Clear
Lead Graphic Papers

ข่าวสั้น

ระวังภัย มัลแวร์เรียกค่าไถ่ Shade (Troldesh) กลับมาระบาดใหม่อีกรอบ แพร่ผ่านไฟล์แนบในอีเมล ในไทยตกเป็นเหยื่อแล้วกว่า 700 ราย

Shade หรือ Troldesh เป็นมัลแวร์เรียกค่าไถ่ที่พบการแพร่ระบาดมาตั้งแต่ปี 2557 ก่อนหน้านี้ตัวมัลแวร์แพร่กระจายผ่านอีเมลและชุดเครื่องมือเจาะระบบ (exploit kit) เมื่อปลายเดือนพฤษภาคม 2562 บริษัท Palo Alto Networks ได้รายงานการแพร่ระบาดของมัลแวร์ Shade เวอร์ชันใหม่ โดยหลังจากที่มัลแวร์ติดตั้งตัวเองลงในเครื่องคอมพิวเตอร์ของเหยื่อแล้วจะเข้ารหัสลับไฟล์ในเครื่อง จากนั้นเปลี่ยนนามสกุลไฟล์เป็น .crypted000007 พร้อมทั้งเปลี่ยนภาพพื้นหลังหน้าจอให้เป็นสีดำแสดงข้อความเป็นภาษารัสเซียและภาษาอังกฤษ รวมถึงสร้างไฟล์ README(ตัวเลข 1 - 10).txt ไว้บน Desktop ด้วย รายละเอียดในไฟล์ดังกล่าวจะแจ้งให้เหยื่อส่งอีเมลติดต่อกลับไปยังผู้สร้างมัลแวร์เพื่อขอข้อมูลวิธีกู้ไฟล์กลับคืน

ตั้งแต่เดือนกุมภาพันธ์ 2562 มีรายงานมัลแวร์เรียกค่าไถ่ Shade สายพันธุ์ใหม่แพร่กระจายผ่านอีเมล โดยลักษณะคือส่งลิงก์เพื่อให้กดเข้าไปดาวน์โหลดไฟล์ หรือแนบไฟล์ประเภท PDF หรือไฟล์ Zip ที่ข้างในจะมีไฟล์ JavaScript อันตรายฝังอยู่ ซึ่งหากเหยื่อหลงเชื่อเปิดไฟล์ดังกล่าวก็จะถูกดาวน์โหลดมัลแวร์เรียกค่าไถ่มาติดตั้งลงในเครื่อง เนื่องจากไฟล์ที่แนบมากับอีเมลนั้นไม่ได้เป็นไฟล์มัลแวร์จริงๆ แต่เป็นไฟล์ประเภท downloader ที่ใช้สำหรับดาวน์โหลดมัลแวร์จากเว็บไซต์ภายนอกมาติดตั้ง (ซึ่งเป็นเว็บไซต์ที่ถูกเจาะระบบเพื่อนำไฟล์มัลแวร์ไปวางไว้อีกทีหนึ่ง) ทาง Palo Alto Networks ได้วิเคราะห์การเข้าถึง URL ของเว็บไซต์ที่ถูกใช้แพร่กระจายมัลแวร์ พบว่า URL เหล่านั้นถูกเรียกจากประเทศไทยจำนวน 723 ครั้ง ซึ่งเป็นไปได้ว่าอาจมีเครื่องคอมพิวเตอร์ในไทยตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ดังกล่าวแล้วไม่ต่ำกว่า 700 เครื่อง

แนวทางการรับมือมัลแวร์เรียกค่าไถ่ หน่วยงานหรือผู้ใช้ควรสำรองข้อมูลสำคัญอย่างสม่ำเสมอ อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และฐานข้อมูลแอนติไวรัส รวมถึงพิจารณาก่อนคลิกลิงก์หรือเปิดไฟล์แนบในอีเมล ทั้งนี้ ข้อมูลเพิ่มเติม เช่น ค่า hash ของมัลแวร์ และ URL ของเว็บไซต์ที่ถูกใช้แพร่กระจายมัลแวร์ สามารถตรวจสอบได้จากที่มา

วันที่: 2019-05-29 | ที่มา: Palo Alto Networks, Security Affairs | Share on Facebook Share on Twitter Share on Google+

Clear