Locky Ransomware สายพันธุ์ใหม่เปลี่ยนนามสกุลเป็น Ykcol

Derek Knight และ coldshell นักวิเคราะห์มัลแวร์จาก Stormshield ออกมาเปิดเผยถึง Ransomware ที่ต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .ykcol ซึ่งถูกเรียกว่า Ykcol Ransomware ว่าแท้ที่จริงแล้วมันคือ Locky Ransomware สายพันธุ์ใหม่ ไม่ใช่เป็น Ransomware ตัวใหม่ที่เพิ่งค้นพบอย่างที่หลายคนเข้าใจ

ทำไมถึงมั่นใจเช่นนั้น ถ้าสังเกตให้ดี ykcol คือ locky ที่สะกดกลับหลังนั่นเอง ซึ่ง Locky สายพันธุ์นี้กำลังแพร่ระบาดผ่านทางอีเมลสแปม โดยใช้หัวข้ออีเมลว่า “Status of Invoice” และตัวอีเมลจะมาพร้อมกับไฟล์แนบ 7zip หรือ 7z ซึ่งไฟล์แนบดังกล่าวประกอบด้วยไฟล์ VBS ที่เมื่อถูกรันแล้วจะดาวน์โหลด Locky Executable จาก C&C Server ของแฮ็คเกอร์เข้ามารันบนเครื่องของเหยื่อ

Taken from BleepingComputer.com

นับว่าเป็นการแพร่กระจายมัลแวร์ที่ค่อนข้างแปลก เนื่องจากไฟล์ 7z จำเป็นต้องใช้ซอฟต์แวร์เสริมเพื่อทำการแตกไฟล์ออกมา คาดว่าที่แฮ็คเกอร์ทำแบบนี้เนื่องจากต้องการบายพาสระบบกรองเมลที่เข้มงวดของ Gmail หรือผู้ให้บริการระบบเมลอื่นๆ หลังจากที่ Locky ถูกดาวน์โหลดและถูกรัน มันจะสแกนคอมพิวเตอร์ของเหยื่อเพื่อค้นหาไฟล์และเข้ารหัส จากนั้นเปลี่ยนชื่อไฟล์แล้วต่อท้ายด้วย .ykcol ซึ่งรูปแบบของชื่อไฟล์จะเป็น [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol ยกตัวอย่างเช่น ไฟล์ 1.png หลังถูกเข้ารหัสจะกลายเป็น E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol

หลังจากที่ Locky เข้ารหัสไฟล์ข้อมูลเสร็จแล้ว มันจะลบ Executable ที่ดาวน์โหลดมาทิ้งไป และแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน 0.25 Bitcoins (ประมาณ 34,000 บาท) โดยไฟล์ที่ใช้แสดงข้อความถูกเปลี่ยนมาเป็น ykcol.htm และ ykcol.bmp

สำหรับตอนนี้ ยังไม่มีเครื่องมือสำหรับปลดรหัส Locky สายพันธุ์นี้ได้ฟรี วิธีการเดียวที่จะกู้ไฟล์ข้อมูลกลับมาคือการสำรองข้อมูล

ที่มาและเครดิตรูปภาพ https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-ykcol-extension-for-encrypted-files/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google อัปเดตใช้ File Signature ตรวจสอบแอปพลิเคชันบน Android

Google เปลี่ยนวิธีการตรวจสอบความถูกต้องของแอปพลิเคชันบน Android ก่อนการติดตั้ง โดยทางบริษัทได้แก้ไข Header ของ APK ไฟล์เพื่อเพิ่ม metadata ข้อมูลที่เป็น Signature ของไฟล์ Application นั้นลงไป …

คนร้ายชาวยูเครน 4 คนถูกจับฐานตั้งเว็บปลอมเทรด Cryptocurrency

ตำรวจของยูเครเข้าจับชายอายุระหว่าง 20-26 ปี 4 คนผู้ต้องสงสัยข้อหาตั้ง 6 เว็บปลอมเพื่อขโมยเงินเทรด Cryptocurrency ของเหยื่อ โดยทางตำรวจกล่าวว่า “พวกเขามีทักษะเฉพาะในด้านการเขียนโปรแกรมและสร้างระบบบริหารจัดการเนื้อหา (CMS) ขั้นมาสำหรับไซต์เหล่านั้น” คนร้ายนั้นได้ใช้วิธีการสร้างความน่าเชื่อถือของเว็บด้วยการแสดงความเห็นบนโลกออนไลน์และให้คะแนนในด้านบวก