คลังเก็บป้ายกำกับ: ค่าไถ่

เทรนด์ไมโครแนะนำวิธีป้องกันแรนซั่นแวร์ Bad Rabbit เบื้องต้น

Bad Rabbit เป็นแรนซั่มแวร์ตัวใหม่ล่าสุดที่จู่โจมยุโรปตะวันออกในขณะนี้ โดยพุ่งเป้าไปที่องค์กรด้านสื่อสารมวลชนในรัสเซีย และหน่วยงานด้านโครงสร้างพื้นฐานและการขนส่งในยูเครน ซึ่งจากการวิเคราะห์ของ Trend Micro เบื้องต้น พบความคล้ายคลึงกับ Petya ที่เคยระบาดเมื่อกลางปีที่ผ่านมาบางประการ

ประการที่สำคัญเลยคือ Bad Rabbit ได้ใช้ช่องโหว่บน Server Message Block (SMB) บนเครื่องเหยื่อเช่นเดียวกัน ซึ่งสำหรับผู้ที่ใช้ผลิตภัณฑ์ของ Trend Micro ที่มีเทคโนโลยี XGen™ จะสามารถตรวจจับและสกัดกั้นแรนซั่มแวร์ใหม่นี้ได้โดยอัตโนมัติ ส่วนผู้ใช้ทั่วไปนั้น ต้องระวังเว็บไซต์หลอกที่โดนแฮ็คให้ปล่อย Flash Player ปลอมที่มีแรนซั่มแวร์สิงอยู่

ข้อความเรียกค่าไถ่ของ Bad Rabbit

 

หน้าต่างการชำระเงินของ Ransomware ตัวนี้

ด้วยกลไกที่แพร่กระจายบนเครือข่ายของเหยื่อด้วยการสุ่มรหัสผ่านแบบ Dictionary Attack รวมทั้งค้นรหัสที่เก็บไว้บนเครื่องปัจจุบัน รวมทั้งบุกเข้าแชร์ไฟล์เท่าที่ทำได้ ซึ่งถ้าคุณอัพเดตระบบและแพทช์อยู่เสมอ โดยเฉพาะช่องโหว่ SMB (MS17-010) เมื่อมีนาคมที่ผ่านมา ก็ถือว่าปลอดภัยอีกระดับ นอกจากนี้ควรปฏิบัติตามแนวทางที่แนะนำเป็นมาตรฐาน ไม่ว่าจะเป็นการแบ๊กอัพเป็นประจำ, อบรมพนักงาน, และใช้โซลูชั่นความปลอดภัยแบบหลายระดับ เช่น Trend Micro™ Deep Discovery™ Email Inspector และ InterScan™ Web Security รวมถึง Trend Micro Smart Protection Suites เป็นต้น

อ่านฉบับเต็มที่นี่ : https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/protecting-yourself-from-bad-rabbit-ransomware

from:https://www.enterpriseitpro.net/archives/8535

Advertisements

แรนซั่มแวร์ใหม่ Bad Rabbit ที่ระบาดหนักแบบสายฟ้าแลบทั่วยุโรป

พบการโจมตีด้วยแรนซั่มแวร์ครั้งใหม่ในวงกว้าง ที่ระบาดเร็วมากทั่วทั้งยุโรป โดยเล่นงานองค์กรขนาดใหญ่ไปแล้วกว่า 200 แห่ง โดยเฉพาะในรัสเซีย, ยูเครน, ตุรกี, และเยอรมัน ภายในไม่กี่ชั่วโมง ซึ่งมีชื่อเรียกว่า “Bad Rabbit” มีพฤติกรรมเหมือน Petya ที่มุ่งจัดการเหยื่อระดับองค์กรเป็นหลัก เพื่อเรียกค่าไถ่ในราคา 0.05 บิทคอยน์ (หรือประมาณ 285 ดอลลาร์สหรัฐฯ)

จากการวิเคราะห์ของ Kaspersky นั้น แรนซั่มแวร์นี้น่าจะถูกส่งต่อๆ กันมาผ่านการหลอกในดาวน์โหลดในรูป Adobe Flash Player ปลอม เพื่อลวงให้เหยื่อติดตั้งมัลแวร์โดยไม่สงสัยอะไร เนื่องจากมัลแวร์นี้ไม่ได้อาศัยช่องโหว่อะไรในการเจาะระบบ จึงเชื่อว่าเหยื่อเป็นผู้ติดตั้งแรนซั่มแวร์นี้ด้วยตัวเอง

