Breaking News

Locky Ransomware สายพันธุ์ใหม่เปลี่ยนนามสกุลเป็น Ykcol

Derek Knight และ coldshell นักวิเคราะห์มัลแวร์จาก Stormshield ออกมาเปิดเผยถึง Ransomware ที่ต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .ykcol ซึ่งถูกเรียกว่า Ykcol Ransomware ว่าแท้ที่จริงแล้วมันคือ Locky Ransomware สายพันธุ์ใหม่ ไม่ใช่เป็น Ransomware ตัวใหม่ที่เพิ่งค้นพบอย่างที่หลายคนเข้าใจ

ทำไมถึงมั่นใจเช่นนั้น ถ้าสังเกตให้ดี ykcol คือ locky ที่สะกดกลับหลังนั่นเอง ซึ่ง Locky สายพันธุ์นี้กำลังแพร่ระบาดผ่านทางอีเมลสแปม โดยใช้หัวข้ออีเมลว่า “Status of Invoice” และตัวอีเมลจะมาพร้อมกับไฟล์แนบ 7zip หรือ 7z ซึ่งไฟล์แนบดังกล่าวประกอบด้วยไฟล์ VBS ที่เมื่อถูกรันแล้วจะดาวน์โหลด Locky Executable จาก C&C Server ของแฮ็คเกอร์เข้ามารันบนเครื่องของเหยื่อ

Taken from BleepingComputer.com

นับว่าเป็นการแพร่กระจายมัลแวร์ที่ค่อนข้างแปลก เนื่องจากไฟล์ 7z จำเป็นต้องใช้ซอฟต์แวร์เสริมเพื่อทำการแตกไฟล์ออกมา คาดว่าที่แฮ็คเกอร์ทำแบบนี้เนื่องจากต้องการบายพาสระบบกรองเมลที่เข้มงวดของ Gmail หรือผู้ให้บริการระบบเมลอื่นๆ หลังจากที่ Locky ถูกดาวน์โหลดและถูกรัน มันจะสแกนคอมพิวเตอร์ของเหยื่อเพื่อค้นหาไฟล์และเข้ารหัส จากนั้นเปลี่ยนชื่อไฟล์แล้วต่อท้ายด้วย .ykcol ซึ่งรูปแบบของชื่อไฟล์จะเป็น [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol ยกตัวอย่างเช่น ไฟล์ 1.png หลังถูกเข้ารหัสจะกลายเป็น E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol

หลังจากที่ Locky เข้ารหัสไฟล์ข้อมูลเสร็จแล้ว มันจะลบ Executable ที่ดาวน์โหลดมาทิ้งไป และแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน 0.25 Bitcoins (ประมาณ 34,000 บาท) โดยไฟล์ที่ใช้แสดงข้อความถูกเปลี่ยนมาเป็น ykcol.htm และ ykcol.bmp

สำหรับตอนนี้ ยังไม่มีเครื่องมือสำหรับปลดรหัส Locky สายพันธุ์นี้ได้ฟรี วิธีการเดียวที่จะกู้ไฟล์ข้อมูลกลับมาคือการสำรองข้อมูล

ที่มาและเครดิตรูปภาพ https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-ykcol-extension-for-encrypted-files/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่