พบ CryptoRoger Ransomware ตัวใหม่ ต่อท้ายไฟล์ด้วย .crptrgr

ยังคงมีมาให้เห็นเรื่อยๆ กับ Ransomware สายพันธุ์ใหม่ ซึ่งล่าสุดทาง MalwareBytes ผู้ให้บริการโซลูชัน Anti-malware และ Anti-exploit ชื่อดังได้ออกมาเปิดถึง Ransomware ตัวล่าสุดที่เข้ารหัสไฟล์และต่อท้ายนามสกุลไฟล์ด้วย .crptrgr โดยเรียก Ransomware นี้ว่า CryptoRoger

จนถึงตอนนี้ยังไม่ทราบช่องทางแพร่กระจาย CryptoRoger Ransomware ที่แน่ชัด แต่หลังจากที่ CryptoRoger ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการค้นหาและเข้ารหัสไฟล์ข้อมูลทั้งหมดโดยใช้อัลกอริธึมแบบ AES 256 bits จากนั้นต่อท้ายชื่อไฟล์ด้วย .crptrgr นอกจากนี้ Ransomware ยังมีการเก็บรวบรวมข้อมูล MD5 Hash ของไฟล์ต้นฉบับไว้ใน %AppData%\files.txt อีกด้วย

หลังจากที่เข้ารหัสไฟล์แล้ว CryptoRoger จะแสดงข้อความเรียกค่าไถ่ (Where_are_my_files!.html ดังรูปด้านล่าง) ซึ่งจะบอกวิธีการติดต่อกับแฮ็คเกอร์เพื่อจ่ายค่าไถ่แลกกับกุญแจที่ใช้ปลดรหัส โดยเริ่มต้นจากการติดตั้งแอพพลิเคชัน uTox สำหรับติดต่อกับแฮ็คเกอร์ผ่านทาง uTox Address: F12CCE864152DA1421CE717710EC61A8BE2EC74A712051447BAD56D1A473194BE7FF86942D3E

จากนั้น แฮ็คเกอร์จะร้องขอให้ส่งไฟล์ keys.dat กลับมายังแฮ็คเกอร์ ซึ่งจากการตรวจสอบไฟล์ดังกล่าว คาดว่าไฟล์นี้เป็นกุญแจ AES ที่ใช้เข้ารหัสไฟล์ข้อมูลของเหยื่อทั้งหมดนั่นเอง แต่ไฟล์กุญแจดังกล่าวถูกเข้ารหัสด้วย RSA Public Key อีกครั้งหนึ่ง เมื่อแฮ็คเกอร์ได้รับไฟล์ keys.dat นี้ เขาสามารถถอดรหัสได้โดยใช้ RSA Private Key ที่ตนเองถืออยู่ จากนั้นก็ส่งกุญแจ AES สำหรับปลดรหัสกลับไปให้เหยื่อได้หลังจากได้รับค่าไถ่เรียบร้อยแล้ว

นอกจากนี้ CryptoRoger ยังมีการสร้างไฟล์ .VBS บนโฟลเดอร์ Windows Startup เพื่อให้ตัวมันเองเริ่มทำงานทุกครั้งที่ผู้ใช้ล็อกอินเข้าใช้งาน Windows ส่งผลให้ Ransomware สามารถเข้ารหัสไฟล์ข้อมูลใหม่ๆ ที่เพิ่งถูกสร้างขึ้นได้ทันที

ขณะนี้ ยังไม่มี Decrypter สำหรับปลดรหัสไฟล์ Ransomware ดังกล่าว เหยื่อจำเป็นต้องจ่ายค่าไถ่เป็นจำนวนเงิน 0.5 Bitcoin หรือประมาณ 13,000 บาทเพื่อให้ได้ไฟล์ข้อมูลกลับคืนมา

ที่มา: http://www.bleepingcomputer.com/news/security/new-ransomware-called-cryptoroger-that-appends-crptrgr-to-encrypted-files/