ระวัง! พบ Ransomware หรือ ‘มัลแวร์เรียกค่าไถ่’ ตัวใหม่มาพร้อมแอปที่โหลดเถื่อนใน Mac

พบมัลแวร์ประเภท Ransomware หรือมัลแวร์เรียกค่าไถ่ตัวใหม่ชื่อ ‘EvilQuest’ ใน Mac ซึ่งแฝงมาตามแอปหรือโปรแกรมเถื่อนของ Mac จากการรายงานของ Malwarebytes โดยเจอในแอป ‘Little Snitch’ ที่โหลดเถื่อนมาจากเว็บไซต์รัสเซีย

เริ่มตั้งแต่ตอนโหลดมาเลย ก็ชัดเจนว่ามีอะไรแปลก ๆ แล้ว เพราะมีตัว Installer package มาด้วย ซึ่งก็ได้ลงแอป ‘Little Snitch’ ตัวจริงไปด้วย แต่ในขณะเดียวกันก็ได้ลงไฟล์ชื่อ ‘Patch’ ใน /Users/Shared และก็มีสคริปต์เพื่อเริ่มให้ Ransomware ยึดตัวเครื่องและเรียกค่าไถ่

ต่อมาตัวสคริปต์ก็ทำงาน และย้ายไฟล์ ‘Patch’ ไปที่ใหม่ ๆ และเปลี่ยนชื่อเป็น CrashReporter ซึ่งเป็นโปรเซสการทำงานของ macOS ตามปกติ ทำให้สามารถซ่อนตัวจาก Activity Monitor ได้ จากตรงนี้ ตัวไฟล์ Patch จะจำเริ่มกระจายตัวไปตามที่ต่าง ๆ ของ Mac

ตัว Ransomware จะเข้ารหัสตัวการตั้งค่าและไฟล์ต่าง ๆ ในเครื่อง เข่นไฟล์ Keychain ซึ่งทำให้เกิด Error เวลาจะเข้า iCloud Keychain หรือตัว Finder ก็จะเริ่มทำงานไม่ได้ และมีปัญหากับตัว Dock และแอปอื่น ๆ ต่อไป

Malwarebytes พบว่าตัว Ransomware ทำงานได้ไม่ค่อยดีเท่าไหร่ และไม่สามารถให้วิธีการจ่ายค่าไถ่กับเหยื่อได้ด้วยซ้ำ แต่จากภาพถ่ายหน้าจอในเว็บบอร์ดที่มัลแวร์ตัวนี้ได้เริ่มเผยแพร่ มีการระบุว่าตัวมัลแวร์เรียกค่าไถ่ 50 ดอลลาร์เพื่อปลดล็อกการเข้าถึง ไม่ว่าอย่างไรใครที่โดน Ransomware ก็ไม่ควรจ่ายค่าไถ่ เพราะโดยส่วนใหญ่แทบ 100% มันจะไม่ได้เอาตัวมัลแวร์ออกแต่อย่างใด จึงจะทำให้เราเสียเงินฟรีได้

พร้อม ๆ กันกับการเข้ารหัสและเรียกค่าไถ่ มัลแวร์ตัวนี้ก็อาจลงตัว Keylogger หรือตัวตรวจจับการพิมพ์คีย์บอร์ดของเรา แต่ไม่แน่ใจว่ามัลแวร์ดักจับการพิมพ์ของเราไปทำงาน Malwarebytes ระบุว่าตัวซอฟต์แวร์ Malwarebytes สำหรับ Mac เองสามารถนำตัว Ransomware ออกได้ ซึ่งจะตรวจจับในชื่อ Ransom.OSX.EvilQuest แต่ไฟล์ที่ถูกเข้ารหัสไปแล้วจะต้องนำกลับมาผ่านตัว Backup

ยังมี Ransomware อีกหลายตัวที่คล้าย ๆ กันตามแอปเถื่อนต่าง ๆ และผู้ใช้ไม่ควรจะโหลดมาใช้อย่างย่ิง หากโหลดแอปจริงหรือซื้อแอปอย่างถูกต้องก็มั่นใจได้ว่าจะไม่โดนอะไรเช่นนี้แน่นอนครับ

ที่มา — MacRumors