ที่มาภาพ: http://deks-designs.deviantart.com/art/Zombie-Pikachu-Progress-40944086
Michael Gillespie ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย ออกมาเตือนถึง Ransomware ตัวใหม่ที่หลอกผู้ใช้ว่าเป็นเกม Pokemon Go สำหรับเล่นบน Windows ซึ่งนอกจากจะเข้ารหัสไฟล์เรียกค่าไถ่แล้ว ยังสร้าง Backdoor สำหรับใช้ขโมยข้อมูลและกระจายตัวไปยังไดรฟ์อื่นๆ ได้
แพร่กระจายตัวและเข้ารหัสเหมือน Ransomware ทั่วไป
PokemonGo Ransomware แพร่กระจายตัวเหมือน Ransomware ทั่วๆ ไป คือ ผ่านทางอีเมล Phishing เมื่อผู้ใช้เผลอดาวน์โหลดและติดตั้งลงบนเครื่องแล้ว มัลแวร์จะทำการเข้ารหัสไฟล์ข้อมูลทั้งหมดโดยใช้อัลกอริธึมแบบ AES และต่อท้ายนามสกุลไฟล์ด้วย .locked จากนั้นจะแสดงข้อความเรียกค่าไถ่ซึ่งระบุว่าให้ติดต่อ me.blackhat20152015[add] mt2015 . com เพื่อรับทราบวิธีจ่ายค่าไถ่
แถม Backdoor และแพร่กระจายตัวไปไดรฟ์อื่นๆ
นอกจากเข้ารหัสข้อมูลแล้ว PokemonGo Ransomware ยังมีฟีเจอร์เสริมที่ไม่ค่อยพบใน Ransowmare เท่าไหร่นัก นั่นคือการสร้าง Windows Account บน Admin Group สำหรับใช้เป็น Backdoor เพื่อเข้าถึงเครื่องของเหยื่อในอนาคต แพร่กระจายตัวเองไปยังไดรฟ์อื่นๆ เพื่อเข้ารหัสไฟล์ข้อมูลต่อ และสร้าง Network Shares นอกจากนี้ หลังจากตรวจสอบโค้ดดูแล้ว พบว่ามัลแวร์ดังกล่าวกำลังอยู่ในเฟสพัฒนา คาดว่าแฮ็คเกอร์จะมีการเพิ่มฟีเจอร์อื่นๆ เข้าไปอีก
พุ่งเป้าเหยื่อชาวอาหรับ
PokemonGo Ransomware ถูกออกแบบมาเพื่อโจมตีชาวอาหรับโดยเฉพาะ เนื่องจากชื่อไฟล์และข้อความเรียกค่าไถ่ถูกเขียนเป็นภาษาอารบิค คือ هام جدا.txt ซึ่งเป็นว่า สำคัญมาก.txt
ขอขอบคุณที่มาข่าว: https://www.techtalkthai.com/pokemon-go-ransomware-on-windows/
บทความโดย
กษิติ พันธุ์ถนอม | Kasiti Panthanom
วิทยากรและที่ปรึกษางานพัฒนาองค์ความรู้ด้าน IT บริษัทซิตี้ฮับส์ คอร์ปอเรชั่น จำกัด มีประสบการณ์เป็นวิทยากรอบรมคอมพิวเตอร์งานด้านพัฒนาเว็บไซต์ โปรแกรมสำนักงาน (MS Office) และโปรแกรมประยุกต์เฉพาะทางมากว่า 13 ปี
