ช่วงนี้มีลูกค้าหลายท่านสอบถามเข้ามาด้วยความกังวล เกี่ยวกับไฟล์ปริศนาที่ถูกส่งต่อกันมาในกลุ่มไลน์ โดยอ้างว่าเป็น "รายชื่อบริษัทที่โดนสรรพากรตรวจสอบ" ด้วยความอยากรู้ หลายคนจึงเผลอกดดาวน์โหลดและติดตั้งไปโดยไม่รู้ตัว วันนี้ ARH Young จะพามาผ่าตัดดูไส้ในของมัน และบอกวิธีแก้ไขหากคุณเผลอกดไปแล้วครับ
มันทำงานยังไง? (รู้ทันโจร)
จากการวิเคราะห์โค้ดของไวรัสตัวนี้ (VBScript) พบว่ามันมีพฤติกรรมที่น่ากลัวดังนี้ครับ:
- ปลอมตัวแนบเนียน: มาในรูปแบบไฟล์ .zip แต่ข้างในเป็นไฟล์สคริปต์ (.vbs) ที่หลอกให้เรากดรัน
- แอบโหลดเพื่อนมาเพิ่ม: ตัวไฟล์ที่ท่านกด เป็นแค่ "ตัวเปิดประตู" มันจะแอบใช้คำสั่งเบื้องหลังไปดาวน์โหลดไฟล์ .exe (ไวรัสตัวจริง) มาติดตั้งในเครื่องท่าน
- ขโมยบัญชี: เป้าหมายหลักคือการขโมย Session การล็อกอินของ LINE, Facebook หรือ Email ของท่าน เพื่อใช้บัญชีท่านส่งไฟล์ไวรัสนี้ต่อไปยังกลุ่มเพื่อนๆ ของท่านอีกที (ทำให้เพื่อนเชื่อถือเพราะท่านเป็นคนส่ง)
เช็คด่วน! เครื่องคุณติดไวรัสหรือยัง?
ลองกดเข้าไปดูที่ไดรฟ์ C ของคอมพิวเตอร์ท่านครับ หากพบโฟลเดอร์ชื่อแปลกๆ ที่ท่านไม่ได้สร้างเอง โดยเฉพาะชื่อนี้:
และข้างในมีไฟล์ชื่อ update_log.txt หรือไฟล์ .exe แปลกๆ... แสดงว่าเครื่องท่านโดนเจาะแล้วครับ!
เผลอกดไปแล้ว ต้องทำไง? (วิธีปฐมพยาบาล)
ไม่ต้องถึงขั้นล้างเครื่องใหม่ทันทีครับ ให้ลองทำตามขั้นตอน "ล้างพิษ" ดังนี้:
- ตัดการเชื่อมต่อเน็ตทันที: ถอดสาย LAN หรือปิด Wi-Fi เพื่อไม่ให้ไวรัสส่งข้อมูลออกไปหาเซิร์ฟเวอร์โจร
- หยุดการทำงาน (Kill Process): กด Ctrl + Shift + Esc เพื่อเปิด Task Manager มองหาโปรแกรมชื่อแปลกๆ เช่น "wscript.exe" หรือ "PowerShell" ที่รันอยู่ แล้วกด End Task
-
ลบโฟลเดอร์ต้นตอ: ไปที่
C:\SystemUpdates(หรือโฟลเดอร์แปลกปลอมที่เจอ) แล้วกด Shift + Delete ลบทิ้งถาวร - เปลี่ยนรหัสผ่านทุกอย่าง (สำคัญมาก!): ใช้มือถือหรือเครื่องอื่นที่ปลอดภัย เปลี่ยนรหัสผ่าน LINE, Facebook, Email และ Internet Banking ทันที และกดเลือก "Log out from all devices" (ออกจากระบบทุกอุปกรณ์) เพื่อเตะโจรออกจากบัญชีเรา
- สแกนไวรัสซ้ำ: ใช้ Windows Defender หรือโปรแกรมอย่าง Malwarebytes สแกนเครื่องอีกครั้งเพื่อความชัวร์
วิธีป้องกันในอนาคต
จำไว้เสมอครับว่า "ของฟรีไม่มีในโลก และสรรพากรไม่ส่งรายชื่อตรวจสอบผ่านไลน์" หากเจอไฟล์นามสกุล .vbs, .exe, .scr หรือ .bat ส่งมาในแชท ให้ตีว่าเป็นไวรัสไว้ก่อน 100% ครับ
ที่ ARH Young เราไม่เพียงดูแลแค่ตัวเลขทางบัญชี แต่เราห่วงใยความปลอดภัยของข้อมูลลูกค้าเสมือนเป็นข้อมูลของเราเอง หากท่านไม่มั่นใจว่าไฟล์ที่ได้รับมาปลอดภัยหรือไม่ หรือต้องการวางระบบความปลอดภัยข้อมูลในองค์กร ปรึกษาเราได้เสมอครับ
สอบถามทีมงาน หรือแจ้งเบาะแสไฟล์อันตราย (คลิก)