พบ CryptoRoger Ransomware ตัวใหม่ ต่อท้ายไฟล์ด้วย .crptrgr

malwarebytes_logo_2

ยังคงมีมาให้เห็นเรื่อยๆ กับ Ransomware สายพันธุ์ใหม่ ซึ่งล่าสุดทาง MalwareBytes ผู้ให้บริการโซลูชัน Anti-malware และ Anti-exploit ชื่อดังได้ออกมาเปิดถึง Ransomware ตัวล่าสุดที่เข้ารหัสไฟล์และต่อท้ายนามสกุลไฟล์ด้วย .crptrgr โดยเรียก Ransomware นี้ว่า CryptoRoger

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

จนถึงตอนนี้ยังไม่ทราบช่องทางแพร่กระจาย CryptoRoger Ransomware ที่แน่ชัด แต่หลังจากที่ CryptoRoger ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการค้นหาและเข้ารหัสไฟล์ข้อมูลทั้งหมดโดยใช้อัลกอริธึมแบบ AES 256 bits จากนั้นต่อท้ายชื่อไฟล์ด้วย .crptrgr นอกจากนี้ Ransomware ยังมีการเก็บรวบรวมข้อมูล MD5 Hash ของไฟล์ต้นฉบับไว้ใน %AppData%\files.txt อีกด้วย

หลังจากที่เข้ารหัสไฟล์แล้ว CryptoRoger จะแสดงข้อความเรียกค่าไถ่ (Where_are_my_files!.html ดังรูปด้านล่าง) ซึ่งจะบอกวิธีการติดต่อกับแฮ็คเกอร์เพื่อจ่ายค่าไถ่แลกกับกุญแจที่ใช้ปลดรหัส โดยเริ่มต้นจากการติดตั้งแอพพลิเคชัน uTox สำหรับติดต่อกับแฮ็คเกอร์ผ่านทาง uTox Address: F12CCE864152DA1421CE717710EC61A8BE2EC74A712051447BAD56D1A473194BE7FF86942D3E

cryptoroger_ransomware_1

จากนั้น แฮ็คเกอร์จะร้องขอให้ส่งไฟล์ keys.dat กลับมายังแฮ็คเกอร์ ซึ่งจากการตรวจสอบไฟล์ดังกล่าว คาดว่าไฟล์นี้เป็นกุญแจ AES ที่ใช้เข้ารหัสไฟล์ข้อมูลของเหยื่อทั้งหมดนั่นเอง แต่ไฟล์กุญแจดังกล่าวถูกเข้ารหัสด้วย RSA Public Key อีกครั้งหนึ่ง เมื่อแฮ็คเกอร์ได้รับไฟล์ keys.dat นี้ เขาสามารถถอดรหัสได้โดยใช้ RSA Private Key ที่ตนเองถืออยู่ จากนั้นก็ส่งกุญแจ AES สำหรับปลดรหัสกลับไปให้เหยื่อได้หลังจากได้รับค่าไถ่เรียบร้อยแล้ว

นอกจากนี้ CryptoRoger ยังมีการสร้างไฟล์ .VBS บนโฟลเดอร์ Windows Startup เพื่อให้ตัวมันเองเริ่มทำงานทุกครั้งที่ผู้ใช้ล็อกอินเข้าใช้งาน Windows ส่งผลให้ Ransomware สามารถเข้ารหัสไฟล์ข้อมูลใหม่ๆ ที่เพิ่งถูกสร้างขึ้นได้ทันที

ขณะนี้ ยังไม่มี Decrypter สำหรับปลดรหัสไฟล์ Ransomware ดังกล่าว เหยื่อจำเป็นต้องจ่ายค่าไถ่เป็นจำนวนเงิน 0.5 Bitcoin หรือประมาณ 13,000 บาทเพื่อให้ได้ไฟล์ข้อมูลกลับคืนมา

ที่มา: http://www.bleepingcomputer.com/news/security/new-ransomware-called-cryptoroger-that-appends-crptrgr-to-encrypted-files/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NSS Labs ออกผลทดสอบ SD-WAN Group Test ประจำปี 2019

NSS Labs บริษัทวิจัยและที่ปรึกษาด้านความมั่นคงปลอดภัย ออกรายงานผลการทดสอบ Software–defined WAN (SD-WAN) Group Test ประจำปี 2019 พร้อม Network Value Map …

ISSP ขอเชิญทุกท่านเข้าร่วมงาน “Transforming Your Legacy Infrastructure to be CLOUD!” “เปลี่ยนข้อจำกัดโครงสร้างพื้นฐานแบบเดิมในองค์กรของคุณ ด้วยโซลูชั่นของเรา เพื่อปรับโครงสร้างพื้นฐานขององค์กรให้เป็น Cloud Datacenter ที่พร้อมรับมือกับงานไอทีขององค์กร

ISSP ขอเรียนเชิญร่วมงานสัมมนา “Transforming Your Legacy Infrastructure to be CLOUD!” ในวันพฤหัสบดี ที่ 18 กรกฎาคม 2562 ณ โรงแรม ห้อง Ballroom B โรงแรม The Westin Grande Sukhumvit รายละเอียดงานตาม Agenda ดังนี้