CryPy Ransomware ตัวใหม่ เข้ารหัสไฟล์โดยใช้กุญแจที่แตกต่างกัน

kaspersky_logo

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดัง ประกาศแจ้งเตือน Ransomware ตัวใหม่ ที่เข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อโดยใช้กุญแจเข้ารหัสที่แตกต่างกันในแต่ละไฟล์ ส่งผลให้หาวิธีปลดรหัสด้วยตนเองได้ยากยิ่งขึ้น โดย Ransomware นี้มีชื่อว่า CryPy

พัฒนาโดยใช้ภาษา Python

CryPy Ransomware ถูกพัฒนาโดยภาษา Python มี C&C Server อยู่ในประเทศอิสราเอล โดยถูก Compile เป็นไฟล์ .EXE สำหรับระบบปฏิบัติการ Windows มัลแวร์ดังกล่าวยังคงแนวคิดของ Ransomware ทั่วไป คือ หลังจากที่แพร่กระจายตัวไปยังเครื่องของเหยื่อแล้ว เมื่อเหยื่อเผลอกดรันมัลแวร์ CryPy จะเริ่มกระบวนการค้นหาและเข้ารหัสไฟล์ข้อมูล เช่น รูปภาพ วิดีโอ เอกสารต่างๆ บนเครื่องทั้งหมด จากนั้นก็จะแสดงหน้าต่างเรียกค่าไถ่เพื่อแลกกับการปลดล็อกไฟล์

crypy_ransomware_1

เข้ารหัสแต่ละไฟล์ด้วยกุญแจ AES ที่แตกต่างกัน

ความแตกต่างระหว่าง CryPy กับ Ransomware ทั่วไปคือ CryPy จะติดต่อกับ C&C Server ทุกครั้งที่มีการพบไฟล์ข้อมูลใหม่ โดยจะส่ง HTTP Request ซึ่งประกอบด้วย ID เฉพาะตัวของเหยื่อและชื่อไฟล์ต้นฉบับแต่ละไฟล์ จากนั้น C&C Server จะตอบชื่อไฟล์ใหม่ที่เขียนทับ และกุญแจสำหรับเข้ารหัส AES แบบ One-time กลับมา นั่นหมายความว่า แต่ละไฟล์จะถูกเข้ารหัสโดยใช้กุญแจที่แตกต่างกัน ชื่อไฟล์ที่ถูกเข้ารหัสจะเป็นแบบสุ่ม และทางแฮ็คเกอร์จะมีลิสต์รายการไฟล์ต้นฉบับทั้งหมดที่ถูกเข้ารหัส

crypy_ransomware_2

มิติใหม่ของ Ransomware

CryPy ถือได้ว่าเป็น Ransomware รูปแบบใหม่ที่อาจจุดประกายการเปลี่ยนแปลงของ Ransomware ในอนาคต ไม่ว่าจะเป็น

  • การขโมยข้อมูล ถึงแม้ว่าจะเป็นเพียงชื่อไฟล์บนเครื่องของเหยื่อ แต่ก็ทำให้แฮ็คเกอร์ทราบได้ว่าบนเครื่องประกอบด้วยข้อมูลสำคัญอะไรบ้าง
  • การเข้ารหัสแต่ละไฟล์โดยใช้กุญแจที่แตกต่างกัน ทำให้แฮ็คเกอร์สามารถเลือกเรียกค่าไถ่ได้ตามความสำคัญของไฟล์
  • การเข้ารหัสแบบ Asymmatric เช่น RSA ที่ต้องใช้คู่กุญแจ Private/Public Keys ไม่จำเป็นอีกต่อไป เนื่องจากแต่ละไฟล์ใช้กุญแจที่แตกต่างกัน แต่ให้สามารถปลดล็อกข้อมูลได้ 1 ไฟล์ ก็ไม่สามารถปลดล็อกไฟล์อื่นๆ ได้

คุณสมบัติอื่นๆ ของ CryPy

  • ทำงานทุกครั้งเมื่อเหยื่อเริ่มใช้คอมพิวเตอร์ ในกรณีที่เข้ารหัสไฟล์ข้อมูลยังไม่แล้วเสร็จ สามารถทำงานต่อได้หลังจากเปิดเครื่องใหม่
  • ลบ Shadow Copies ทิ้ง
  • บล็อกการเข้าถึงเครื่องมือสำหรับแก้ปัญหาต่างๆ เช่น Command Prompt, Registry Editor และ Task Manager
  • ค้นหาและเข้ารหัสไฟล์จาก Mapped Drive และ Removable Drive รวมไปถึงไฟล์ข้อมูลที่อยู่ในไดรฟ์ C:

crypy_ransomware_3

ที่มา: https://securelist.com/blog/research/76318/crypy-ransomware-behind-israeli-lines/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node ทั้งหมดในคลัสเตอร์

SonicWall เตือนช่องโหว่ Zero-day ใน SMA 1000 ให้ผู้ใช้อัปเดตด่วน!

พบการโจมตีในโซลูชัน SonicWall SMA 1000 Appliance Management Console (AMC) และ Central Management Console (CMC) ที่เป็นโซลูชันสำหรับรวมศูนย์การบริหารจัดการ โดยช่องโหว่มีความร้ายแรงที่ …