นอกจากนี้ Kaspersky ยังพบเว็บไซต์หลายแห่งที่มีการฝังตัว Player หลอกนี้ให้เหยื่อหลงโหลดไปติดตั้งด้วย ซึ่งส่วนใหญ่เป็นพวกเว็บข่าวหรือสื่อชื่อดัง ขณะที่นักวิจัยจาก ESET ได้ตรวจพบมัลแวร์ Bad Rabbit นี้ในรูป ‘Win32/Diskcoder.D’ ซึ่งถือเป็นสายพันธุ์ใหม่ที่พัฒนามาจาก Petya เดิม โดยจัดอยู่ในกลุ่มเดียวกับ Petrwrap, NotPetya, exPetr และ GoldenEye

แรนซั่มแวร์ Bad Rabbit นี้ใช้ซอฟต์แวร์เข้ารหัสไดรฟ์แบบโอเพ่นซอร์สที่ชื่อ DiskCryptor ในการเข้ารหัสไฟล์บนเครื่องเหยื่อด้วยคีย์แบบ RSA 2048 โดยไม่ได้ใช้ช่องโหว่ EternalBlue เหมือนญาติๆ ของมัน แต่มีการใช้ทูลชื่อ Mimikatz ในการถลุงหาข้อมูลรหัสผ่านต่างๆ บนระบบด้วย ทั้งนี้ Kaspersky แนะนำให้ปิดเซอร์วิส WMI เพื่อป้องกันมัลแวร์ไม่ให้แพร่กระจายบนเครือข่าย

ที่มา : https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html

from:https://www.enterpriseitpro.net/archives/8479

[VDO] แรนซั่มแวร์ตัวใหม่ มุ่งเล่นงาน Android แสบกว่าเดิม! ด้วยการเปลี่ยนรหัส PIN

นักวิจัยด้านความปลอดภัยจาก ESET พบแรนซั่มแวร์ตัวใหม่บนแอนดรอยด์ที่ไม่เพียงเข้ารหัสข้อมูลของผู้ใช้เท่านั้น แต่ยังล็อกเครื่องด้วยการเปลี่ยนรหัสปลดล็อกหน้าจออีกด้วย โดยใช้ชื่อว่า “DoubleLocker” ที่ล็อกเครื่องถึงสองชั้นแบบไม่ให้ได้ผุดได้เกิดเลยทีเดียว

นอกจากนี้ DoubleLocker ยังเป็นแรนซั่มแวร์ตัวแรกที่ใช้ฟังก์ชั่น Accessibility บนแอนดรอยด์ เพื่อเป็นช่องโหว่ในการทะลวงระบบบนสมาร์ทโฟน อีกทั้งยังใช้โทรจันที่จำเพาะสำหรับขโมยรหัสผ่านอีแบงกิ้งโดยเฉพาะ ซึ่งมีโอกาสอย่างมากที่จะเรียกค่าไถ่ทั้งข้อมูลบนเครื่อง และการเข้าถึงแอพธนาคารไปพร้อมกัน และอาจถึงขนาดลบบัญชีผู้ใช้ธนาคารหรือ PayPal ไปด้วย

แรนซั่มแวร์นี้ค้นพบครั้งแรกตั้งแต่เดือนพฤษภาคม โดยระบาดในรูปตัวอัพเดต Adobe Flash ผ่านเว็บไซต์อันตราย เมื่อติดตั้งแล้ว จะเปิดใช้ฟีเจอร์ Accessibility บน Google Play เพื่ออาศัยช่องโหว่ให้ได้สิทธิ์ระดับแอดมิน พร้อมตั้งตัวเองเป็นแอพโฮมโดยดีฟอลต์หรือ Launcher ดังนั้นเมื่อเหยื่อกดปุ่มโฮม แรนซั่มแวร์ก็จะออกฤทธิ์ด้วยการล็อกเครื่องแบบสองชั้นปิดตายทันที

สำหรับค่าไถ่นั้นสนนราคาถูกๆ อยู่ที่ 0.0130 BTC (หรือประมาณ 74.38 เหรียญสหรัฐฯ เมื่อเวลาที่เขียนบทความ ท่ามกลางกราฟค่าเงินบิทคอยน์ที่พุ่งกระฉูดอยู่ทุกวันตอนนี้) โดยเรียกร้องให้จ่ายภายใน 24 ชั่วโมงเพื่อแลกกับคีย์ถอดรหัส พร้อมบริการรีเซ็ต PIN ให้จากระยะไกล สำหรับเครื่องที่บริสุทธิ์ยังไม่ผ่านการรูท ก็ยังสามารถรีเซ็ตเครื่องเพื่อปลดล็อกและกำจัดแรนซั่มแวร์ได้อยู่ แต่เครื่องที่รูทแล้วอาจต้องใช้เทคนิคชั้นสูงอย่าง Android Debug Bridge (ADB) เป็นต้น

ที่มา : https://thehackernews.com/2017/10/android-ransomware-pin.html

from:https://www.enterpriseitpro.net/archives/8368

แรนซั่มแวร์เริ่มกลายพันธุ์ ขอดู “รูปโป๊” ของเหยื่อแทนเงินเรียกค่าไถ่

เมื่อไม่กี่เดือนที่ผ่านมา มีแรนซั่มแวร์แปลกๆ สองตัวที่ขอให้เหยื่อเล่นเกมส์ของตนเองเพื่อแลกกับคีย์ถอดรหัสไฟล์ หลังจากนั้นเหล่าวายร้ายก็เหมือนติสต์แตกไอเดียแจ่มจรัส เริ่มเรียกค่าไถ่เป็นอย่างอื่นแทนบิทคอยน์ โดยเฉพาะการขอดูภาพเปลือยของเหยื่อ

แรนซั่มแวร์หื่นแตกนี้ใช้ชื่อว่า nRansomware ซึ่งถูกค้นพบโดยนักวิจัยด้านความปลอดภัยที่ใช้ชื่อแฝงว่า MalwareHunterTeam โดยโพสภาพแคปหน้าจอข้อความเรียกค่าไถ่ที่ขอดูภาพลับเฉพาะของเหยื่อ โดยอธิบายวิธีส่งรูปไว้อย่างละเอียด นอกจากนั้นยังเปิดเพลงคลอที่เป็นเพลงประจำซีรี่ย์ดัง Curb Your Enthusiam จากช่อง HBO พร้อมขึ้นภาพประกอบของตัวละครชื่อ Thomas the Tank Engine ด้วย

ในข้อความขึ้นทำนองว่า เครื่องของคุณถูกล็อกแล้ว ต้องใช้โค้ดปลดล็อกพิเศษเท่านั้น โดยให้เหยื่อสร้างที่อยู่อีเมล์ใหม่บน ProtonMail ซึ่งเป็นบริการอีเมล์แบบเข้ารหัสที่ต่อต้านการสืบความลับระดับ NSA โดยเฉพาะ เพื่อจัดส่งภาพลับจัดเต็มของเหยื่ออย่างน้อย 10 ภาพให้แฮ็กเกอร์

นอกจากนี้ยังขู่ด้วยว่า จะมีการตรวจสอบก่อนว่าภาพดังกล่าวเป็นของเจ้าตัวเหยื่อจริงหรือไม่ พร้อมบอกโต้งๆ ว่าหลังจากพิสูจน์แล้ว แฮ็กเกอร์คนผีทะเลจะยอมส่งโค้ดปลดล็อกให้ พร้อมเอาภาพของคุณไปขายในตลาดมืด แต่อย่างไรก็ดี ทางนักวิจัยด้านความปลอดภัยอีกท่านได้ให้ความเห็นว่า แรนซั่มแวร์ดังกล่าวเป็นแค่ตัวล็อกหน้าจอเท่านั้น ไม่ได้เข้ารหัสไฟล์แต่อย่างใด และยังไม่เคยได้ยินใครที่ตกเป็นเหยื่อจนถึงปัจจุบัน

ที่มา : https://www.hackread.com/new-ransomware-scam-asks-nude-pics-unlock-files

from:https://www.enterpriseitpro.net/archives/8171

FedEx ประเมินความเสียหายกว่า 300 ล้านดอลลาร์ จากการโดน NotPetya เล่นงาน

FedEx ได้ออกมากล่าวว่า แม้จะสามารถกู้คืนระบบสำคัญให้กลับมาเป็นปกติได้แล้ว แต่ก็ทำให้เสียโอกาสจนสูญเสียรายได้ตามกว่าที่คาดการณ์ไว้ โดยคิดเป็นค่าใช้จ่ายด้านการปฏิบัติงานที่ต้องเพิ่มขึ้นกว่าเดิมถึง 300 ล้านดอลลาร์ฯ 

หลังจาก FedEx ซื้อกิจการบริการขนส่งชื่อดังสัญชาติฮอลแลนด์อย่าง TNT Express ไปเมื่อปีที่แล้วด้วยมูลค่าถึง 4.8 พันล้านดอลลาร์สหรัฐฯ ไม่นาน ระบบของ TNT ก็ตกเป็นหนึ่งในเหยื่อของแรนซั่มแวร์ชื่อดัง NotPetya เมื่อวันที่ 27 มิถุนายนที่ผ่านมา

ซึ่งทาง FedEx ได้ออกมากล่าวว่า แม้จะสามารถกู้คืนระบบสำคัญให้กลับมาเป็นปกติได้แล้ว แต่ก็ทำให้เสียโอกาสจนสูญเสียรายได้ตามกว่าที่คาดการณ์ไว้ โดยคิดเป็นค่าใช้จ่ายด้านการปฏิบัติงานที่ต้องเพิ่มขึ้นกว่าเดิมถึง 300 ล้านดอลลาร์ฯ รวมไปถึงต้องมีการลงทุนด้านการผสานระบบ TNT เข้ากับตัวเองเพิ่มจากที่วางแผนไว้อีก 75 ล้านดอลลาร์ฯ ด้วย

NotPetya นี้เป็นแรนซั่มแวร์ที่มีลักษณะคล้ายรุ่นพี่ที่ระบาดก่อนหน้าไปทั่วโลกอย่าง WannaCry โดยใช้ช่องโหว่บนวินโดวส์ที่ถูกปล่อยข้อมูลออกมาจากหน่วยงานความมั่นคงของสหรัฐฯ อย่าง NSA ซึ่ง NotPetya นี้เริ่มระบาดจากกลุ่มบริษัทที่อยู่ในประเทศยูเครนและรัสเซียเป็นหลัก โดยผลที่เกิดขึ้นรุนแรงถึงขั้นต้องหยุดการให้บริการของสนามบิน Boryspil ไปจนถึงการปิดระบบตรวจสอบรังสีอัตโนมัติในบริเวณซากโรงงานนิวเคลียร์เชอร์โนบิลเลยทีเดียว

อ่านข่าว : เยี่ยม !! ค้นพบแล้ว เทคนิคสร้างวัคซีนป้องกันการโจมตีของ Petya สายพันธุ์ใหม่

นอกจากนี้ยังกระทบไปถึงบริเวณอื่นทั่วโลกในเวลาต่อมา ทั้งโรงพยาบาลในสหรัฐฯ, บริษัทผลิตยาชื่อดัง Merck, หรือโรงงานผลิตขนมที่รู้จักกันดีอย่าง Nabisco และ Oreo ลามไปถึงระบบบางส่วนของโรงงานผลิตไฟฟ้านิวเคลียร์ในสหรัฐฯ ด้วย

ที่มา : https://www.engadget.com/2017/09/21/fedex-ransomware-notpetya

from:https://www.enterpriseitpro.net/archives/8001

จาก WannaCry และ Petya คุณจะเจออะไรกันอีก !!?

ขณะที่ทั่วโลกยังคงสั่นสะเทือนจากการโจมตีของ WannaCry นั้น หลายบริษัทในยุโรปและอเมริกาก็ตกเป็นเหยื่อมัลแวร์ครั้งใหญ่อีกครั้งจาก Petya จนได้

นักวิจัยจาก Sophos ได้พบจุดที่เหมือนกันของลักษณะการแพร่กระจายแรนซั่มแวร์ทั้งสองตัวนี้ รวมถึงข้อแตกต่างที่มีการพัฒนาขึ้นอย่างชัดเจน แม้ว่าสำหรับ Petya นั้น ไม่พบกลไกการกระจายตัวเองผ่านอินเทอร์เน็ตแบบที่ WannaCry ใช้อยู่ แต่ก็พบว่า Petya ได้ใช้ช่องโหว่ Eternal Blue หรือ Eternal Romance ในการแพร่ตัวเองบนโลกออนไลน์เหมือน WannaCry เช่นกัน โดยช่องโหว่ดังกล่าวจะใช้ประโยชน์จากบั๊กของบริการ Server Message /block (SMB) ที่คอมพิวเตอร์ที่ใช้วินโดวส์ ใช้ในการแบ่งปันไฟล์และเครื่องพิมพ์ภายในแลนของตัวเอง

