CryPy Ransomware ตัวใหม่ เข้ารหัสไฟล์โดยใช้กุญแจที่แตกต่างกัน

October 19, 2016 Cybersecurity, Endpoint Security, Kaspersky Lab, Products, Threats Update

kaspersky_logo

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดัง ประกาศแจ้งเตือน Ransomware ตัวใหม่ ที่เข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อโดยใช้กุญแจเข้ารหัสที่แตกต่างกันในแต่ละไฟล์ ส่งผลให้หาวิธีปลดรหัสด้วยตนเองได้ยากยิ่งขึ้น โดย Ransomware นี้มีชื่อว่า CryPy

พัฒนาโดยใช้ภาษา Python

CryPy Ransomware ถูกพัฒนาโดยภาษา Python มี C&C Server อยู่ในประเทศอิสราเอล โดยถูก Compile เป็นไฟล์ .EXE สำหรับระบบปฏิบัติการ Windows มัลแวร์ดังกล่าวยังคงแนวคิดของ Ransomware ทั่วไป คือ หลังจากที่แพร่กระจายตัวไปยังเครื่องของเหยื่อแล้ว เมื่อเหยื่อเผลอกดรันมัลแวร์ CryPy จะเริ่มกระบวนการค้นหาและเข้ารหัสไฟล์ข้อมูล เช่น รูปภาพ วิดีโอ เอกสารต่างๆ บนเครื่องทั้งหมด จากนั้นก็จะแสดงหน้าต่างเรียกค่าไถ่เพื่อแลกกับการปลดล็อกไฟล์

crypy_ransomware_1

เข้ารหัสแต่ละไฟล์ด้วยกุญแจ AES ที่แตกต่างกัน

ความแตกต่างระหว่าง CryPy กับ Ransomware ทั่วไปคือ CryPy จะติดต่อกับ C&C Server ทุกครั้งที่มีการพบไฟล์ข้อมูลใหม่ โดยจะส่ง HTTP Request ซึ่งประกอบด้วย ID เฉพาะตัวของเหยื่อและชื่อไฟล์ต้นฉบับแต่ละไฟล์ จากนั้น C&C Server จะตอบชื่อไฟล์ใหม่ที่เขียนทับ และกุญแจสำหรับเข้ารหัส AES แบบ One-time กลับมา นั่นหมายความว่า แต่ละไฟล์จะถูกเข้ารหัสโดยใช้กุญแจที่แตกต่างกัน ชื่อไฟล์ที่ถูกเข้ารหัสจะเป็นแบบสุ่ม และทางแฮ็คเกอร์จะมีลิสต์รายการไฟล์ต้นฉบับทั้งหมดที่ถูกเข้ารหัส

crypy_ransomware_2

มิติใหม่ของ Ransomware

CryPy ถือได้ว่าเป็น Ransomware รูปแบบใหม่ที่อาจจุดประกายการเปลี่ยนแปลงของ Ransomware ในอนาคต ไม่ว่าจะเป็น

  • การขโมยข้อมูล ถึงแม้ว่าจะเป็นเพียงชื่อไฟล์บนเครื่องของเหยื่อ แต่ก็ทำให้แฮ็คเกอร์ทราบได้ว่าบนเครื่องประกอบด้วยข้อมูลสำคัญอะไรบ้าง
  • การเข้ารหัสแต่ละไฟล์โดยใช้กุญแจที่แตกต่างกัน ทำให้แฮ็คเกอร์สามารถเลือกเรียกค่าไถ่ได้ตามความสำคัญของไฟล์
  • การเข้ารหัสแบบ Asymmatric เช่น RSA ที่ต้องใช้คู่กุญแจ Private/Public Keys ไม่จำเป็นอีกต่อไป เนื่องจากแต่ละไฟล์ใช้กุญแจที่แตกต่างกัน แต่ให้สามารถปลดล็อกข้อมูลได้ 1 ไฟล์ ก็ไม่สามารถปลดล็อกไฟล์อื่นๆ ได้

คุณสมบัติอื่นๆ ของ CryPy

  • ทำงานทุกครั้งเมื่อเหยื่อเริ่มใช้คอมพิวเตอร์ ในกรณีที่เข้ารหัสไฟล์ข้อมูลยังไม่แล้วเสร็จ สามารถทำงานต่อได้หลังจากเปิดเครื่องใหม่
  • ลบ Shadow Copies ทิ้ง
  • บล็อกการเข้าถึงเครื่องมือสำหรับแก้ปัญหาต่างๆ เช่น Command Prompt, Registry Editor และ Task Manager
  • ค้นหาและเข้ารหัสไฟล์จาก Mapped Drive และ Removable Drive รวมไปถึงไฟล์ข้อมูลที่อยู่ในไดรฟ์ C:

crypy_ransomware_3

ที่มา: https://securelist.com/blog/research/76318/crypy-ransomware-behind-israeli-lines/

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Elastic 9.4 ออกแล้ว

Elastic ได้ออกมาประกาศเปิดตัว Elastic 9.4 อย่างเป็นทางการ โดยเพิ่มความสามารถในการตรวจสอบการทำงานของ Context Engineering, Application และ Infrastructure เพิ่มเติม, เสริม AI ในการรักษาความมั่นคงปลอดภัย และเพิ่มความสามารถอื่นๆ อีกมากมาย ดังนี้

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand