ThaiCERT ไทยเซิร์ต - ระวังภัย Locky มัลแวร์เรียกค่าไถ่ แพร่กระจายผ่านทางอีเมล
Clear
Lead Graphic Papers

ระวังภัย Locky มัลแวร์เรียกค่าไถ่ แพร่กระจายผ่านทางอีเมล

วันที่ประกาศ: 1 เมษายน 2559
ปรับปรุงล่าสุด: 1 เมษายน 2559
เรื่อง: ระวังภัย Locky มัลแวร์เรียกค่าไถ่ แพร่กระจายผ่านทางอีเมล
ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Google+

เมื่อปลายเดือนมีนาคม 2559 ไทยเซิร์ตได้รับแจ้งเหตุภัยคุกคามการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ชื่อ Locky โดยใช้วิธีแพร่กระจายผ่านทางอีเมล
ในการโจมตี ผู้ไม่ประสงค์ดีจะส่งอีเมลพร้อมแนบไฟล์ JavaScript ซึ่งหากผู้ใช้ดับเบิ้ลคลิกเปิดไฟล์ดังกล่าวก็จะติดมัลแวร์ทันที โดยมัลแวร์จะเข้ารหัสลับไฟล์เอกสารบนเครื่องคอมพิวเตอร์ รวมถึงเอกสารที่แชร์ผ่านเครือข่าย และหากมีการนำอุปกรณ์ เช่น Flash Drive หรือ External Drive มาเชื่อมต่อก็จะติดมัลแวร์ด้วย
หลังจากที่เข้ารหัสลับไฟล์ข้อมูลในเครื่อง มัลแวร์จะแสดงข้อความแจ้งให้ผู้ใช้จ่ายเงิน เพื่อแลกกับกุญแจถอดรหัสลับไฟล์ข้อมูลให้กลับมาใช้งานได้อีกครั้ง ตามรูปที่ 1


รูปที่ 1 ข้อความที่มัลแวร์แจ้งเตือนหลังจากที่ไฟล์ถูกเข้ารหัสลับข้อมูล

พฤติกรรมการทำงาน

เมื่อดับเบิ้ลคลิกไฟล์ JavaScript ที่แนบมากับอีเมล ไฟล์ดังกล่าวจะถูกประมวลผลด้วยโปรแกรม Windows Script Host (wscript.exe) ตามรูปที่ 2


รูปที่ 2 โปรแกรม Windows Script Host ประมวลผลไฟล์ JavaScript

จากนั้นจะมีการเชื่อมต่อไปยังเว็บไซต์ hxxp://surgitek.co.uk/system/logs/98yt (ไอพี 192.185.196.112) เพื่อดาวน์โหลดไฟล์ 98yt[1].txt มาลงในเครื่อง ตามรูปที่ 3


รูปที่ 3 การดาวน์โหลดไฟล์ 98yt[1].txt

เมื่อดาวน์โหลดเสร็จแล้ว ไฟล์ 98yt[1].txt จะถูกเปลี่ยนนามสกุลเป็น .exe และถูกเปลี่ยนชื่อไฟล์โดยใช้การตั้งค่าแบบสุ่ม ซึ่งในขณะที่ตรวจวิเคราะห์ไฟล์ดังกล่าวถูกเปลี่ยนชื่อเป็น Qbc27SqPKQ.exe หลังจากเปลี่ยนชื่อไฟล์เสร็จก็จะมีการเรียกใช้งานไฟล์ดังกล่าว


รูปที่ 4 โปรแกรม Qbc27SqPKQ.exe ถูกเรียกใช้งาน

โปรแกรม Qbc27SqPKQ.exe จะเชื่อมต่อไปยัง 51.255.107.8/main.php เพื่อส่ง Private key ซึ่งเป็นกุญแจที่ใช้สำหรับถอดรหัสลับ ตามรูปที่ 5


รูปที่ 5 การส่ง Private key ที่ใช้สำหรับถอดรหัสลับ

จากนั้นจะเรียกโปรแกรม Volume Shadow Copy Service (vssadmin.exe) ขึ้นมาเพื่อลบไฟล์ Volume Shadow Copy ซึ่งเป็นไฟล์ข้อมูลที่ถูกระบบเก็บสำรองไว้ เพื่อไม่ให้เหยื่อสามารถกู้ไฟล์คืนได้
หลังจากที่ส่ง Private Key และลบ Volume Shadow Copy แล้ว มัลแวร์จะเริ่มดำเนินการเข้ารหัสลับไฟล์ข้อมูลในเครื่องและเปลี่ยนสกุลไฟล์ที่ถูกเข้ารหัสลับเป็น .locky ตามรูปที่ 6 โดยเมื่อเข้ารหัสลับไฟล์ไปได้จำนวนหนึ่งแล้วจะแสดงข้อความเรียกค่าไถ่ และบอกวิธีการจ่ายเงินเพื่อถอดรหัสลับไฟล์


รูปที่ 6 โปรแกรม Qbc27SqPKQ.exe เข้ารหัสลับข้อมูลและเปลี่ยนสกุลไฟล์เป็น .locky

ข้อแนะนำในการป้องกันการติดมัลแวร์ Locky Ransomware

1. สำรองข้อมูลบนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างสม่ำเสมอ และหากเป็นไปได้ให้เก็บข้อมูลที่ทำการสำรองไว้ในอุปกรณ์ที่ไม่มีการเชื่อมต่อกับคอมพิวเตอร์หรือระบบเครือข่ายอื่นๆ
2. ติดตั้ง/อัปเดตโปรแกรมป้องกันไวรัส รวมถึงอัปเดตโปรแกรมอื่น ๆ โดยเฉพาะโปรแกรมที่มักมีปัญหาเรื่องช่องโหว่อยู่บ่อย ๆ เช่น Java และ Adobe Reader รวมถึงอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
3. ไม่คลิกลิงก์หรือเปิดไฟล์ที่มาพร้อมกับอีเมลที่น่าสงสัย หากไม่มั่นใจว่าเป็นอีเมลที่น่าเชื่อถือหรือไม่ ให้สอบถามจากผู้ส่งโดยตรง
4. หากมีการแชร์ข้อมูลร่วมกันผ่านระบบเครือข่าย ให้ตรวจสอบสิทธิในการเข้าถึงข้อมูลแต่ละส่วน และกำหนดสิทธิ์ให้ผู้ใช้มีสิทธิ์อ่านหรือแก้ไขเฉพาะไฟล์ที่มีความจำเป็นต้องใช้สิทธิเหล่านั้น
5. ทำการบล็อกหรือเฝ้าระวังการเชื่อมต่อจากเครือข่ายผู้ใช้งานภายในกับหมายเลขไอพีของผู้ไม่ประสงค์ดี 192.185.196.112 และ 51.255.107.8 เพื่อตัดวงจรการทำงานของมัลแวร์

Clear