แต่ความล้ำอีกขั้นของ Petya คือ ถ้าการใช้ช่องโหว่บน SMB ไม่สำเร็จแล้ว ก็จะหันไปแพร่เชื้อผ่านทูลชื่อว่า PsExec ที่อนุญาตให้ผู้ใช้รันโปรเซสบนระบบที่ต้องการจากระยะไกลได้ นั่นหมายความว่า ถึงเครื่องของเหยื่อจะได้รับการแพ็ตช์อุดช่องโหว่บน SMB แล้วก็ไม่หวั่น ถือว่ายังมีโอกาสโดนกระจายเชื้อไปยังเครื่องอื่นบนเครือข่ายได้อย่างง่ายดายอยู่ดี

กว่า 5 ปีที่ผ่านมานั้น วงการไอทีได้เห็นมัลแวร์หลากหลายสายพันธุ์ที่นิยมใช้การหลอกลวงทางอีเมล์ในการแพร่เชื้อ ด้วยเทคนิคเดิมๆ ในการเขียนอีเมล์ให้ดูน่าเชื่อถือ ใส่โลโก้ทางการ ใช้ภาษาเนียนๆ เข้ากับลักษณะของเป้าหมาย เติมความหวาดกลัวด้วยการขู่เล็กน้อยถึงปานกลาง จากเจ้านายบ้าง หน่วยงานรัฐบ้าง เพื่อล่อให้คลิกลิงค์หรือเปิดไฟล์แนบ แน่นอนว่าวิธีนี้ต้องอาศัยอาการสติหลุดของผู้ใช้ร่วมด้วย ดังนั้น มัลแวร์ยุคใหม่นี้จึงเลิกพึ่งพาคนอื่น ด้วยการใช้เทคนิคหรือทูลในการกระจายมัลแวร์แบบเวิร์ม โดยไม่ต้องจุดธูปภาวนาให้เหยื่อคลิกอีกต่อไป

และด้วยช่องโหว่ที่ถูกทะลวงจนพรุนมากมายในปัจจุบัน ทำให้อาชญากรทางไซเบอร์ยังคงมุ่งทำมาหากินกับเหยื่อที่ใช้วินโดวส์เป็นหลัก ขณะที่ยังทำงานอดิเรกหนีเรดโอเชียนด้วยการพัฒนาฝีมือโจมตีแพลตฟอร์มอื่น เช่น เซิร์ฟเวอร์ลีนุกส์ และเครื่องแมคไปพร้อมกัน

อีกหนึ่งกระแสอันตรายที่ต้องเฝ้าระวังคือ แรนซั่มแวร์บนโลกโมบายล์ ซึ่งปีที่แล้วทาง SophosLabs ได้วิเคราะห์จนเจอแอพพลิเคชั่นบนแอนดรอยด์ที่น่าสงสัยกว่า 8.5 ล้านรายการ โดยมากกว่าครึ่งกลายเป็นมัลแวร์หรือแอพพลิเคชั่นที่มีพฤติกรรมไม่พึงประสงค์ โดยเฉพาะพวกแอดแวร์ที่สร้างความรำคาญ

ถือได้ว่า แรนซั่มแวร์ยุคใหม่มีการพัฒนาฟีเจอร์การทำร้ายชาวบ้านได้หลากหลายและลึกล้ำ ในอัตราที่รวดเร็วมากขึ้นเรื่อย ธุรกิจต่างๆ จึงตกอยู่ในความเสี่ยงสูงมาก ถ้าไม่ได้จัดการป้องกันอย่างถูกต้องตามขั้นตอนที่เหมาะสม

