Black Hat Asia 2021

CryPy Ransomware ตัวใหม่ เข้ารหัสไฟล์โดยใช้กุญแจที่แตกต่างกัน

kaspersky_logo

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดัง ประกาศแจ้งเตือน Ransomware ตัวใหม่ ที่เข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อโดยใช้กุญแจเข้ารหัสที่แตกต่างกันในแต่ละไฟล์ ส่งผลให้หาวิธีปลดรหัสด้วยตนเองได้ยากยิ่งขึ้น โดย Ransomware นี้มีชื่อว่า CryPy

พัฒนาโดยใช้ภาษา Python

CryPy Ransomware ถูกพัฒนาโดยภาษา Python มี C&C Server อยู่ในประเทศอิสราเอล โดยถูก Compile เป็นไฟล์ .EXE สำหรับระบบปฏิบัติการ Windows มัลแวร์ดังกล่าวยังคงแนวคิดของ Ransomware ทั่วไป คือ หลังจากที่แพร่กระจายตัวไปยังเครื่องของเหยื่อแล้ว เมื่อเหยื่อเผลอกดรันมัลแวร์ CryPy จะเริ่มกระบวนการค้นหาและเข้ารหัสไฟล์ข้อมูล เช่น รูปภาพ วิดีโอ เอกสารต่างๆ บนเครื่องทั้งหมด จากนั้นก็จะแสดงหน้าต่างเรียกค่าไถ่เพื่อแลกกับการปลดล็อกไฟล์

crypy_ransomware_1

เข้ารหัสแต่ละไฟล์ด้วยกุญแจ AES ที่แตกต่างกัน

ความแตกต่างระหว่าง CryPy กับ Ransomware ทั่วไปคือ CryPy จะติดต่อกับ C&C Server ทุกครั้งที่มีการพบไฟล์ข้อมูลใหม่ โดยจะส่ง HTTP Request ซึ่งประกอบด้วย ID เฉพาะตัวของเหยื่อและชื่อไฟล์ต้นฉบับแต่ละไฟล์ จากนั้น C&C Server จะตอบชื่อไฟล์ใหม่ที่เขียนทับ และกุญแจสำหรับเข้ารหัส AES แบบ One-time กลับมา นั่นหมายความว่า แต่ละไฟล์จะถูกเข้ารหัสโดยใช้กุญแจที่แตกต่างกัน ชื่อไฟล์ที่ถูกเข้ารหัสจะเป็นแบบสุ่ม และทางแฮ็คเกอร์จะมีลิสต์รายการไฟล์ต้นฉบับทั้งหมดที่ถูกเข้ารหัส

crypy_ransomware_2

มิติใหม่ของ Ransomware

CryPy ถือได้ว่าเป็น Ransomware รูปแบบใหม่ที่อาจจุดประกายการเปลี่ยนแปลงของ Ransomware ในอนาคต ไม่ว่าจะเป็น

  • การขโมยข้อมูล ถึงแม้ว่าจะเป็นเพียงชื่อไฟล์บนเครื่องของเหยื่อ แต่ก็ทำให้แฮ็คเกอร์ทราบได้ว่าบนเครื่องประกอบด้วยข้อมูลสำคัญอะไรบ้าง
  • การเข้ารหัสแต่ละไฟล์โดยใช้กุญแจที่แตกต่างกัน ทำให้แฮ็คเกอร์สามารถเลือกเรียกค่าไถ่ได้ตามความสำคัญของไฟล์
  • การเข้ารหัสแบบ Asymmatric เช่น RSA ที่ต้องใช้คู่กุญแจ Private/Public Keys ไม่จำเป็นอีกต่อไป เนื่องจากแต่ละไฟล์ใช้กุญแจที่แตกต่างกัน แต่ให้สามารถปลดล็อกข้อมูลได้ 1 ไฟล์ ก็ไม่สามารถปลดล็อกไฟล์อื่นๆ ได้

คุณสมบัติอื่นๆ ของ CryPy

  • ทำงานทุกครั้งเมื่อเหยื่อเริ่มใช้คอมพิวเตอร์ ในกรณีที่เข้ารหัสไฟล์ข้อมูลยังไม่แล้วเสร็จ สามารถทำงานต่อได้หลังจากเปิดเครื่องใหม่
  • ลบ Shadow Copies ทิ้ง
  • บล็อกการเข้าถึงเครื่องมือสำหรับแก้ปัญหาต่างๆ เช่น Command Prompt, Registry Editor และ Task Manager
  • ค้นหาและเข้ารหัสไฟล์จาก Mapped Drive และ Removable Drive รวมไปถึงไฟล์ข้อมูลที่อยู่ในไดรฟ์ C:

crypy_ransomware_3

ที่มา: https://securelist.com/blog/research/76318/crypy-ransomware-behind-israeli-lines/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Find the Balance สร้างสิ่งที่ใช่และ trust ในใจลูกค้า

“จากข้อมูลการออกกำลังกายตอนเช้าที่อัพโหลดลงโซเชียลมีเดีย สิ่งที่ซื้อบนระบบอีคอมเมิร์ซในช่วงพักกลางวัน หรือการสั่งอาหารทางออนไลน์ในช่วงเย็น” จะด้วยความตั้งใจหรือไม่ก็ตาม “ข้อมูล” ที่ผู้ใช้งานได้สร้างและแชร์ไว้บนแพลตฟอร์มหรือแอปพลิเคชั่นต่างๆ ได้กลายเป็น “โปรดักส์และตัวเชื่อมสำคัญ” ที่ทำให้องค์กรธุรกิจผู้เก็บรวบรวมข้อมูล “รู้จักตัวตน ความคิด ความต้องการของผู้ใช้งานมากขึ้น” พร้อมกับแบ่งปันโอกาสที่มีมูลค่านี้ไปยัง “บุคคลที่สาม” เพื่อใช้ในการขับเคลื่อนกลยุทธ์ทางการตลาด …

[BHAsia 2021] 6 ความท้าทายด้าน Cybersecurity และสิ่งที่ธุรกิจคาดหวังจากผู้ให้บริการระดับโลกโดย Omdia

ภายในงานสัมมนา Black Hat Asia 2021 ที่เพิ่งจบไป Omdia บริษัทวิจัยและที่ปรึกษาด้านเทคโนโลยีชื่อดังจากสหราชอาณาจักร ออกมาเปิดเผยถึง 6 ความท้าทายด้าน Cybersecurity ที่ทุกองค์กรทั่วโลกต่างต้องเผชิญในยุค COVID-19 รวมไปถึงสิ่งที่ธุรกิจองค์กรขนาดใหญ่ควรพิจารณาเมื่อต้องใช้บริการจาก …