เทรนด์ ไมโคร แจ้งเตือน Ransomware ล่าสุด พบมัลแวร์ในอีเมลขยะที่มีไฟล์แนบ ที่ดูจะคล้ายเป็นใบศุลกากรไทย

โดย RingRangRung | 27 มิถุนายน 2559 เมื่อ 14:54 น. | อ่าน 10

mircop-attachmentRansomware กำลังระบาดหนักมากขึ้นทั่วโลก ข้อมูลจากเทรนด์ ไมโคร ระบุว่าจากเดือนมกราคมถึงเดือนพฤษภาคมปีนี้ เทรนด์ ไมโครได้ตรวจจับ/บล็อกภัยคุกคามที่เกี่ยวกับมัลแวร์เรียกค่าไถ่มากกว่า 66 ล้านภัยคุกคามทั่วโลก ในจำนวนนี้ 64% เป็นภัยคุกคามจากมัลแวร์เรียกค่าไถ่ที่มากับอีเมล์

ล่าสุดเทรนด์ แล็ป ของเทรนด์ ไมโครตรวจพบ  MIRCOP.A crypto-ransomware จากอีเมล์ขยะที่มีเอกสารแนบที่ทำให้ดูจะคล้ายเป็นแบบฟอร์มของใบศุลกากรไทยที่ใช้ในการนำเข้า-ส่งออกสินค้า (http://blog.trendmicro.com/trendlabs-security-intelligence/instruction-less-ransomware-mircop-channels-guy-fawkes/)

MIRCOP.A มีพฤติกรรมที่แตกต่างจากมัลแวร์เรียกค่าไถ่อื่นๆ ที่ผู้ตกเป็นเหยื่อมักจะได้รับคำแนะนำขั้นตอนการจ่ายค่าไถ่ แต่MIRCOP.A จะมีการกล่าวโทษผู้ตกเป็นเหยื่อว่าไปขโมยเงิน (bitcoin) มาและขู่ว่าหากไม่จ่ายค่าไถ่จะเกิดเหตุการณ์ต่างๆ โดยไม่กำหนดเวลาการจ่ายเงินและไม่บอกวิธีการจ่ายค่าไถ่ แต่ให้ bitcoin address ไว้ เหมือนจะมุ่งโจมตีเหยื่อที่คุ้นเคยกับการทำธุรกรรมผ่าน bitcoin จำนวนเงินค่าไถ่ที่พบคือ 48.48 bitcoin (หรือ 28,730.70 ดอลลาร์สหรัฐ ณ วันที่ 23 มิถุนายน 2559) เป็นค่าไถ่สูงสุดที่เคยพบมา ทั้งนี้ เทรนด์ ไมโครได้ตรวจสอบ bitcoin address ณ วันที่ 23 มิถุนายนยังไม่พบว่ามีการจ่ายเงินค่าไถ่ใดๆ

เมื่อผู้ใช้เปิดไฟล์แนบและเปิดการใช้งานแมโครจะเป็นการลิงก์เข้าไปยัง hxxp://www[.]blushy[.]nl/u/putty.exe. และจะดาวน์โหลดและรันมัลแวร์โดยอัตโนมัติ ส่วนเว็บไซต์ที่ถูกโจมตีจะถูกลิงก์ไปยัง adult shop ที่อยู่ในดัตช์  ทั้งนี้มัลแวร์เรียกค่าไถ่จะสร้างไฟล์สามไฟล์ไว้ใน C:\users\administrato\appdata\local\temp\. โดยไฟล์ c.exe ใช้ในการขโมยข้อมูล, x.exe และy.exe จะทำการเข้าหรัสไฟล์ต่างๆ  และแทนที่จะเข้ารหัสไฟล์ด้วยนามสกุล MIRCOP กลับใส่คำว่า “Lock” ไว้หน้าชื่อไฟล์นั้นๆ นอกจากนี้ยังเข้ารหัสโฟลเดอร์ด้วย เมื่อเปิดไฟล์ข้อความในไฟล์จะถูกเปลี่ยนเป็นตัวอักษรที่อ่านไม่ได้

About Author

RingRangRung

RingRangRung

Partners