Malware Ransomware Top Stories

Bad Rabbit: การกลับมาของโปรแกรมเรียกค่าไถ่ Petya สายพันธุ์ใหม่และลูกเล่นใหม่

โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่ Bad Rabbit ระบาดหนักในยุโรปตะวันออก

โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่ Bad Rabbit ระบาดในยุโรปตะวันออก กระบวนการแพร่กระจายที่ใช้ก็คือ Drive-by download หรือก็คือป๊อปอัพแจ้งเตือนให้ดาวน์โหลดโปรแกรม Adobe Flash Player ซึ่งโปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Win32/Diskcoder.D

diskcoder-768x515

หากผู้ใช้กดปุ่ม “install” การดาวน์โหลดจะเปิดไฟล์จาก 1dnscontrol[.]com และจะเริ่มทำงานไฟล์ install_flash_player.exe ที่มีโปรแกรมเรียกค่าไถ่ Win32/Diskcoder.D

หลังจากนั้นกระบวนการเข้ารหัสก็จะเริ่มต้นขึ้นก่อนที่จะแสดงข้อความเรียกร้องเงินค่าไถ่เมื่อการเข้ารหัสเสร็จสิ้น

mbr_cut

หน้า Payment:

Screen-Shot-2017-10-24-at-2.18.32-PM-768x594

การเข้ารหัส

Win32/Diskcoder.D เป็นตัวพัฒนาของ Win32/Diskcoder.C ซึ่ง Bad Rabbit ใช้เครื่องมือ DiskCryptor ซึ่งเป็นซอฟต์แวร์ที่เปิดให้ใช้ฟรี และเป็นการเข้ารหัสแบบ RSA 2048 ซึ่งต้องใช้เวลาเป็นพันๆปีในการถอดรหัสด้วยฮาร์ดแวร์

วิธีการป้องกัน

การป้องกัน Bad Rabbit นั้นเหมือนกับการป้องกันโปรแกรมเรียกค่าไถ่ (Ransomware) อื่นๆ คือ

  • สำรองข้อมูล – เพราะถ้าคุณมีข้อมูลชุดเดียวกันอยู่ในมือ โปรแกรมเรียกค่าไถ่ก็ทำได้เพียงทำให้คุณเสียเวลาเท่านั้น
  • ปิดระบบรีโมต Remote Desktop Protocol (RDP) – อีกหนึ่งช่องทางที่แฮกเกอร์ใช้เพื่อปล่อยโปรแกรมเรียกค่าไถ่ก็คือระบบรีโมต ถ้าหากองค์กรของคุณ หรือตัวคุณไม่ได้ใช้งานก็ disable ระบบนี้เอาไว้
  • ติดตั้งโปรแกรมรักษาความปลอดภัย – โปรแกรมรักษาความปลอดภัยอย่างแอนตี้ไวรัสจะสามารถกรองไฟล์อันตรายเหล่านี้ได้ในระดับหนึ่ง และตัวผู้ใช้จะต้องหลีกเลี่ยงกิจกรรมเสี่ยง อย่างการคลิกลิงก์บนโซเชี่ยลมีเดีย หรืออีเมล์ และใช้โปรแกรมเถื่อน
  • ช่องทางการเข้าของโปรแกรมเรียกค่าไถ่ส่วนมากนั้นจำเป็นต้องมีผู้ใช้เป็นตัวแปรสำคัญเสมอ หลายครั้งที่ตัวเราเองพลั้งเผลอและอนุญาตให้โปรแกรมอันตรายเข้ามาในเครื่องเราโดยไม่รู้ตัว เพราะฉะนั้นให้มีสติตลอดเวลาที่ใช้คอมพิวเตอร์ หากไม่แน่ใจอะไรผมขอแนะขำให้ตอบ No หรือปฏิเสธไปก่อน อย่ากด Next หรือ Yes อย่างเดียว

พื้นที่การแพร่ระบาด

จากการตรวจจับของ ESET แสดงสัดส่วนของ Bad Rabbit ที่ถูกตรวจจับได้ดังนี้:

  • Russia: 65%
  • Ukraine: 12.2%
  • Bulgaria: 10.2%
  • Turkey: 6.4%
  • Japan: 3.8%
  • Other: 2.4%

*ซึ่งตัวเลขเหล่านี้อาจเปลี่ยนแปลงได้ตลอดเวลาหากมีการแพร่ระบาดอีกครั้ง

Author: MARC-ETIENNE M.LÉVEILLÉ
Source:
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
Translated by: Worapon H.

%d bloggers like this: