Locky Ransomware สายพันธุ์ใหม่เปลี่ยนนามสกุลเป็น Ykcol

Derek Knight และ coldshell นักวิเคราะห์มัลแวร์จาก Stormshield ออกมาเปิดเผยถึง Ransomware ที่ต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .ykcol ซึ่งถูกเรียกว่า Ykcol Ransomware ว่าแท้ที่จริงแล้วมันคือ Locky Ransomware สายพันธุ์ใหม่ ไม่ใช่เป็น Ransomware ตัวใหม่ที่เพิ่งค้นพบอย่างที่หลายคนเข้าใจ

ทำไมถึงมั่นใจเช่นนั้น ถ้าสังเกตให้ดี ykcol คือ locky ที่สะกดกลับหลังนั่นเอง ซึ่ง Locky สายพันธุ์นี้กำลังแพร่ระบาดผ่านทางอีเมลสแปม โดยใช้หัวข้ออีเมลว่า “Status of Invoice” และตัวอีเมลจะมาพร้อมกับไฟล์แนบ 7zip หรือ 7z ซึ่งไฟล์แนบดังกล่าวประกอบด้วยไฟล์ VBS ที่เมื่อถูกรันแล้วจะดาวน์โหลด Locky Executable จาก C&C Server ของแฮ็คเกอร์เข้ามารันบนเครื่องของเหยื่อ

Taken from BleepingComputer.com

นับว่าเป็นการแพร่กระจายมัลแวร์ที่ค่อนข้างแปลก เนื่องจากไฟล์ 7z จำเป็นต้องใช้ซอฟต์แวร์เสริมเพื่อทำการแตกไฟล์ออกมา คาดว่าที่แฮ็คเกอร์ทำแบบนี้เนื่องจากต้องการบายพาสระบบกรองเมลที่เข้มงวดของ Gmail หรือผู้ให้บริการระบบเมลอื่นๆ หลังจากที่ Locky ถูกดาวน์โหลดและถูกรัน มันจะสแกนคอมพิวเตอร์ของเหยื่อเพื่อค้นหาไฟล์และเข้ารหัส จากนั้นเปลี่ยนชื่อไฟล์แล้วต่อท้ายด้วย .ykcol ซึ่งรูปแบบของชื่อไฟล์จะเป็น [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol ยกตัวอย่างเช่น ไฟล์ 1.png หลังถูกเข้ารหัสจะกลายเป็น E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol

หลังจากที่ Locky เข้ารหัสไฟล์ข้อมูลเสร็จแล้ว มันจะลบ Executable ที่ดาวน์โหลดมาทิ้งไป และแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน 0.25 Bitcoins (ประมาณ 34,000 บาท) โดยไฟล์ที่ใช้แสดงข้อความถูกเปลี่ยนมาเป็น ykcol.htm และ ykcol.bmp

สำหรับตอนนี้ ยังไม่มีเครื่องมือสำหรับปลดรหัส Locky สายพันธุ์นี้ได้ฟรี วิธีการเดียวที่จะกู้ไฟล์ข้อมูลกลับมาคือการสำรองข้อมูล

ที่มาและเครดิตรูปภาพ https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-ykcol-extension-for-encrypted-files/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงาน Sophos NEXT-GEN Security Seminar 2017 มีอะไรใหม่ มาดูกัน !!

ทีมงาน TechTalkThai ได้มีโอกาสไปร่วมงาน Sophos NEXT-GEN Security Seminar 2017 ซึ่งเป็นงานสัมมนาครั้งใหญ่ประจำปีของ Sophos โดยปีนี้จัดติดต่อกันมาเป็นปีที่ 5 แล้ว ภายในงานมีการอัปเดตแนวโน้มด้านภัยคุกคาม เทคโนโลยีและผลิตภัณฑ์ใหม่จากทาง …

HP ออก Patch อุดช่องโหว่รุนแรงสูงบน Printer ระดับองค์กร 54 รุ่น ควรอัปเดตทันที

HP ได้ประกาศออก Firmware Patch ให้กับ Enterprise-class Printer จำนวน 54 รายการ เพื่ออุดช่องโหว่ความรุนแรงสูงในการทำ Signature Validation ที่อาจนำไปสู่การทำ Code …