ใกล้หมดยุคมัลแวร์เรียกค่าไถ่ เพราะผู้สร้างเปลี่ยนมาทำมัลแวร์ขุดเหมืองแทน

By: mk

on 22 December 2017 - 20:42 Tags:

Topics:

กระแส cryptocurrency ระบาดไปทุกวงการ ไม่เว้นแม้แต่วงการผู้สร้างมัลแวร์ ที่กำลังเริ่มเปลี่ยนจากการเรียกค่าไถ่ข้อมูลของผู้ใช้ (ransomware) มาเป็นการยึดเครื่องมาเพื่อขุดเหมืองแทน

หน่วยวิจัยความปลอดภัย FortiGuard Labs ในเครือบริษัท Fortinet ค้นพบว่ากลุ่มแฮ็กเกอร์ผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ VenusLocker ปรับเปลี่ยนแนวทางใหม่ เปลี่ยนมาเป็นนำมัลแวร์ไปติดพีซี เพื่อใช้ขุดเหรียญ Monero

FortiGuard ให้เหตุผลว่าการสร้าง ransomware เริ่มลำบากมากขึ้น เพราะมาตรการป้องกันหลายอย่างที่ถูกเพิ่มเข้ามาในช่วงหลัง เช่น Windows Defender ของไมโครซอฟท์ ที่มีฟีเจอร์ป้องกันการแก้ไขไฟล์สำคัญ จึงไม่แปลกใจที่บรรดาแฮ็กเกอร์เริ่มมองหาหนทางทำเงินอื่นแทน

ส่วนเหตุผลที่เลือก Monero เป็นเพราะไม่ต้องใช้พลังประมวลผลในการขุดเท่ากับ Bitcoin และมีความไร้ตัวตนมากกว่า ตามรอยได้ยากกว่านั่นเอง

รูปแบบของมัลแวร์ตัวนี้จะปลอมเป็นโพรเซสชื่อ wuapp.exe เพื่อไม่ให้ถูกจับได้ง่ายๆ แต่แท้จริงแล้วเป็นโปรแกรม XMRig v2.4.2 ที่ใช้ขุด

ที่มา - Threatpost

No Description

Hiring! บริษัทที่น่าสนใจ

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Comments

By: Witna

on 22 December 2017 - 21:31 #1024932

ก็ยังดีที่รู้จักทำมาหากิน ( ถึงจะยืมเครื่องคนอื่นก็เถอะ )

By: FutureLifePlus

on 22 December 2017 - 21:42 #1024936

ลำบก >> ลำบาก

By: Elysium

on 22 December 2017 - 22:18 #1024940

Defender ก็ตรวจเจอนะ ไอ้ขุดเหมืองเนี่ย แต่ไม่ใช่ตัวนี้

คนขี้ลืม | คนบ้าเกม | คนเหงาๆ

By: tanapon000 on 22 December 2017 - 22:18 #1024941

ผมพิวเตอร์ที่ ที่ทำงานผมติดมักแวตัวนี้แน่นอน วันนั้นก็งงว่าทำไมคอมถึงช้า เจอโปรแซส wuapp.exe ที่ end process ไม่ได้ซํกที

By: Jonathan_Job

on 23 December 2017 - 01:20 #1024956 Reply to:1024941

wuapp.exe คือ Windows Update ครับ
ขึ้นอยู่กับว่า Windows อะไรครับ ถ้า 10 อ่ะ น่าจะ malware ชัวร์เพราะ Windows Update ถูกถอดออกไปรวมกับ Settings app ไปแล้ว
แต่ถ้า 7/8/8.1 ลองเช็คนะครับว่า wuapp.exe ถูกเรียกมาจาก location ไหน (Right-click > Open file location) และเช็คใน Properties ของไฟล์ว่าถูก sign โดย MS หรือเปล่า ถ้าไม่โดน sign ก็คงใช่แน่ๆ ครับ แต่ถ้า sign มันน่าจะเป็น Windows Update มากกว่า malware ส่วนใหญ่ wuapp จะทำงานร่วมกับ TrustedInstaller.exe กับ TiWorker.exe ถ้าเจอ 3 ตัวที่ว่านี้รันอยู่ ก็ไม่เแปลกว่าเครื่องจะอืด

By: tanapon000 on 23 December 2017 - 22:21 #1025079 Reply to:1024956

เดี๋ยวจะไปลองดู แต่ว่าที่เห็นคือ กิน CPU 1 thread เต็มไปเลย 1 อัน

By: adente

on 23 December 2017 - 01:21 #1024957

ไม่ใช่มีมานานแล้วหรอ เจอกลับตัวเมื่อนานมาแล้วโน้ตบุคร้อนพัดลมวิ่งหนักตลอดเวลา ลง antivirus ถึงรู้ ตั้งแต่นั้นเข็คลง antivirus ตลอด

By: mk

on 23 December 2017 - 10:55 #1024986 Reply to:1024957

ประเด็นข่าวไม่ใช่ว่า เพิ่งมีมัลแวร์ขุดเหมืองครับ แต่เป็นคนสร้าง ransomware เปลี่ยนมาทำขุดเหมือง

By: gjkllb01

on 23 December 2017 - 06:08 #1024962

ที่เทรย์มีหลอดวัด CPU อยู่ดีๆพุ่งไปครึ่งหลอด ก็ต้องเช็คแล้ว

By: Be1con

on 23 December 2017 - 13:39 #1025018

Monero ขี้นแน่ ๆ สงสัยคงจะหนีไปช้อนตัวนี้กันหมดล่ะมั้ง

Coder | Designer | Thinker | Blogger

By: sialsialsial on 23 December 2017 - 14:09 #1025024

ถือเป็นข่าวดีได้ไหม? เปลี่ยนจากเรียกค่าไถ่เป็นลักเล็กขโมยน้อย กินยาวๆ

By: McKay

on 23 December 2017 - 17:21 #1025043 Reply to:1025024

ข่าวดีครับ อย่างน้อยก็แก้ไขง่ายกว่าและการงานไม่เสีย

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

Main menu