Vitali Kremez หัวหน้าแผนกวิจัยของ SentinelOne ได้บอกกับทางเว็บไซต์ BleepingComputer ว่า ขณะนี้มีแคมเปญฟิชชิงที่แอบอ้างเกี่ยวกับการระบาดของ Coronavirus ถ้าผู้ใช้งานหลงกลเปิดไฟล์แนบอีเมลฟิชชิงที่มีชื่อไฟล์ว่า “CORONAVIRUS_COVID-19.vbs” ก็จะติดตั้งมัลแวร์ Netwalker ทันที ซึ่งเป็น Ransomware ชนิดหนึ่ง เน้นการโจมตีเฉพาะเหยื่อที่อยู่ในกลุ่มบริษัทและหน่วยงานราชการ ผลคือจะทำให้ไฟล์ในเครื่องของเหยื่อถูกเข้ารหัส และเพิ่ม extention ไปที่ไฟล์ที่เข้ารหัสแล้ว นอกจากนี้ Netwalker ถูกออกแบบมาเป็นพิเศษให้หลีกเลี่ยงการหยุดการทำงานของ Fortinet endpoint protection client เพราะหลีกเลี่ยงให้เกิดการแจ้งเตือนในระบบ โดยใช้วิธี disable ตัว Antivirus แทน

เมื่อ Netwalker ติดตั้งตัวเองเสร็จ จะมีไฟล์บันทึกเรียกค่าไถ่ชื่อว่า “[extension] -Readme.txt ” ที่จะแนะนำให้เหยื่อต้องชำระเงินในเว็บไซต์ตามที่ระบุไว้ในไฟล์ จึงจะสามารถนำข้อมูลกลับมาใช้ได้ ปัจจุบันยังไม่มีวิธีที่จะถอดรหัสไฟล์กลับคืนมาได้ ทำได้เพียงกู้คืนไฟล์ต่าง ๆ จากข้อมูลที่ backup เอาไว้ หรือสร้างไฟล์ใหม่เพื่อทดแทนไฟล์เก่า ส่วนวิธีป้องกันนอกจากการระมัดระวังการคลิกเมลลิงก์แปลกแล้ว การ Backup ข้อมูลเป็นการป้องกัน Ransomware ที่ดีที่สุด

ทั้งนี้ยังมีเว็บไซต์ปลอม อีเมลฟิชชิง มัลแวร์ รวมถึง โทรจัน เช่น TrickBot Trojan ที่ใช้ข้อมูลอาศัยข่าวการระบาด COVID-19 จนทำให้ นักวิจัย ผู้เชี่ยวชาญ หรือ องค์กรระดับโลกอย่าง CISA , WHO ออกมาแจ้งเตือนให้ประชาชนคอยระมัดระวังจะได้ไม่ตกเป็นเหยื่อของเหล่าแฮกเกอร์นี้อีก

ที่มา
https://www.bleepingcomputer.com/news/security/netwalker-ransomware-infecting-users-via-coronavirus-phishing



เนื้อหาที่เกี่ยวข้อง

1. พบโดเมนอันตราย Zoom Video Conference เสี่ยงโหลดมัลแวร์ลงเครื่อง

2. รวบรวมภัยไซเบอร์ อ้างสถานการณ์ Coronavirus

3. พบข้อมูลผู้ใช้ Weibo กว่า 538 ล้านคน ขายใน Dark Web

4. ระวังเว็บตามสถานการณ์ COVID-19 ปลอม หลอกติดตั้งมัลแวร์

5. กระทรวงสาธารณสุขแจ้ง พบอีเมล Phishing เกี่ยวกับ Corona Virus