เตือน NamPoHyu Virus Ransomware ตัวใหม่ พุ่งเป้า Remote Samba Servers

พบ Ransomware ตระกูลใหม่ นามว่า “NamPoHyu Virus” หรือ “MegaLocker Virus” แทนที่จะเข้ารหัสข้อมูลบนเครื่องที่ติดมัลแวร์ กลับมุ่งเป้าค้นหา Samba Servers ใกล้เคียงแล้วทำการเข้ารหัสข้อมูลไฟล์ในเซิร์ฟเวอร์นั้นๆ จากระยะไกลแทน

โดยทั่วไปแล้ว Ransomware จะแพร่กระจายตัวและถูกติดตั้งลงบนเครื่องคอมพิวเตอร์ที่จะเข้ารหัส ไม่ว่าจะผ่านทางมัลแวร์ตัวอื่น ไฟล์แนบอีเมล หรือแฮ็กเกอร์เจาะระบบคอมพิวเตอร์หรือเครือข่าย แต่ NamPoHyu Virus Ransomware นี้กลับทำงานต่างกันออกไป แทนที่จะเข้ารหัสบนเครื่องคอมพิวเตอร์ที่ถูกติดตั้ง กลับค้นหา Samba Server ใกล้เคียงที่เข้าถึงได้ จากนั้นทำการ Brute Force รหัสผ่านและเข้ารหัสผ่านไฟล์ข้อมูลข้างในจากระยะไกลแทน ที่น่าตกใจ คือ ข้อมูลจาก Shodan แสดงให้เห็นว่ามี Samba Server ที่สามารถเข้าถึงได้จากทั่วโลกมากถึง 500,000 เครื่อง

Ransomware นี้ถูกค้นพบครั้งแรกเมื่อเดือนมีนาคม 2019 ที่ผ่านมา หลังจากที่มีผู้ใช้หลายรายพบว่า NAS Storage ที่พวกเขาใช้อยู่ถูกเข้ารหัสข้อมูลโดย Ransomware ที่ชื่อว่า MegaLocker Virus โดย Ransomware ดังกล่าวจะต่อท้ายไฟล์ที่ถูกเข้ารหัสข้อมูลด้วย .crypted และสร้างไฟล์ข้อความเรียกค่าไถ่ชื่อว่า !DECRYPT_INSTRUCTION.TXT ผู้ใช้ต้องจ่ายค่าไถ่เป็นเงินราว $250 (8,000 บาท) สำหรับบุคคลทั่วไป หรือราว $1,000 (32,000 บาท) สำหรับองค์กรเพื่อปลดรหัส

อย่างไรก็ตาม เมื่อถึงต้นเดือนเมษายน 2019 MegaLoker Virus ได้เปลี่ยนชื่อตัวเองเป็น NamPoHyu Virus และต่อท้ายไฟล์ที่เข้ารหัสด้วย .NamPoHyu แทน ในขณะที่ข้อความและจำนวนเงินที่ใช้เรียกค่าไถ่ยังคงเดิม

ที่มา: https://www.bleepingcomputer.com/news/security/nampohyu-virus-ransomware-targets-remote-samba-servers/