Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

เตือน TeslaCrypt เวอร์ชันใหม่ เปลี่ยนวิธีโจมตี แถมปลดรหัสไม่ได้

TeslaCrypt เป็นหนึ่งใน Ransomware หรือมัลแวร์เรียกค่าไถ่ชื่อดังที่เริ่มแพร่กระจายตัวเมื่อต้นปี 2015 ที่ผ่านมา นักวิจัยและ Security Vendor หลายรายพยายามออกเครื่องมือสำหรับปลดรหัส แข่งกับตัวมัลแวร์ที่มีการพัฒนาต่อเนื่องไปเรื่อยๆ ล่าสุดคือเวอร์ชัน 4.0 และ 4.1 ซึ่งยังไม่มีทางปลดรหัสได้ในปัจจุบัน นอกจากจะจ่ายค่าไถ่

ttt_ransomware-La1n
Credit: La1n/ShutterStocl

สิ่งหนึ่งที่เปลี่ยนไปอย่างมากในทั้ง 2 เวอร์ชันคือ TeslaCrypt จะไม่มีการใส่นามสกุลต่อท้ายไฟล์ที่ถูกเข้ารหัสอีกต่อไป ทำให้ตรวจสอบได้ยากมากว่าถูก Ransomware ตัวไหนโจมตี อย่างไรก็ตามเว็บ ID Ransomware สามารถช่วยในการระบุประเภทของ Ransomware ที่ถูกโจมตีได้

อีกสิ่งหนึ่งที่เปลี่ยนไป คือ TeslaCrypt จะไม่แพร่กระจายตัวมายังอุปกรณ์ผ่านทาง Exploit Kits อีกต่อไป แต่จะแพร่ผ่านอีเมลสแปมแทน ซึ่งไฟล์ ZIP ที่แนบมากับอีเมลเป็นเพียงไฟล์ JavaScript ที่จะไปเรียก Windows Script Host หรือ wscript ให้ช่วยดาวน์โหลด Payload ของ TeslaCrypt มาติดตั้งบนเครื่องอีกที วิธีนี้ช่วยให้สามารถหลบเลี่ยงระบบรักษาความปลอดภัยส่วนใหญ่ได้

รูปด้านล่างแสดงขั้นตอนหลังจากที่ไฟล์แนบ ZIP ถูกแตกออกมาแล้วไฟล์ JavaScript ถูกรัน

teslacrypt_4_process

แนวโน้มการเปลี่ยนแปลงของตัวมัลแวร์ในช่วง 6 – 12 เดือนที่ผ่านมาแสดงให้เห็นว่า Ransomware มีการพัฒนาปรับปรุงอย่างรวดเร็ว ส่งผลให้การทำ Reverse Engineering เป็นเรื่องที่ทำได้ยาก รวมไปถึงบางครั้งแฮ็คเกอร์ก็มักใส่ข้อมูลหลอก เช่น บอกว่าเข้ารหัสโดยใช้ RSA 4096 bits แต่เอาเข้าจริงกลับใช้ AES 256 sits แทน เหล่านี้ ทำให้นักวิจัยต้องปวดหัวและใช้ความพยายามเป็นอย่างมากในการปลดรหัสข้อมูลโดยไม่ต้องเสียค่าไถ่

ที่มา: https://www.helpnetsecurity.com/2016/04/22/teslacrypt-new-versions-no-decryption/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Fujitsu Webinar : Smarter Data Protection with Smarter Data Security

TechTalkThai ขอเรียนเชิญ CEO, CIO, CTO, IT Manager, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง “Smarter Data Protection with Smarter Data Security” เพื่อศึกษาถึง พรบ. คุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับธุรกิจของท่านและรู้ถึงแนวทางการปกป้องข้อมูลให้ตอบโจทย์กฏหมายดังกล่าว ในวันพุธที่ 7 ตุลาคม 2563 เวลา 10.00 - 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

สรุปประกาศใหญ่จากงาน VMworld 2020 และการเปิดให้ลงทะเบียนเข้าร่วม Session + Hands-on Lab กว่า 900 หัวข้อได้ฟรี

ในงาน VMworld 2020 ครั้งนี้มีประกาศใหญ่ที่น่าสนใจจาก VMware ออกมามากมาย ไม่ว่าจะเป็น VMware SASE Platform, Azure VMware Solution, VMware vRealize Cloud Universal, VMware vRealize AI, Project Monterey และการเข้าซื้อกิจการ SaltStack ทีมงาน TechTalkThai จึงขอสรุปประเด็นสำคัญทั้งหมดเอาไว้ดังนี้ครับ