Kaspersky รายงานแจ้งเตือนถึงมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ SynAck ที่เริ่มระบาดในบางภูมิภาค โดยความพิเศษของมันคือการซ่อนตัวจากการตรวจจับผ่านเทคนิคการทำ NTFS transaction หรือที่เรียกว่า Process Doppelgänging
Process Doppelgänging หลบการตรวจจับของโปรแกรมป้องกันไวรัสที่มักตรวจไฟล์ขณะเปิดไฟล์ หรือเริ่มรันคำสั่งจากไฟล์ โดยแทนที่จะเขียนไฟล์ลงไปตรงๆ ก็ให้สร้าง NTFS transaction ขึ้นมา แล้วโหลดไฟล์ที่ไม่มีมัลแวร์แล้วเขียนไฟล์มัลแวร์ลงไปใน transaction จากนั้นจึง rollback การเขียนทั้งหมดแล้วสั่งรัน ตัวโปรเซสจะรันมัลแวร์แต่โปรแกรมป้องกันไวรัสไม่สามารถสแกนไฟล์ได้ เพราะข้อมูลที่เขียนไปทั้งหมดถูก rollback ไปแล้ว
SynAck ยังจำกัดตัวเองอยู่ในบางประเทศเท่านั้น โดยมัลแวร์จะตรวจสอบเลย์เอาท์ของคีย์บอร์ดก่อนเริ่มทำงาน ตอนนี้มีรายงานการระบาดใน สหรัฐฯ, คูเวต, เยอรมัน, และอิหร่าน
Comments
We do not extort money, files restore is an optional service.
แถมใจดี ถ้าคุณสั่งซื้อบริการในช่วงนี้
We will do auditing of your network FOR FREE if you order file recovery service.
จ้ะ
มียริการหลังการขายแถมให้
เหมือนจะบอก Microsoft ว่า เอ็งเปลี่ยน File System ที่ใช้มานานได้แล้ว เอ๊ะหรือว่าไม่เกี่ยวหว่า
สกุลเงินคริปโต จะกลับมาราคาดีอีกครั้งไหมนะ
rollback แล้ว ตัว win เองก็ไม่ควร run ได้นะ
น่าจะเป็น bug ที่หลุดรอดมา >10 ปี!!
ก็ถือว่าน่ากลัวระดับหนึ่ง แต่ปัจจุบันการป้องกัน ไปถึงระดับ ต่อให้มันถูกรันขึ้นมาได้
แต่มันก็ทะลุเข้าไปทำลายไฟล์ไม่ได้อยู่ดี