Breaking News

Locky Ransomware สายพันธุ์ใหม่เปลี่ยนนามสกุลเป็น Ykcol

Derek Knight และ coldshell นักวิเคราะห์มัลแวร์จาก Stormshield ออกมาเปิดเผยถึง Ransomware ที่ต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .ykcol ซึ่งถูกเรียกว่า Ykcol Ransomware ว่าแท้ที่จริงแล้วมันคือ Locky Ransomware สายพันธุ์ใหม่ ไม่ใช่เป็น Ransomware ตัวใหม่ที่เพิ่งค้นพบอย่างที่หลายคนเข้าใจ

ทำไมถึงมั่นใจเช่นนั้น ถ้าสังเกตให้ดี ykcol คือ locky ที่สะกดกลับหลังนั่นเอง ซึ่ง Locky สายพันธุ์นี้กำลังแพร่ระบาดผ่านทางอีเมลสแปม โดยใช้หัวข้ออีเมลว่า “Status of Invoice” และตัวอีเมลจะมาพร้อมกับไฟล์แนบ 7zip หรือ 7z ซึ่งไฟล์แนบดังกล่าวประกอบด้วยไฟล์ VBS ที่เมื่อถูกรันแล้วจะดาวน์โหลด Locky Executable จาก C&C Server ของแฮ็คเกอร์เข้ามารันบนเครื่องของเหยื่อ

Taken from BleepingComputer.com

นับว่าเป็นการแพร่กระจายมัลแวร์ที่ค่อนข้างแปลก เนื่องจากไฟล์ 7z จำเป็นต้องใช้ซอฟต์แวร์เสริมเพื่อทำการแตกไฟล์ออกมา คาดว่าที่แฮ็คเกอร์ทำแบบนี้เนื่องจากต้องการบายพาสระบบกรองเมลที่เข้มงวดของ Gmail หรือผู้ให้บริการระบบเมลอื่นๆ หลังจากที่ Locky ถูกดาวน์โหลดและถูกรัน มันจะสแกนคอมพิวเตอร์ของเหยื่อเพื่อค้นหาไฟล์และเข้ารหัส จากนั้นเปลี่ยนชื่อไฟล์แล้วต่อท้ายด้วย .ykcol ซึ่งรูปแบบของชื่อไฟล์จะเป็น [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol ยกตัวอย่างเช่น ไฟล์ 1.png หลังถูกเข้ารหัสจะกลายเป็น E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol

หลังจากที่ Locky เข้ารหัสไฟล์ข้อมูลเสร็จแล้ว มันจะลบ Executable ที่ดาวน์โหลดมาทิ้งไป และแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน 0.25 Bitcoins (ประมาณ 34,000 บาท) โดยไฟล์ที่ใช้แสดงข้อความถูกเปลี่ยนมาเป็น ykcol.htm และ ykcol.bmp

สำหรับตอนนี้ ยังไม่มีเครื่องมือสำหรับปลดรหัส Locky สายพันธุ์นี้ได้ฟรี วิธีการเดียวที่จะกู้ไฟล์ข้อมูลกลับมาคือการสำรองข้อมูล

ที่มาและเครดิตรูปภาพ https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-ykcol-extension-for-encrypted-files/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Forcepoint Webinar: ปกป้องระบบ Cloud ด้วยเทคโนโลยี Remote Browser Isolation

Forcepoint ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าฟังบรรยาย Forcepoint Webinar เรื่อง “ปกป้องระบบ Cloud ด้วยเทคโนโลยี Remote Browser Isolation” พร้อมเรียนรู้วิธีป้องกันผู้บริหารและข้อมูลสำคัญขององค์กรจากการโจมตีแบบ Phishing/Social Engineering ที่เพิ่มความรุนแรงขึ้นมากในช่วงนี้ โดยจะจัดขึ้นในวันพฤหัสบดีที่ 20 สิงหาคม 2020 เวลา 10:30 น. ผ่านทาง Live Webinar

VMWARE SD-WAN INTEGRATION: CHECK POINT CLOUDGUARD CONNECT OVERVIEW

ในปี 2020 ประเทศไทยเริ่มมีการนำ SD-WAN มาใช้อย่างแพร่หลาย และเริ่มมีความรู้ความเข้าใจ ความแตกต่างระหว่างมี Additional Feature = SD-WAN และ Pure SD-WAN แล้ว …