TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
MalwareHunterTeam ออกมาเปิดถึง Ransomware ตัวใหม่ ชื่อว่า FireCrypt ซึ่งนอกจากจะเข้ารหัสไฟล์ข้อมูลของเหยื่อแล้ว ยังพยายามโจมตีแบบ DDoS ไปยังเป้าหมาย URL ที่ได้ Hardcode ไว้ในซอร์สโค้ดอีกด้วย
จากการตรวจสอบโดย Bleeping Computer พบว่า FireCrypt Ransomware ถูกออกแบบโดยแฮ็คเกอร์ที่มีประสบการณ์ในการเขียนมัลแวร์ โดยใส่คุณสมบัติ Polymorphic ส่งผลให้ซอฟต์แวร์แอนตี้ไวรัสตรวจจับ Ransomware ได้ยากขึ้น FireCrypt แพร่กระจายตัวผ่านทางไฟล์ EXE เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว FireCrypt จะปิดการทำงาน Task Manager (taskmgr.exe) และเริ่มเข้ารหัสไฟล์รวม 20 ประเภท เช่น ไฟล์เอกสาร รูปภาพ และเพลง โดยใช้อัลกอริธึมเข้ารหัสข้อมูลแบบ AES จากนั้นต่อท้ายไฟล์ด้วยนามสกุล “.firecrypt”
หลังจากเข้ารหัสเสร็จเรียบร้อย FireCrypt จะแสดงหน้าจอเรียกค่าไถ่ดังรูปด้านล่าง จากการตรวจสอบพบว่า ข้อความเรียกค่าไถ่ดังกล่าวเหมือนกับ Ransomware ที่ชื่อว่า “Deadly for a Good Purpose” ที่ค้นพบเมื่อเดือนตุลาคม 2016 ต่างกันตรงแค่ FireCrypt ไม่มีโลโก้ด้านบน อย่างไรก็ตาม เมื่อดูซอร์สโค้ดภายใน พบว่า Ransomware ทั้งสองใช้อีเมลและชื่อบัญชี Bitcoin เดียวกัน จึงเป็นไปได้สูงมากว่า Deadly for a Good Purpose ถูกปรับปรุงและเปลี่ยนชื่อใหม่เป็น FireCrypt
นอกจากเข้ารหัสไฟล์ข้อมูลแล้ว ซอร์สโค้ดของ FireCrypt ยังประกอบด้วยฟังก์ชันที่จะคอยเชื่อมต่อกับ URL ของสำนักงานโทรคมนาคมแห่งชาติปากีสถาน (http://www.pta.gov.pk/index.php) ตลอดเวลา เพื่อทำการดาวน์โหลด Content และบันทึกลงบนฮาร์ดดิสก์ภายในโฟลเดอร์ %Temp% โดยตั้งชื่อว่า [RANDOM_CHARS]-{CONNECT_NUMBER].html ส่งผลให้โฟลเดอร์ %Temp% ของเหยื่อจะมีไฟล์ขยะโผล่ขึ้นมาเป็นจำนวนมาก
แฮ็คเกอร์ผู้พัฒนา FireCrypt เรียกฟีเจอร์นี้ว่า “DDoSer” แต่อาจจำเป็นต้องแพร่มัลแวร์ไปยังคอมพิวเตอร์หลายพันเครื่องแล้วสั่งโจมตีพร้อมกันถึงจะรุนแรงพอที่จะทำให้เว็บไซต์ของสำนักโทรคมนาคมหยุดชะงักการให้บริการได้
จนถึงตอนนี้ยังไม่มีโปรแกรม Decrypter สำหรับถอดรหัสข้อมูลของ FireCrypt แต่อย่างใด
ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/firecrypt-ransomware-comes-with-a-ddos-component/
