TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
@JakubKroustek นักวิเคราะห์มัลแวร์จาก AVG ออกมาระบุ พบ Ransomware ตัวใหม่ชื่อว่า HolyCrypt ซึ่งพัฒนาโดยใช้ภาษา Python และคอมไพล์เป็น Windows EXE โดยใช้ PyInstaller กำลังอยู่ในช่วงทดสอบ คาดว่าเตรียมพร้อมแพร่กระจายเร็วๆ นี้
Ransomware ที่ Jakub ค้นพบดูเหมือนจะเป็นเวอร์ชันที่กำลังอยู่ระหว่างพัฒนา เนื่องจากเมื่อถอดโค้ดดูแล้วพบว่ามีการกำหนดรหัสผ่านแบบตายตัว คือ “test” สำหรับใช้เข้ารหัสไฟล์ข้อมูล ซึ่งเป็นไปได้ที่ในอนาคตรหัสผ่านนี้จะถูกสร้างแบบสุ่มสำหรับใช้โจมตีจริง
จากการวิเคราะห์โค้ด พบว่าหลังจากที่ HolyCrypt ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูลที่เก็บอยู่ในโฟลเดอร์ %UserProfile% เท่านั้น โดยใช้อัลกอริธึมเข้ารหัสข้อมูลแบบ AES แล้วทำการเพิ่มข้อความ (encrypted) ไว้ด้านหน้าชื่อไฟล์ เช่น test.jpg หลังจากถูกเข้ารหัสจะกลายเป็น (encrypted)test.jpg จากนั้นก็จะแสดงข้อความเรียกค่าไถ่เหมือน Ransomware ปกติ ซึ่งช่องทางที่ใช้ชำระค่าไถ่ยังคงผ่านทางเครือข่าย TOR เช่นเคย
ที่มา: http://www.bleepingcomputer.com/news/security/new-python-ransomware-called-holycrypt-discovered/
