สำนักวิทยบริการและเทคโนโลยีสารสนเทศ (สวส.)

Office of Academic Resources and Information Technology

ระวัง! มัลแวร์ใหม่ตัวแสบ Rombertik ทำลายคอมพิวเตอร์เมื่อตรวจพบ


เป็นปัญหาใหม่ในรูปแบบ Malware ที่อาจทำให้คอมพิวเตอร์เกิดความผิดพลาดในการทำงานได้ ซึ่งมีการตรวจพบจากระบบความปลอดภัย เรียกว่าเป็นภัยคุกคามที่น่าหวาดหวั่นอย่างยิ่งเมื่อตกเป็นหยื่อ ด้วยมัลแวร์ที่ชื่อว่า Rombertik จากรายงานของ Cisco System โดยจะแพร่กระจายตัวผ่านทางข้อความในรูปแบบของ Spam และ Phishing ตามรายงานที่ได้จาก blogs.cisco

blogs-cisco-1
โดยที่ Rombertik อาจรอดจากการตรวจสอบหรือไม่ ขึ้นอยู่กับการทำงานของเครื่องคอมพิวเตอร์และวินโดวส์ที่จะมีมาตรการตรวจสอบมากน้อยเพียงใด ซึ่งมัลแวร์จะแสดงพฤติกรรมที่ไม่เหมือนทั่วๆ ไป แต่ Rombertik จะมุ่งเน้นไปที่ความพยายามในการทำลายระบบคอมพิวเตอร์ ด้วยการตรวจพบคุณลักษณะบางอย่างจากการวิเคราะห์มัลแวร์นี้ ซึ่งก็ดูคล้ายกับมัลแวร์ในอดีตที่ชื่อ Wiper โดยเฉพาะอย่างยิ่งในกรณีเกิดขึ้นกับเกาหลีใต้และโซนี่พิคเจอร์ในวงการบันเทิงเมื่อช่วงปี 2013 ที่ผ่านมานั่นเอง
 
Rombertik มีความซับซ้อนที่ออกแบบให้เข้าไปในเบราว์เซอร์ของผู้ใช้ เพื่อเข้าไปอ่านข้อมูลประจำตัวและข้อมูลสำคัญอื่นๆ สำหรับการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมการโจมตีคล้ายกับ Dyre แต่จะต่างกันตรง Dyre ถูกออกแบบเพื่อมุ่งเป้าไปยังข้อมูลธนาคาร แต่ Rombertik จะรวบรวมข้อมูลจากเว็บไซต์ที่มีลักษณะสำคัญ โดยจะแพร่กระจายผ่านทาง Spam และ Phishing ข้อความไปยังผู้ที่ตกเป็นเหยื่อ เช่นเดียวกับพฤติกรรมของ Spam และ Phishing ที่ใช้กลยุทธ์ในการโจมตีในลักษณะของระบบโซเชียล ในการดึงดูดผู้ใช้ด้วยการดาวน์โหลดและเปิดไฟล์ที่แนบมาด้วย อันเป็นรูปแบบที่ง่ายที่สุดนั่นเอง โดยครั้งแรกจะมุ่งไปที่ Master Boot Record (MBR) ของฮาร์ดไดรฟ์ของคอมพิวเตอร์ ที่จะเป็นตัวที่โหลดก่อนเข้าระบบปฏิบัติการ หาก Rombertik ไม่ได้เข้าถึง MBR ได้ ก็จะเริ่มจู่โจมไฟล์ข้อมูลต่างๆ ในโฟลเดอร์ของ Home ของผู้ใช้ โดยการเข้ารหัสคีย์ในลักษณะของ RC4 Random
 
ซึ่งเมื่อ MBR หรือ Home folder ถูกเข้ารหัส ระบบจะทำการรีสตาร์ทและจะเข้าสู่ MBR จากนั้นก็จะวนเป็น Loop ต่อเนื่องไม่หยุด ซึ่งจะไม่สามารถหยุดวงจรของปัญหาดังกล่าวได้ และบนหน้าจอจะปรากฏคำว่า “Carbon crack attempt, failed” ครั้งแรกที่มัลแวร์นี้ถูกติดตั้งบนคอมพิวเตอร์ก็จะทำการ Unpack ตัวเอง ซึ่งไฟล์จะถูกออกแบบให้ถูกมองว่าเป็นไฟล์ถูกต้องตามปกติ อันประกอบด้วยไฟล์ภาพ 75 ไฟล์และไฟล์ที่เป็นไฟล์หลอก 8000 ชุด สิ่งที่น่ากังวลคือ Rombertik จะถูกปลุกให้ตื่นอยู่ตลอดเวลาและยังมีการเขียนข้อมูล 1 Byte ลงในเมมโมรีถึง 960 ล้านครั้ง นั่นยิ่งทำให้เกิดความซับซ้อนต่อการวิเคราะห์เครื่องมือในการแก้ไข ซึ่งจะต่างจากมัลแวร์อื่นๆ บางตัว ที่จะฝังตัวและรอคอยเวลา ช่วงนี้ก็คงต้องระมัดระวังมากยิ่งขึ้น โดยเฉพาะกับการติดตั้งและอัพเดตซอฟต์แวร์ป้องกันให้ทันสมัยที่สุด