ADPT

เตือน TeslaCrypt เวอร์ชันใหม่ เปลี่ยนวิธีโจมตี แถมปลดรหัสไม่ได้

TeslaCrypt เป็นหนึ่งใน Ransomware หรือมัลแวร์เรียกค่าไถ่ชื่อดังที่เริ่มแพร่กระจายตัวเมื่อต้นปี 2015 ที่ผ่านมา นักวิจัยและ Security Vendor หลายรายพยายามออกเครื่องมือสำหรับปลดรหัส แข่งกับตัวมัลแวร์ที่มีการพัฒนาต่อเนื่องไปเรื่อยๆ ล่าสุดคือเวอร์ชัน 4.0 และ 4.1 ซึ่งยังไม่มีทางปลดรหัสได้ในปัจจุบัน นอกจากจะจ่ายค่าไถ่

ttt_ransomware-La1n
Credit: La1n/ShutterStocl

สิ่งหนึ่งที่เปลี่ยนไปอย่างมากในทั้ง 2 เวอร์ชันคือ TeslaCrypt จะไม่มีการใส่นามสกุลต่อท้ายไฟล์ที่ถูกเข้ารหัสอีกต่อไป ทำให้ตรวจสอบได้ยากมากว่าถูก Ransomware ตัวไหนโจมตี อย่างไรก็ตามเว็บ ID Ransomware สามารถช่วยในการระบุประเภทของ Ransomware ที่ถูกโจมตีได้

อีกสิ่งหนึ่งที่เปลี่ยนไป คือ TeslaCrypt จะไม่แพร่กระจายตัวมายังอุปกรณ์ผ่านทาง Exploit Kits อีกต่อไป แต่จะแพร่ผ่านอีเมลสแปมแทน ซึ่งไฟล์ ZIP ที่แนบมากับอีเมลเป็นเพียงไฟล์ JavaScript ที่จะไปเรียก Windows Script Host หรือ wscript ให้ช่วยดาวน์โหลด Payload ของ TeslaCrypt มาติดตั้งบนเครื่องอีกที วิธีนี้ช่วยให้สามารถหลบเลี่ยงระบบรักษาความปลอดภัยส่วนใหญ่ได้

รูปด้านล่างแสดงขั้นตอนหลังจากที่ไฟล์แนบ ZIP ถูกแตกออกมาแล้วไฟล์ JavaScript ถูกรัน

teslacrypt_4_process

แนวโน้มการเปลี่ยนแปลงของตัวมัลแวร์ในช่วง 6 – 12 เดือนที่ผ่านมาแสดงให้เห็นว่า Ransomware มีการพัฒนาปรับปรุงอย่างรวดเร็ว ส่งผลให้การทำ Reverse Engineering เป็นเรื่องที่ทำได้ยาก รวมไปถึงบางครั้งแฮ็คเกอร์ก็มักใส่ข้อมูลหลอก เช่น บอกว่าเข้ารหัสโดยใช้ RSA 4096 bits แต่เอาเข้าจริงกลับใช้ AES 256 sits แทน เหล่านี้ ทำให้นักวิจัยต้องปวดหัวและใช้ความพยายามเป็นอย่างมากในการปลดรหัสข้อมูลโดยไม่ต้องเสียค่าไถ่

ที่มา: https://www.helpnetsecurity.com/2016/04/22/teslacrypt-new-versions-no-decryption/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft ปล่อยฟีเจอร์ ‘Passwordless’ ให้ Microsoft Account

เป็นที่รู้กันว่ารหัสผ่านเริ่มจะกลายเป็นความไม่ปลอดภัยเนื่องจากวิธีการใช้งานของผู้คน จนกระทั่งวันนี้เริ่มมีฐานข้อมูล Credentials แจกฟรีไม่ทั่วอินเทอร์เน็ต ด้วยเหตุนี้เองเพื่อผลักดันการยกระดับด้านความมั่นคงปลอดภัยด้วย Passwordless จึงเกิดขึ้น และในที่สุด Microsoft จึงได้ปล่อยฟีเจอร์ Passwordless เป็นทางเลือกให้แก่ผู้ใช้งานบัญชีผู้ใช้ของ Microsoft

[Guest Post] New Normal Solutions from WTC Computer and HPE

สถานการณ์ Covid 19 เป็นตัวเร่งสำคัญที่ทำให้เกิด Digital Transformation และทำให้พฤติกรรมของผู้บริโภคเปลี่ยนแปลงไป ประสบการณ์ของผู้ใช้งานก็เปลี่ยนแปลงไปโดยสิ้นเชิง หลายธุรกิจจึงต้องปรับระบบโครงข่ายเพื่อให้ตอบโจทย์กับ New Normal – คุณเอกลักษณ์ พัวพงศกร ผู้จัดการทั่วไป …