พบการแพร่กระจายของ Ransomware “JNEC.a” บน WinRAR

ก่อนหน้านี้มีรายงานเกี่ยวกับช่องโหว่บน WinRAR ซึ่งมีผลกระทบกับ WinRAR ทุกรุ่น ล่าสุด นักวิจัยจาก Qihoo 360 Threat Intelligence Center พบการแพร่กระจายของ Ransomware “JNEC.a” โดยจะฝังตัวอยู่ในไฟล์ “vk_4221345.rar” และหากใช้ WinRAR เวอร์ชั่นเก่าที่มีช่องโหว่แตกไฟล์ออกมา มันจะฝังมัลแวร์ลงบนเครื่องผู้ใช้ทันที

Ransomware นี้ใช้ช่องโหว่บน WinRAR หลังจากที่ถอดรหัสเครื่องผู้ใช้ได้แล้ว ในจะสร้างที่อยู่ gmail ขึ้นมาเพื่อให้เหยื่อรับไฟล์ถอดรหัสด้วย ID ที่ไม่ซ้ำกันให้ หากเหยื่อชำระค่าไถ่มาเรียบร้อยแล้ว สำหรับราคาค่าไถ่ของคีย์ถอดรหัสอยู่ที่ 0.05 bitcoins หรือประมาณ 200 เหรียญ ดังภาพ


ที่มาภาพ: Bleeping Computer

นอกจากนี้แฮกเกอร์ยังส่งข้อความอธิบายวิธีการกู้ข้อมูลมาให้เหยื่ออีกด้วย ภายในระบุไว้รายละเอียดเกี่ยวกับการสร้างบัญชี gmail ข้อความทั้งหมดอยู่ในไฟล์ JNEC.README.TXT ซึ่งจะถูกโหลดมาพร้อมกับมัลแวร์ ดังภาพ


ที่มาภาพ: Bleeping Computer

“JNEC.a” ถูกเขียนในรูปแบบของ .NET เมื่อมีการแตกไฟล์ออกมา ซึ่งเป็นไฟล์รูปผู้หญิงที่มีขนาดใหญ่ แต่ไฟล์ภาพที่ได้มานั้นจะไม่สมบูรณ์และจะทำการเปลี่ยนชื่อไฟล์โดยใช้ส่วนเสริมของ “.Jnec” ดังภาพ


ที่มาภาพ: Bleeping Computer

แฮกเกอร์จะซ่อนมัลแวร์นี้โดยใช้ชื่อ “GoogleUpdate.exe” ทำให้เหยื่อเข้าใจผิดคิดว่าเป็นการอัพเดทจากทาง google ดังภาพ


ที่มาภาพ: Bleeping Computer

เมื่อเหยื่อคลิกเพื่อรันโปรแกรม แฮกเกอร์จะสามารถโจมตีแบบ Ransomware ได้ทันที

เพื่อเป็นการป้องกันการโจมตีของ Ransomware “JNEC.a” บน WinRAR ควรทำการอัพเดท WinRAR ให้เป็นเวอร์ชั่นล่าสุด คือ ตั้งแต่เวอร์ชั่น 5.70 ขึ้นไป

ที่มา: Bleeping Computer