Malware Ransomware

Xdata Ransomware คลื่นลูกใหม่ตามหลัง WannaCryptor

Xdata Ransomware โปรแกรมเรียกค่าไถ่อีกตัวถล่มยูเครน

จากเหตุการณ์แพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCryptor หรือว่า WannaCry ที่เพิ่งผ่านพ้นไป โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่กำลังมา

โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่ทาง ESET จับได้ในชื่อ Win32/FileCoder.AESNI.C หรือเรียกง่ายๆว่า XData Ransomware ระบาดหนักในประเทศยูเครน โดยเฉพาะในช่วงวันที่ 17 – 22 พฤษภาคม โดยเจ้า Win32/FileCoder.AESNI.C ปรากฎตัวครั้งแรกเมื่อวันที่ 8 ธันวาคม 2016

XData_chart1-768x457

Screen-Shot-2017-05-23-at-16.57.21

จากการวิจัยของ ESET พบว่า XData Ransomware ใช้วิธีแพร่กระจายผ่านเอกสารภาษายูเครนและมาในรูปแบบของอีเมล์บัญชี แต่อัตราการติดไวรัสนั้นค่อนข้างน้อย

เมื่อคอมพิวเตอร์โดนมัลแวร์ XData มัลแวร์จะใช้โปรแกรม SysInternals PsExec และปล่อยไฟล์โปรแกรมเรียกค่าไถ่ (Win32/FileCoder.AESNI.C)

ถ้าหากคอมพิวเตอร์เครื่องนั้นมีสิทธิเป็น Admin โปรแกรมเรียกค่าไถ่จะกระจายไปทั้งเครือข่าย ด้วยเครื่องมือ Mimikatz เพื่อขโมยรหัสและคัดลอกไปยังเครื่องอื่นๆในเครือข่าย

เรามีตัวอย่างของ AESNI ด้านล่าง

AES_NI_Logo

วิธีการป้องกัน

สำหรับ XData Ransomware แนวทางป้องกันที่ต้องทำมากกว่าโปรแกรมเรียกค่าไถ่ทั่วไปก็คือ การเปลี่ยนสิทธิผู้ใช้จากผู้ดูแลเป็นผู้ใช้ทั่วไป เพื่อลดการแพร่กระจายภายในเครือข่าย

แนวทางการป้องกันโปรแกรมเรียกค่าไถ่:

  • ใช้โปรแกรมรักษาความปลอดภัยที่มีคุณภาพ
  • อัพเดตระบบปฏิบัติการและโปรแกรมภายในคอมพิวเตอร์
  • สำรองไฟล์สำคัญและเก็บไว้ในพื้นที่ที่ไม่มีการเชื่อมต่อกับเครือข่ายและอินเตอร์เน็ต
  • หลีกเลี่ยงการเปิดไฟล์ที่แนบมากับอีเมล์ โดยเฉพาะอีเมล์ที่ไม่ทราบที่มาอย่างแน่ชัด

Author: ANTON CHEREPANOV
Source: https://www.welivesecurity.com/2017/05/23/xdata-ransomware-making-rounds-amid-global-wannacryptor-scare/
Translated by: Worapon H.

%d bloggers like this: