ไวรัสเรียกค่าไถ่อีกตัวหนึ่ง เตือนสำหรับงานเอกสารวิจัยโดยเฉพาะ

jaff
นักโจมตีที่อยู่เบื้องหลังภัยร้ายที่สร้างความหวาดกลัวให้กับผู้ค้นภายใต้แรนซั่มแวร์ที่ชื่อว่า Locky และ Bart ได้กลับมาอีกรอบด้วยมัลแวร์ตัวใหม่ที่มีความสามารถเหลือล้น ชื่อว่า Jaff ที่หากใครโดนมันเข้ารหัสแล้วล่ะก็ ! ต้องเสียเงินค่าไถ่สูงถึง 3,700 เหรียญฯ คิดเป็นเงินไทยก็เกือบๆ 1.3 แสนบาท

ความเหมือนของมันกับพี่ใหญ่ทั้งสองก็คือ Jaff จะกระจายตัวเองผ่านทางสแปมเมล์ ที่ส่งมาโดยตัว Necures บอตเน็ต โดยในรายงานของ Malwarebytes บอกว่า Necurs นั้นตรวจพบครั้งแรกในปี 2012 และเป็นบอตเน็ตที่ยังอยู่ยั้งยืนยงมาอย่างยาวนานในทุกวันนี้

ซึ่งเมื่อเดือนเมษายนที่ผ่านมา นักวิจัยจากทาง IBM Security บอกว่า Necurs นั้นเป็นตัวการทำให้เครื่องคอมพิวเตอร์กว่า 6 ล้านเครื่องนั้นติดเชื้อ และยังคงส่งแบทช์อีเมล์นับล้านในแต่ละครั้งอีกด้วย เรียกได้ว่าเป็นหนึ่งในตัวการร้ายที่ทำการส่งพวกมัลแวร์ประเภทโทรจันและแรนซั่มแวร์เลยแหล่ะ

อีเมล์ที่ทางนักวิจัยตรวจพบนั้น มันเหมือนการเลียนแบบการส่งเมล์ที่ทำขึ้นมาโดยอัตโนมัติจากเครื่องพิมพ์ โดยหัวข้อเรื่องก็เป็นคำง่ายๆ เช่น Copy, Doucment, Scan, File หรือ PDF ต่อด้วยหมายเลขที่มีการสุ่ม

สมมติไฟล์ PDF ที่แนบมานั้นเรียกว่า nm.pdf ก็จะมีเอกสาร Word ฝังลงมากับมัน และเจ้าเอกสารตัวที่สองนี้เองที่มีมาโครตร้ายกาจ แอบติดมาและเก็บคำสั่งบางอย่าง สำหรับปฏิบัติการเมื่อผู้ใช้คลิกมัน ซึ่งหากมาโครตัวนี้รัน มันก็จะทำการดาวน์โหลดแรนซั่มแวร์ Jaff ลงมาทันที และแน่นอนมันก็จะเริ่มทำการเข้ารหัสไฟล์ที่ตรงกับลิสต์ของไฟล์นามสกุลที่มันวางเอาไว้ และเมื่อติดแล้วก็จะเห็นว่าจะมีนามสกุล .jaff ต่อท้าย

จากนั้นแรนซั่มแวร์มันจะสร้างไฟล์ขึ้นมาสองอัน พร้อมด้วยข้อมูลขั้นตอนสำหรับเหยื่อ ในการจ่ายเงินเป็นแบบ บิตคอยน์ เพื่อที่จะแลกตัวถอดรหัสไป ซึ่งพอร์ทัลของการจ่ายเงินนั้นถูกโฮสต์อยู่บนเครือข่าย Tor และเป็นพอร์ทัลที่ถูกใช้โดย Bart แรนซั่มแวร์ด้วย นี่จึงทำให้เห็นว่าเป็นความสัมพันธ์ลึกๆ ระหว่างแรนซั่มแวร์สองตัวนี้ โดยพบว่าค่าไถ่ไฟล์นี้สูงถึง 2 บิตคอยน์หรือคิดเป็นเงิน 3,700 เหรียญฯ

ที่มา : http://www.pcworld.com/article/3196482/security/new-ransomware-jaff-demands-3700-payments.html

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *