ไวรัสเรียกค่าไถ่อีกตัวหนึ่ง เตือนสำหรับงานเอกสารวิจัยโดยเฉพาะ

jaff
jaff
นักโจมตีที่อยู่เบื้องหลังภัยร้ายที่สร้างความหวาดกลัวให้กับผู้ค้นภายใต้แรนซั่มแวร์ที่ชื่อว่า Locky และ Bart ได้กลับมาอีกรอบด้วยมัลแวร์ตัวใหม่ที่มีความสามารถเหลือล้น ชื่อว่า Jaff ที่หากใครโดนมันเข้ารหัสแล้วล่ะก็ ! ต้องเสียเงินค่าไถ่สูงถึง 3,700 เหรียญฯ คิดเป็นเงินไทยก็เกือบๆ 1.3 แสนบาท

ความเหมือนของมันกับพี่ใหญ่ทั้งสองก็คือ Jaff จะกระจายตัวเองผ่านทางสแปมเมล์ ที่ส่งมาโดยตัว Necures บอตเน็ต โดยในรายงานของ Malwarebytes บอกว่า Necurs นั้นตรวจพบครั้งแรกในปี 2012 และเป็นบอตเน็ตที่ยังอยู่ยั้งยืนยงมาอย่างยาวนานในทุกวันนี้

ซึ่งเมื่อเดือนเมษายนที่ผ่านมา นักวิจัยจากทาง IBM Security บอกว่า Necurs นั้นเป็นตัวการทำให้เครื่องคอมพิวเตอร์กว่า 6 ล้านเครื่องนั้นติดเชื้อ และยังคงส่งแบทช์อีเมล์นับล้านในแต่ละครั้งอีกด้วย เรียกได้ว่าเป็นหนึ่งในตัวการร้ายที่ทำการส่งพวกมัลแวร์ประเภทโทรจันและแรนซั่มแวร์เลยแหล่ะ

อีเมล์ที่ทางนักวิจัยตรวจพบนั้น มันเหมือนการเลียนแบบการส่งเมล์ที่ทำขึ้นมาโดยอัตโนมัติจากเครื่องพิมพ์ โดยหัวข้อเรื่องก็เป็นคำง่ายๆ เช่น Copy, Doucment, Scan, File หรือ PDF ต่อด้วยหมายเลขที่มีการสุ่ม

สมมติไฟล์ PDF ที่แนบมานั้นเรียกว่า nm.pdf ก็จะมีเอกสาร Word ฝังลงมากับมัน และเจ้าเอกสารตัวที่สองนี้เองที่มีมาโครตร้ายกาจ แอบติดมาและเก็บคำสั่งบางอย่าง สำหรับปฏิบัติการเมื่อผู้ใช้คลิกมัน ซึ่งหากมาโครตัวนี้รัน มันก็จะทำการดาวน์โหลดแรนซั่มแวร์ Jaff ลงมาทันที และแน่นอนมันก็จะเริ่มทำการเข้ารหัสไฟล์ที่ตรงกับลิสต์ของไฟล์นามสกุลที่มันวางเอาไว้ และเมื่อติดแล้วก็จะเห็นว่าจะมีนามสกุล .jaff ต่อท้าย

จากนั้นแรนซั่มแวร์มันจะสร้างไฟล์ขึ้นมาสองอัน พร้อมด้วยข้อมูลขั้นตอนสำหรับเหยื่อ ในการจ่ายเงินเป็นแบบ บิตคอยน์ เพื่อที่จะแลกตัวถอดรหัสไป ซึ่งพอร์ทัลของการจ่ายเงินนั้นถูกโฮสต์อยู่บนเครือข่าย Tor และเป็นพอร์ทัลที่ถูกใช้โดย Bart แรนซั่มแวร์ด้วย นี่จึงทำให้เห็นว่าเป็นความสัมพันธ์ลึกๆ ระหว่างแรนซั่มแวร์สองตัวนี้ โดยพบว่าค่าไถ่ไฟล์นี้สูงถึง 2 บิตคอยน์หรือคิดเป็นเงิน 3,700 เหรียญฯ

ที่มา : http://www.pcworld.com/article/3196482/security/new-ransomware-jaff-demands-3700-payments.html

แจ้งเตือนระวังไวรัสเข้ารหัสระบาดหนัก อย่ากดรับอะไรมั่วๆ โดยเฉพาะเอกสารที่ส่งมากับเมลของท่าน

1422930406

เตรียมพร้อมรับมือ

ไม่มีข้อความกำกับภาพอัตโนมัติในภาพอาจจะมี ข้อความไม่มีข้อความกำกับภาพอัตโนมัติ
ไม่มีข้อความกำกับภาพอัตโนมัติ
ในภาพอาจจะมี ข้อความ

สิ่งที่ SysAdmin ต้องทำโดยด่วนในขณะนี้ เพื่อป้องกัน #มัลแวร์เรียกค่าไถ่#WannaCrypt ที่สร้างความปั่นป่วนไปทั่วโลกในขณะนี้

* ท่านที่ดูแลห้องแล็ปคอมฯ หรือดูแลศูนย์สารสนเทศองค์กรที่ใช้ Windows XP, 7, 8, 10 หรือฝั่งเซิร์ฟเวอร์ที่ใช้ Win server 2003, 2008, 2012, 2016 #รีบอัปเดทโดยด่วนก่อนจะโดนมัลแวร์ยึดเครื่องทั้งองค์กร จะเป็นเหตุให้แก้ปัญหายากกว่านี้มากมาย

>> ลิ้งอัปเดทแพตช์ระบบ Windows
Link1: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx
Link2 : https://blogs.technet.microsoft.com/…/customer-guidance-fo…/

หมายเหตุ
ในกรณีที่กลัวอัปเดทไม่ทัน หรือมีทีมงานไอทีจำกัด ให้ปิดการใช้งาน SMB ไปก่อน (โดยเฉพาะเครื่องที่ระบบเป็น Windows XP สำคัญมาก)

ขั้นตอน
วิธีที่ 1
1. คลิกที่ Start > Control Panel > Program and Features > Turn Windows features on or off
[ ] SMB 1.0/CIFS File Sharing Support (ยกเลิก / )
2. คลิกปุ่ม OK

วิธีที่ 2
1. ปิดพอร์ต TCP/UDP SMB หมายเลข 135-139 และ 445 (ที่ firewall)

————————
กรณีไม่ทำการแก้ไขเครื่องสุ่มเสี่ยงต่อการที่มัลแวร์เรียกค่าไถ่ WannaCrypt เจาะเข้าระบบจากรูรั่วของ windows ทีไม่อัปเดทแพตช์
———————–
ลิงค์ตรวจสอบการแพร่กระจายของมัลแวร์เรียกค่าไถ่ WannaCrypt
Link1: https://intel.malwaretech.com/botnet/wcrypt

Link2: https://intel.malwaretech.com/WannaCrypt.html
———————

> ฟอร์แมตไฟล์ที่จะถูกเข้ารหัส เปลี่ยนเป็นนามสกุล .WCRY
.lay6
.sqlite3
.sqlitedb
.accdb
.java
.class
.mpeg
.djvu
.tiff
.backup
.vmdk
.sldm
.sldx
.potm
.potx
.ppam
.ppsx
.ppsm
.pptm
.xltm
.xltx
.xlsb
.xlsm
.dotx
.dotm
.docm
.docb
.jpeg
.onetoc2
.vsdx
.pptx
.xlsx
.docx

อ่านต่อได้ที่ http://www.cyberswachhtakendra.gov.in/…/wannacry_ransomware…

หมายเหตุ2
WannaCrypt นับเป็นภัยอันตรายที่ส่งผลต่อผู้ใช้คอมพิวเตอร์ทั่วโลกพร้อมๆ กันเท่าที่เคยมีมาเลยทีเดียว ระวังข้อมูลองค์กร ข้อมูลตนเอง และระวังตัวด้วยนะครับ จริงๆ พนักทุกคนต้องร่วมด้วยช่วยกัน คนละม้ายคนละมือ อย่าฝากความหวังไว้ที่ SysAdmin หรือไอทีเพียงอย่างเดียว เห็นใจคนทำงานสายนี้จริงๆ

ขอให้สนุกกับการทำงาน การแก้ปัญหา ตัดเน็ตเวิร์ค และปิดการทำงานของ SMB1 บนระบบ Windows เช้าวันจันทร์นี้ (15 May 2017)อย่าลืมออกประกาศไปถึงพนักงานทุกคนด้วย มันไม่ช่ายเรื่องเล่นๆ เรื่องใหญ่มากกกกกก อย่าวัวหายแล้วล้อมคอก 🙂

#DrArnutTips