จากเหตุการณ์แพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCryptor หรือว่า WannaCry ที่เพิ่งผ่านพ้นไป โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่กำลังมา
โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่ทาง ESET จับได้ในชื่อ Win32/FileCoder.AESNI.C หรือเรียกง่ายๆว่า XData Ransomware ระบาดหนักในประเทศยูเครน โดยเฉพาะในช่วงวันที่ 17 – 22 พฤษภาคม โดยเจ้า Win32/FileCoder.AESNI.C ปรากฎตัวครั้งแรกเมื่อวันที่ 8 ธันวาคม 2016
จากการวิจัยของ ESET พบว่า XData Ransomware ใช้วิธีแพร่กระจายผ่านเอกสารภาษายูเครนและมาในรูปแบบของอีเมล์บัญชี แต่อัตราการติดไวรัสนั้นค่อนข้างน้อย
เมื่อคอมพิวเตอร์โดนมัลแวร์ XData มัลแวร์จะใช้โปรแกรม SysInternals PsExec และปล่อยไฟล์โปรแกรมเรียกค่าไถ่ (Win32/FileCoder.AESNI.C)
ถ้าหากคอมพิวเตอร์เครื่องนั้นมีสิทธิเป็น Admin โปรแกรมเรียกค่าไถ่จะกระจายไปทั้งเครือข่าย ด้วยเครื่องมือ Mimikatz เพื่อขโมยรหัสและคัดลอกไปยังเครื่องอื่นๆในเครือข่าย
เรามีตัวอย่างของ AESNI ด้านล่าง
วิธีการป้องกัน
สำหรับ XData Ransomware แนวทางป้องกันที่ต้องทำมากกว่าโปรแกรมเรียกค่าไถ่ทั่วไปก็คือ การเปลี่ยนสิทธิผู้ใช้จากผู้ดูแลเป็นผู้ใช้ทั่วไป เพื่อลดการแพร่กระจายภายในเครือข่าย
แนวทางการป้องกันโปรแกรมเรียกค่าไถ่:
- ใช้โปรแกรมรักษาความปลอดภัยที่มีคุณภาพ
- อัพเดตระบบปฏิบัติการและโปรแกรมภายในคอมพิวเตอร์
- สำรองไฟล์สำคัญและเก็บไว้ในพื้นที่ที่ไม่มีการเชื่อมต่อกับเครือข่ายและอินเตอร์เน็ต
- หลีกเลี่ยงการเปิดไฟล์ที่แนบมากับอีเมล์ โดยเฉพาะอีเมล์ที่ไม่ทราบที่มาอย่างแน่ชัด
Author: ANTON CHEREPANOV
Source: https://www.welivesecurity.com/2017/05/23/xdata-ransomware-making-rounds-amid-global-wannacryptor-scare/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
จากเหตุการณ์แพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCryptor หรือว่า WannaCry ที่เพิ่งผ่านพ้นไป โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่กำลังมา
โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่ทาง ESET จับได้ในชื่อ Win32/FileCoder.AESNI.C หรือเรียกง่ายๆว่า XData Ransomware ระบาดหนักในประเทศยูเครน โดยเฉพาะในช่วงวันที่ 17 – 22 พฤษภาคม โดยเจ้า Win32/FileCoder.AESNI.C ปรากฎตัวครั้งแรกเมื่อวันที่ 8 ธันวาคม 2016
จากการวิจัยของ ESET พบว่า XData Ransomware ใช้วิธีแพร่กระจายผ่านเอกสารภาษายูเครนและมาในรูปแบบของอีเมล์บัญชี แต่อัตราการติดไวรัสนั้นค่อนข้างน้อย
เมื่อคอมพิวเตอร์โดนมัลแวร์ XData มัลแวร์จะใช้โปรแกรม SysInternals PsExec และปล่อยไฟล์โปรแกรมเรียกค่าไถ่ (Win32/FileCoder.AESNI.C)
ถ้าหากคอมพิวเตอร์เครื่องนั้นมีสิทธิเป็น Admin โปรแกรมเรียกค่าไถ่จะกระจายไปทั้งเครือข่าย ด้วยเครื่องมือ Mimikatz เพื่อขโมยรหัสและคัดลอกไปยังเครื่องอื่นๆในเครือข่าย
เรามีตัวอย่างของ AESNI ด้านล่าง
วิธีการป้องกัน
สำหรับ XData Ransomware แนวทางป้องกันที่ต้องทำมากกว่าโปรแกรมเรียกค่าไถ่ทั่วไปก็คือ การเปลี่ยนสิทธิผู้ใช้จากผู้ดูแลเป็นผู้ใช้ทั่วไป เพื่อลดการแพร่กระจายภายในเครือข่าย
แนวทางการป้องกันโปรแกรมเรียกค่าไถ่:
Author: ANTON CHEREPANOV
Source: https://www.welivesecurity.com/2017/05/23/xdata-ransomware-making-rounds-amid-global-wannacryptor-scare/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: