Android Malware Ransomware

โปรแกรมเรียกค่าไถ่บนแอนดรอยด์กลับมาแล้ว

นักวิจัยของ ESET พบโปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่บนแพลตฟอร์มแอนดรอยด์

นักวิจัยของ ESET พบโปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่บนแพลตฟอร์มแอนดรอยด์

หลายปีก่อนหน้านี้โปรแกรมเรียกค่าไถ่บนแพลตฟอร์มแอนดรอยด์มีแนวโน้มที่ลดลง แต่ทาง ESET พบโปรแกรมเรียกค่าไถ่ที่ตรวจจับได้ในชื่อ Android/Filecoder.C แพร่กระจายในฟอรั่มออนไลน์ต่างๆ

Android/Filecoder.C เริ่มทำงานตั้งแต่ 12 กรกฎาคม 2019 พบครั้งแรกในฟอรั่ม Reddit และ “XDA Developers” ปัจจุบันถูกลบออกทั้งหมด

โดย Android/Filecoder.C ใช้วิธีการส่ง SMS และลิงก์ ให้กับรายชื่อผู้ติดต่อเพื่อแพร่กระจาย หากมีผู้ใช้เปิดหรือคลิกลิงก์จะถูกล็อค (เข้ารหัส) ไฟล์ภายในเครื่องโดยทันที และเรียกเงินค่าไถ่

โปรแกรม ESET Mobile Security สามารถแจ้งเตือนลิงก์อันตราย ป้องกันการดาวน์โหลดและติดตั้งแอปพลิเคชั่นอันตราย

การแพร่กระจายบนฟอรั่มใช้หัวข้อสื่อลามกเป็นหลัก

การแพร่กระจายผ่าน SMS

โดย SMS ทำเอาไว้ถึง 42 ภาษาซึ่งเปลี่ยนไปตามการตั้งค่าภาษาของอุปกรณ์ที่ตั้งเอาไว้

หลังจากการล็อคไฟล์ (เข้ารหัส) เสร็จสิ้นแล้ว หน้าจอโทรศัพท์ก็จะปรากฏภาพขึ้นมาเป็นข้อมูลที่ถูกเข้ารหัส และพูดถึงวิธีการถอดรหัสไฟล์

นามสกุลไฟล์ที่ถูกเข้ารหัสมีดังต่อไปนี้:

“.doc”, “.docx”, “.xls”, “.xlsx”, “.ppt”, “.pptx”, “.pst”, “.ost”, “.msg”, “.eml”, “.vsd”, “.vsdx”, “.txt”, “.csv”, “.rtf”, “.123”, “.wks”, “.wk1”, “.pdf”, “.dwg”, “.onetoc2”, “.snt”, “.jpeg”, “.jpg”, “.docb”, “.docm”, “.dot”, “.dotm”, “.dotx”, “.xlsm”, “.xlsb”, “.xlw”, “.xlt”, “.xlm”, “.xlc”, “.xltx”, “.xltm”, “.pptm”, “.pot”, “.pps”, “.ppsm”, “.ppsx”, “.ppam”, “.potx”, “.potm”, “.edb”, “.hwp”, “.602”, “.sxi”, “.sti”, “.sldx”, “.sldm”, “.sldm”, “.vdi”, “.vmdk”, “.vmx”, “.gpg”, “.aes”, “.ARC”, “.PAQ”, “.bz2”, “.tbk”, “.bak”, “.tar”, “.tgz”, “.gz”, “.7z”, “.rar”, “.zip”, “.backup”, “.iso”, “.vcd”, “.bmp”, “.png”, “.gif”, “.raw”, “.cgm”, “.tif”, “.tiff”, “.nef”, “.psd”, “.ai”, “.svg”, “.djvu”, “.m4u”, “.m3u”, “.mid”, “.wma”, “.flv”, “.3g2”, “.mkv”, “.3gp”, “.mp4”, “.mov”, “.avi”, “.asf”, “.mpeg”, “.vob”, “.mpg”, “.wmv”, “.fla”, “.swf”, “.wav”, “.mp3”, “.sh”, “.class”, “.jar”, “.java”, “.rb”, “.asp”, “.php”, “.jsp”, “.brd”, “.sch”, “.dch”, “.dip”, “.pl”, “.vb”, “.vbs”, “.ps1”, “.bat”, “.cmd”, “.js”, “.asm”, “.h”, “.pas”, “.cpp”, “.c”, “.cs”, “.suo”, “.sln”, “.ldf”, “.mdf”, “.ibd”, “.myi”, “.myd”, “.frm”, “.odb”, “.dbf”, “.db”, “.mdb”, “.accdb”, “.sql”, “.sqlitedb”, “.sqlite3”, “.asc”, “.lay6”, “.lay”, “.mml”, “.sxm”, “.otg”, “.odg”, “.uop”, “.std”, “.sxd”, “.otp”, “.odp”, “.wb2”, “.slk”, “.dif”, “.stc”, “.sxc”, “.ots”, “.ods”, “.3dm”, “.max”, “.3ds”, “.uot”, “.stw”, “.sxw”, “.ott”, “.odt”, “.pem”, “.p12”, “.csr”, “.crt”, “.key”, “.pfx”, “.der”

โดยไฟล์ทั้งหมดที่ถูกเข้ารหัสจะกลายเป็นนามสกุล .seven

วิธีการป้องกัน

  • การอัพเดตโปรแกรมและระบบปฏิบัติการในเครื่องเป็นสิ่งที่จำเป็นในการรักษาความปลอดภัยให้อุปกรณ์
  • ใช้งานแอปพลิเคชั่นจาก Google Play หรือแอปฯสโตร์ที่น่าเชื่อถือ เพื่อหลีกเลี่ยงแอปพลิเคชั่นปลอมหรือดัดแปลง
  • ก่อนติดตั้งแอปพลิเคชั่นให้อ่านรีวิว หรือคะแนนที่แอปพลิเคชั่นได้รับ เพื่อดูผลตอบรับจากผู้ดาวน์โหลดก่อนหน้า
  • สังเกตการขออนุญาตเข้าถึงของแอปพลิเคชั่น หากไม่เหมาะสมให้หลีกเลี่ยงการใช้งาน
  • ติดตั้งโปรแกรมรักษาความปลอดภัยให้กับอุปกรณ์ของคุณ

Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2019/07/29/android-ransomware-back/
Translated by: Worapon H.

%d bloggers like this: