Kaspersky รายงานแจ้งเตือนถึงมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ SynAck ที่เริ่มระบาดในบางภูมิภาค โดยความพิเศษของมันคือการซ่อนตัวจากการตรวจจับผ่านเทคนิคการทำ NTFS transaction หรือที่เรียกว่า Process Doppelgänging

Process Doppelgänging หลบการตรวจจับของโปรแกรมป้องกันไวรัสที่มักตรวจไฟล์ขณะเปิดไฟล์ หรือเริ่มรันคำสั่งจากไฟล์ โดยแทนที่จะเขียนไฟล์ลงไปตรงๆ ก็ให้สร้าง NTFS transaction ขึ้นมา แล้วโหลดไฟล์ที่ไม่มีมัลแวร์แล้วเขียนไฟล์มัลแวร์ลงไปใน transaction จากนั้นจึง rollback การเขียนทั้งหมดแล้วสั่งรัน ตัวโปรเซสจะรันมัลแวร์แต่โปรแกรมป้องกันไวรัสไม่สามารถสแกนไฟล์ได้ เพราะข้อมูลที่เขียนไปทั้งหมดถูก rollback ไปแล้ว

SynAck ยังจำกัดตัวเองอยู่ในบางประเทศเท่านั้น โดยมัลแวร์จะตรวจสอบเลย์เอาท์ของคีย์บอร์ดก่อนเริ่มทำงาน ตอนนี้มีรายงานการระบาดใน สหรัฐฯ, คูเวต, เยอรมัน, และอิหร่าน

ที่มา - ZDNet, Kaspersky