โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่ Bad Rabbit ระบาดในยุโรปตะวันออก กระบวนการแพร่กระจายที่ใช้ก็คือ Drive-by download หรือก็คือป๊อปอัพแจ้งเตือนให้ดาวน์โหลดโปรแกรม Adobe Flash Player ซึ่งโปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Win32/Diskcoder.D
หากผู้ใช้กดปุ่ม “install” การดาวน์โหลดจะเปิดไฟล์จาก 1dnscontrol[.]com และจะเริ่มทำงานไฟล์ install_flash_player.exe ที่มีโปรแกรมเรียกค่าไถ่ Win32/Diskcoder.D
หลังจากนั้นกระบวนการเข้ารหัสก็จะเริ่มต้นขึ้นก่อนที่จะแสดงข้อความเรียกร้องเงินค่าไถ่เมื่อการเข้ารหัสเสร็จสิ้น
หน้า Payment:
การเข้ารหัส
Win32/Diskcoder.D เป็นตัวพัฒนาของ Win32/Diskcoder.C ซึ่ง Bad Rabbit ใช้เครื่องมือ DiskCryptor ซึ่งเป็นซอฟต์แวร์ที่เปิดให้ใช้ฟรี และเป็นการเข้ารหัสแบบ RSA 2048 ซึ่งต้องใช้เวลาเป็นพันๆปีในการถอดรหัสด้วยฮาร์ดแวร์
วิธีการป้องกัน
การป้องกัน Bad Rabbit นั้นเหมือนกับการป้องกันโปรแกรมเรียกค่าไถ่ (Ransomware) อื่นๆ คือ
- สำรองข้อมูล – เพราะถ้าคุณมีข้อมูลชุดเดียวกันอยู่ในมือ โปรแกรมเรียกค่าไถ่ก็ทำได้เพียงทำให้คุณเสียเวลาเท่านั้น
- ปิดระบบรีโมต Remote Desktop Protocol (RDP) – อีกหนึ่งช่องทางที่แฮกเกอร์ใช้เพื่อปล่อยโปรแกรมเรียกค่าไถ่ก็คือระบบรีโมต ถ้าหากองค์กรของคุณ หรือตัวคุณไม่ได้ใช้งานก็ disable ระบบนี้เอาไว้
- ติดตั้งโปรแกรมรักษาความปลอดภัย – โปรแกรมรักษาความปลอดภัยอย่างแอนตี้ไวรัสจะสามารถกรองไฟล์อันตรายเหล่านี้ได้ในระดับหนึ่ง และตัวผู้ใช้จะต้องหลีกเลี่ยงกิจกรรมเสี่ยง อย่างการคลิกลิงก์บนโซเชี่ยลมีเดีย หรืออีเมล์ และใช้โปรแกรมเถื่อน
- ช่องทางการเข้าของโปรแกรมเรียกค่าไถ่ส่วนมากนั้นจำเป็นต้องมีผู้ใช้เป็นตัวแปรสำคัญเสมอ หลายครั้งที่ตัวเราเองพลั้งเผลอและอนุญาตให้โปรแกรมอันตรายเข้ามาในเครื่องเราโดยไม่รู้ตัว เพราะฉะนั้นให้มีสติตลอดเวลาที่ใช้คอมพิวเตอร์ หากไม่แน่ใจอะไรผมขอแนะขำให้ตอบ No หรือปฏิเสธไปก่อน อย่ากด Next หรือ Yes อย่างเดียว
พื้นที่การแพร่ระบาด
จากการตรวจจับของ ESET แสดงสัดส่วนของ Bad Rabbit ที่ถูกตรวจจับได้ดังนี้:
- Russia: 65%
- Ukraine: 12.2%
- Bulgaria: 10.2%
- Turkey: 6.4%
- Japan: 3.8%
- Other: 2.4%
*ซึ่งตัวเลขเหล่านี้อาจเปลี่ยนแปลงได้ตลอดเวลาหากมีการแพร่ระบาดอีกครั้ง
Author: MARC-ETIENNE M.LÉVEILLÉ
Source: https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
โปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่ Bad Rabbit ระบาดในยุโรปตะวันออก กระบวนการแพร่กระจายที่ใช้ก็คือ Drive-by download หรือก็คือป๊อปอัพแจ้งเตือนให้ดาวน์โหลดโปรแกรม Adobe Flash Player ซึ่งโปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Win32/Diskcoder.D
หากผู้ใช้กดปุ่ม “install” การดาวน์โหลดจะเปิดไฟล์จาก 1dnscontrol[.]com และจะเริ่มทำงานไฟล์ install_flash_player.exe ที่มีโปรแกรมเรียกค่าไถ่ Win32/Diskcoder.D
หลังจากนั้นกระบวนการเข้ารหัสก็จะเริ่มต้นขึ้นก่อนที่จะแสดงข้อความเรียกร้องเงินค่าไถ่เมื่อการเข้ารหัสเสร็จสิ้น
หน้า Payment:
การเข้ารหัส
Win32/Diskcoder.D เป็นตัวพัฒนาของ Win32/Diskcoder.C ซึ่ง Bad Rabbit ใช้เครื่องมือ DiskCryptor ซึ่งเป็นซอฟต์แวร์ที่เปิดให้ใช้ฟรี และเป็นการเข้ารหัสแบบ RSA 2048 ซึ่งต้องใช้เวลาเป็นพันๆปีในการถอดรหัสด้วยฮาร์ดแวร์
วิธีการป้องกัน
การป้องกัน Bad Rabbit นั้นเหมือนกับการป้องกันโปรแกรมเรียกค่าไถ่ (Ransomware) อื่นๆ คือ
พื้นที่การแพร่ระบาด
จากการตรวจจับของ ESET แสดงสัดส่วนของ Bad Rabbit ที่ถูกตรวจจับได้ดังนี้:
*ซึ่งตัวเลขเหล่านี้อาจเปลี่ยนแปลงได้ตลอดเวลาหากมีการแพร่ระบาดอีกครั้ง
Author: MARC-ETIENNE M.LÉVEILLÉ
Source: https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: