหลายภาษา และอีเมล์นี้แนบไฟล์นามสกุลที่สามารถเปิดได้ด้วยโปรแกรม Microsoft Office อย่างเช่น .DOC, .DOCM หรือ .XLS เอกสารเหล่านี้จะสร้างไฟล์นามสกุล .BAT ที่สามารถแปลงเป็นโค้ด VBScript หลังจากนั้นไฟล์เหล่านี้จะดาวน์โหลดไฟล์ไวรัสตัวจริงที่ชื่อ Win32/Filecoder.Locky

Graph_EN

ดังนั้นจงระมัดระวังเสมอว่า การเปิดเอกสาร Microsoft Office อาจเป็นการเริ่มการทำงานของ Macro* ซึ่งอาจจะโจมตีไฟล์งาน หรือไฟล์ส่วนตัวของคุณ พวกเราจึงอยากในทุกท่านได้รับความรู้ความเข้าใจกับ ภยันอันตรายบนโลกไซเบอร์ และป้องกันได้อย่างเหมาะสม ด้วยการตั้งค่า อัพเดทซอฟต์แวร์และแอนตี้ไวรัสอย่างสม่ำเสมอ ก่อนที่ภัยคุกคามจะเข้าสู่อุปกรณ์ของคุณ และในท้ายที่สุดเราขอแนะนำวิธีการรับมือกับ Ransomware ใน ล้วงลึกกับ ESET

*Macro คือชุดของคำสั่งที่ผู้ใช้เขียนขึ้นเพื่อจุดประสงค์หนึ่งๆ

1 comment on “วิเคราะห์กระบวนการแพร่เชื้อของ Locky

%d bloggers like this: