จากการสำรวจเมื่อเดือนมกราคม 2019 ที่ผ่านมาจำนวนไฟล์แนบ Javascript อันตรายในอีเมลเพิ่มขึ้น นักวิจัย ESET พบคลื่นโปรแกรมเรียกค่าไถ่ที่มีเป้าหมายเป็นผู้ใช้ชาวรัสเซีย โปรแกรมเรียกค่าไถ่ Shade หรือ Troldesh ถูกโปรแกรมของ ESET ตรวจจับในชื่อ Win32/Filecoder.Shade
เชื่อว่าแผนการนี้เป็นตามมาจากการแพร่กระจายโปรแกรมเรียกค่าไถ่ Shade Ransomware เมื่อเดือนตุลาคม 2018
การตรวจจับเมื่อปี 2018 พบว่าแผนการดำเนินมาอย่างต่อเนื่องและพักในช่วงธันวาคม 2018 แล้วกลับมาสูงขั้นเป็นสองเท่าในช่วงต้นปี 2019 ซึ่งจากการวิเคราะห์พฤติกรรมพบว่าอีเมลเป้าหมายส่วนมากเป็นองค์กรและหยุดในช่วงสุดสัปดาห์
ส่วนมาก Shade Ransomware แพร่กระจายในประเทศรัสเซียเป็นส่วนมาก (52%) และประเทศอื่นๆรองลงมาอย่าง ยูเครน ฝรั่งเศส เยอรมนี และญี่ปุ่น
ตัวอย่างของอีเมล
ในอีเมลแนบไฟล์ชื่อว่า “Информация.js“ หรือในภาษาอังกฤษว่า “Information” เมื่อแตกไฟล์ออกมาและเริ่มทำงานไฟล์ Javascript จะดาวน์โหลด loader อันตรายที่ ESET ตรวจจับได้ในชื่อ Win32/Injector เพื่อเริ่มทำงานขั้นตอนสุดท้ายเป็น Shade Ransomware
วิธีการป้องกัน
- ตรวจสอบผู้ส่งให้แน่ใจ หากไม่แน่ใจให้ติดต่อจากต้นทางที่ส่งมา ว่าพวกเขาได้ส่งอีเมลดังกล่าวมาหรือไม่
- ตั้งค่าอีเมลไม่ให้รับอีเมลที่แนบไฟล์ Javascript
- ติดตั้งโปรแกรมรักษาความปลอดภัย
- ใช้รหัสผ่านที่ซับซ้อนและเปิดฟีเจอร์ Two-factor authentication (2FA)
Indicators of Compromise (IoCs)
Example hashes of the malicious ZIP attachments
|
0A76B1761EFB5AE9B70AF7850EFB77C740C26F82
|
|
D072C6C25FEDB2DDF5582FA705255834D9BC9955
|
|
80FDB89B5293C4426AD4D6C32CDC7E5AE32E969A
|
|
5DD83A36DDA8C12AE77F8F65A1BEA804A1DF8E8B
|
|
6EA6A1F6CA1B0573C139239C41B8820AED24F6AC
|
|
43FD3999FB78C1C3ED9DE4BD41BCF206B74D2C76
|
|
ESET detection name: JS/Danger.ScriptAttachment
|
Example hashes of JavaScript downloaders
|
37A70B19934A71DC3E44201A451C89E8FF485009
|
|
08C8649E0B7ED2F393A3A9E3ECED89581E0F9C9E
|
|
E6A7DAF3B1348AB376A6840FF12F36A137D74202
|
|
1F1D2EEC68BBEC77AFAE4631419E900C30E09C2F
|
|
CC4BD14B5C6085CFF623A6244E0CAEE2F0EBAF8C
|
|
ESET detection name: Win32/Injector
|
Example hashes of the Shade ransomware
|
FEB458152108F81B3525B9AED2F6EB0F22AF0866
|
|
7AB40CD49B54427C607327FFF7AD879F926F685F
|
|
441CFA1600E771AA8A78482963EBF278C297F81A
|
|
9023B108989B61223C9DC23A8FB1EF7CD82EA66B
|
|
D8418DF846E93DA657312ACD64A671887E8D0FA7
|
|
ESET detection name: Win32/Filecoder.Shade
|
Campaign-specific string in URLs hosting the Shade ransomware
|
hxxp://[redacted]/ssj.jpg
|
Author: Juraj Jánošík
Source: https://www.welivesecurity.com/2019/01/28/russia-hit-new-wave-ransomware-spam/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
จากการสำรวจเมื่อเดือนมกราคม 2019 ที่ผ่านมาจำนวนไฟล์แนบ Javascript อันตรายในอีเมลเพิ่มขึ้น นักวิจัย ESET พบคลื่นโปรแกรมเรียกค่าไถ่ที่มีเป้าหมายเป็นผู้ใช้ชาวรัสเซีย โปรแกรมเรียกค่าไถ่ Shade หรือ Troldesh ถูกโปรแกรมของ ESET ตรวจจับในชื่อ Win32/Filecoder.Shade
เชื่อว่าแผนการนี้เป็นตามมาจากการแพร่กระจายโปรแกรมเรียกค่าไถ่ Shade Ransomware เมื่อเดือนตุลาคม 2018
การตรวจจับเมื่อปี 2018 พบว่าแผนการดำเนินมาอย่างต่อเนื่องและพักในช่วงธันวาคม 2018 แล้วกลับมาสูงขั้นเป็นสองเท่าในช่วงต้นปี 2019 ซึ่งจากการวิเคราะห์พฤติกรรมพบว่าอีเมลเป้าหมายส่วนมากเป็นองค์กรและหยุดในช่วงสุดสัปดาห์
ส่วนมาก Shade Ransomware แพร่กระจายในประเทศรัสเซียเป็นส่วนมาก (52%) และประเทศอื่นๆรองลงมาอย่าง ยูเครน ฝรั่งเศส เยอรมนี และญี่ปุ่น
ตัวอย่างของอีเมล
ในอีเมลแนบไฟล์ชื่อว่า “Информация.js“ หรือในภาษาอังกฤษว่า “Information” เมื่อแตกไฟล์ออกมาและเริ่มทำงานไฟล์ Javascript จะดาวน์โหลด loader อันตรายที่ ESET ตรวจจับได้ในชื่อ Win32/Injector เพื่อเริ่มทำงานขั้นตอนสุดท้ายเป็น Shade Ransomware
วิธีการป้องกัน
Indicators of Compromise (IoCs)
Example hashes of the malicious ZIP attachments
Example hashes of JavaScript downloaders
Example hashes of the Shade ransomware
Campaign-specific string in URLs hosting the Shade ransomware
Author: Juraj Jánošík
Source: https://www.welivesecurity.com/2019/01/28/russia-hit-new-wave-ransomware-spam/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: