มัลแวร์ COVID-19 กำลังระบาด เน้นแก้ไข MBR, ลบไฟล์ และขโมยรหัสผ่าน

เคยแอบคิดนะครับว่าจะมีคนนำชื่อโรคระบาดไปตั้งเป็นชื่อไวรัสคอมพิวเตอร์ แต่ปรากฏว่ามันได้เกิดขึ้นจริงกับมัลแวร์ที่มีชื่อว่า COVID-19 ซึ่งพบการระบาดอยู่ในขณะนี้เช่นเดียวกัน

ความน่ากลัวของมัลแวร์ COVID-19 คือการมุ่งเน้นเพื่อทำลายระบบคอมพิวเตอร์เป็นส่วนใหญ่ พบว่าจะมีอยู่ 5 สายพันธุ์ย่อย และสามารถแบ่งออกเป็น 3 กลุ่มขึ้นกับรูปแบบของการทำลาย ดังนี้

MBR-Rewriting malware

มัลแวร์กลุ่มนี้จะเข้าไปแก้ไข MBR ในดิสก์ของผู้ใช้ โดยก่อนหน้าที่จะเข้าไปจัดกับ MBR นั้น ตัวมัลแวร์จะโชว์รูปภาพของ Coronavirus ตัวการก่อโรค COVID-19 ให้เราชมเป็นขวัญตา แถมยังไม่สามารถสั่งปิดภาพหรือเปิด Task Manager ได้ จากนั้นเครื่องจะรีสตาร์ตพร้อมกับแก้ MBR ซึ่งในการแก้ไขนั้นเราต้องใช้ซอฟต์แวร์เฉพาะเพื่อแก้ MBR ให้กลับคืนดังเดิม

CoronaVirus ransomware

กลุ่มนี้มาแปลกหน่อย คือตอนแรกมันจะโชว์ให้เราเห็นว่าตอนนี้มันได้ขโมยข้อมูลของเราไปเรียบร้อย อารมณ์เหมือนแรนซัมแวร์เรียกค่าไถ่ แต่แท้จริงแล้วการทำงานหลักของมันคือการขโมยรหัสผ่านของผู้ใช้ แล้วจากนั้นจึงค่อยแก้ MBR อีกที เรียกว่าซวยซ้ำซวยซ้อนจริง ๆ ครับ

Data Wipers

"alcuni accorgimenti da prendere per il Covid-19.zip" -> "Covid-19.exe" (60e9dfe954acf0b02a5b35f367cf36ae2bc9b12e02aa3085495c5d8c4c94611c) -> dropped "Covid-19.bat", which is a poor wiper…
Seen from Italy.
Not sure it worse if it was created as joke or seriously.@JAMESWT_MHT pic.twitter.com/YkbFTq8LP7

— MalwareHunterTeam (@malwrhunterteam) April 1, 2020

ถ้าการแก้ MBR มันยังไม่ร้ายแรงพอ คราวนี้ COVID-19 อีกกลุ่มซึ่งสืบทราบว่ามีการพัฒนาจากจีนและอิตาลี จะทำการลบไฟล์ในเครื่องด้วยนอกเหนือจากการแก้ไข MBR ยังดีที่ว่ามัลแวร์ตัวนี้มันมีข้อบกพร่องเยอะทำให้มันทำงานเอ๋อ ๆ ไปบ้าง ทว่า มันอาจกลายพันธุ์ได้ (ถูกปรับปรุงการทำงานใหม่) ซึ่งสำเร็จแล้วมันกระจายเป็นวงกว้าง จะส่งผลกระทบต่อผู้ใช้จำนวนมากได้ครับ

งานนี้เพื่อน ๆ อย่าลืมอัปเดตซอฟต์แวร์ด้าน Security ในเครื่องไว้ด้วยล่ะ เพื่อให้โปรแกรมมันรู้จักกับมัลแวร์ตัวใหม่พวกนี้ จะได้ป้องกันได้อย่างทันท่วงทีครับ

ขอขอบคุณข้อมูลจาก ZDNet