พบ HolyCrypt Ransomware ตัวใหม่ ใช้ภาษา Python

avg_logo

@JakubKroustek นักวิเคราะห์มัลแวร์จาก AVG ออกมาระบุ พบ Ransomware ตัวใหม่ชื่อว่า HolyCrypt ซึ่งพัฒนาโดยใช้ภาษา Python และคอมไพล์เป็น Windows EXE โดยใช้ PyInstaller กำลังอยู่ในช่วงทดสอบ คาดว่าเตรียมพร้อมแพร่กระจายเร็วๆ นี้

Ransomware ที่ Jakub ค้นพบดูเหมือนจะเป็นเวอร์ชันที่กำลังอยู่ระหว่างพัฒนา เนื่องจากเมื่อถอดโค้ดดูแล้วพบว่ามีการกำหนดรหัสผ่านแบบตายตัว คือ “test” สำหรับใช้เข้ารหัสไฟล์ข้อมูล ซึ่งเป็นไปได้ที่ในอนาคตรหัสผ่านนี้จะถูกสร้างแบบสุ่มสำหรับใช้โจมตีจริง

holycrypt_ransomware_1

จากการวิเคราะห์โค้ด พบว่าหลังจากที่ HolyCrypt ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูลที่เก็บอยู่ในโฟลเดอร์ %UserProfile% เท่านั้น โดยใช้อัลกอริธึมเข้ารหัสข้อมูลแบบ AES แล้วทำการเพิ่มข้อความ (encrypted) ไว้ด้านหน้าชื่อไฟล์ เช่น test.jpg หลังจากถูกเข้ารหัสจะกลายเป็น (encrypted)test.jpg จากนั้นก็จะแสดงข้อความเรียกค่าไถ่เหมือน Ransomware ปกติ ซึ่งช่องทางที่ใช้ชำระค่าไถ่ยังคงผ่านทางเครือข่าย TOR เช่นเคย

holycrypt_ransomware_2

ที่มา: http://www.bleepingcomputer.com/news/security/new-python-ransomware-called-holycrypt-discovered/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CoreWeave พร้อมขยายธุรกิจด้วยวงเงินสินเชื่อ 650 ล้านดอลลาร์

CoreWeave ผู้ให้บริการคลาวด์สำหรับการประมวลผล AI ได้รับวงเงินสินเชื่อ 650 ล้านดอลลาร์สหรัฐฯ จากบริษัทการลงทุนชั้นนำเพื่อขยายธุรกิจทั่วโลกและเพิ่มขีดความสามารถในโครงสร้างพื้นฐานสำหรับ AI

รู้จักกับโซลูชัน AlgoSec ผู้เชี่ยวชาญด้าน Network Security Policy Management โดย GrowPro และ Perion Solution

หากคุณกำลังเผชิญกับความยุ่งยากจาก Firewall Policy นับพันรายการ หรือนโยบายการใช้โซลูชันป้องกันหลายแบรนด์ ซึ่งทำให้เวลาส่วนใหญ่จมกับกับการบริหารจัดการ แถมเกิดความผิดพลาดได้บ่อยครั้ง โซลูชัน Network Security Policy Management อาจเป็นคำตอบสำหรับคุณ