ดังนั้น Sophos จึงแนะนำขั้นตอนอย่างง่ายในการป้องกันตัวเอง ดังนี้:
• ตรวจสอบให้มั่นใจว่า ทุกระบบที่ใช้งานอยู่ ได้รับการแพ็ตช์รุ่นล่าสุด โดยเฉพาะรายการที่ชื่อ MS17-010 จากไมโครซอฟท์แล้ว
• อนุญาตเฉพาะแอพพลิเคชั่นที่จำเป็นต้องใช้ทำงานประจำวันเท่านั้นที่รันบนคอมพิวเตอร์ได้ เพื่อลดความเสี่ยงในการโดนโจมตี และจำกัดจำนวนแพ็ตช์ที่คุณจำเป็นต้องติดตั้งเป็นประจำเพื่ออุดช่องโหว่บนเครื่องทุกเครื่อง
• สำรองข้อมูลเป็นประจำ และเก็บข้อมูลที่แบ๊กอัพไว้ภายนอกองค์กรด้วย โดยเข้ารหัสข้อมูลที่เก็บสำรองไว้เพื่อให้คุณคลายความกังวลไม่ว่าจะเก็บข้อมูลนี้ไว้ที่ไหนก็ตาม
• หลีกเลี่ยงการเปิดไฟล์แนบ หรือคลิกลิงค์ที่มากับอีเมล์ โดยเฉพาะเมล์ที่คุณไม่ทราบที่มา หรือไม่คิดว่าจะมีเมล์ลักษณะนี้มาจากผู้ส่ง (ที่อาจติดเชื้อไปแล้ว) รายนั้นๆ
• มีทูลฟรีให้โหลดมาใช้ยกระดับความปลอดภัยมากมาย อย่าง Sophos ก็มี Intercept X แบบทดลองใช้ หรือสำหรับผู้ใช้ตามครัวเรือน ก็มีโซลูชั่นความปลอดภัยฟรีอย่าง Sophos Home Premium Beta ที่สามารถป้องกันแรนซั่มแวร์ ด้วยการปิดกั้นการเข้ารหัสที่ไม่ได้รับอนุญาติกับไฟล์หรือบริเวณใดๆ บนฮาร์ดดิสก์

โดย : จัสติน ปีเตอร์ ผู้อำนวยการด้านโซลูชั่นทางเทคนิคของ Sophos ประจำภูมิภาคเอเชียแปซิฟิก และญี่ปุ่น

from:https://www.enterpriseitpro.net/archives/7893

โอ้ว ! Locky ยังไม่ตาย แฝงตัวมากับเมล์กว่า 23 ล้านฉบับ !

ขณะที่คนทั่วไปนึกว่าแรนซั่มแวร์ Locky กำลังเงียบตายไป นักวิจัยจากสองบริษัทด้านความปลอดภัยกลับพบแคมเปญการจัดส่งอีเมล์ครั้งใหญ่ถึงสองครั้ง ที่มีการแพร่กระจายแรนซัมแวร์ดังกล่าวด้วย แม้คนละสายพันธุ์กันก็ตาม

เริ่มจากแคมเปญแรกที่พบโดยนักวิจัยจาก AppRiver ซึ่งมีการส่งเมล์ออกมาถึง 23 ล้านฉบับภายใน 24 ชั่วโมงเมื่อวันที่ 28 สิงหาคมที่ผ่านมา ทั่วทั้งสหรัฐฯ ซึ่งถือเป็นแคมเปญการแพร่เชื้อมัลแวร์ที่ใหญ่มากที่สุดในช่วงครึ่งหลังของปีนี้ทีเดียว โดยอีเมล์จะมีชื่อเมล์ที่หลอกให้ผู้ใช้ต้องคลิกแบบงงๆ เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” เป็นต้น

อีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มีสคริปต์ VBS ที่เมื่อเหยื่อคลิกเปิดแล้ว ก็จะดาวน์โหลดแรนซั่มแวร์ Locky ตัวล่าสุดที่ชื่อ Lukitus (เป็นภาษาฟินแลนด์แปลว่า ล็อก) แล้วเข้ารหัสไฟล์ทุกตัวบนเครื่อง พร้อมใส่สกุลไฟล์ไว้ว่า [.]lukitus หลังจากนั้นจึงแสดงข้อความบอกให้เหยื่อดาวน์โหลดและติดตั้งบราวเซอร์ชื่อ Tor เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินต่อไป

ส่วนอีกแคมเปญที่พบโดยบริษัท Comodo Labs เป็นการส่งอีเมล์ในช่วงต้นเดือนสิงหาคมกว่า 62,000 ฉบับ ที่มีแรนซั่มแวร์ Locky สายพันธุ์ใหม่ฝังไปด้วย ชื่อว่า IKARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 ตัวในกว่า 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตให้ช่วยกระจายเมล์

ที่มา : http://thehackernews.com/2017/08/locky-ransomware-emails.html

from:https://www.enterpriseitpro.net/archives/7823