พบ Locky Ransomware เวอร์ชันใหม่ พร้อมทำงานในโหมด Offline

avira_logo

นักวิจัยด้านความมั่นคงปลอดภัยของ Avira ผู้ให้บริการโปรแกรม Antivirus ชั้นนำ ออกมาเปิดเผยถึง Locky Ransomware เวอร์ชันใหม่ ที่มีกลไก Fallback ช่วยให้สามารถเข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อแบบออฟไลน์ ต่อให้ไม่สามารถเชื่อมต่อกับ C&C Server ได้ก็ตาม

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

ใช้ RSA Asymmetric Encryption ในการเข้ารหัสไฟล์ข้อมูล

โดยปกติแล้ว หลังจากที่ Locky ถูกติดตั้งลงบนเครื่องของเหยื่อ มันจะเชื่อมต่อกับอินเทอร์เน็ตเพื่อรับคำสั่งและขอกุญแจสำหรับเข้ารหัสไฟล์ข้อมูล จาก C&C Server ของแฮ็คเกอร์ ซึ่งปกติจะใช้การเข้ารหัสแบบ Asysmetric คือ ใช้ Public Key ในการเข้ารหัสไฟล์ข้อมูลของเหยื่อ และใช้ Private Key ในการปลดรหัส (ไม่สามารถใช้ Public Key ในการปลดรหัสได้) ในกรณีที่มัลแวร์ไม่สามารถติดต่อกับ C&C Server ได้ กุญแจที่ใช้เข้ารหัสจะไม่ถูกส่งมา ทำให้มัลแวร์ไม่สามารถเข้ารหัสข้อมูลได้

ใช้ AES Encryption ในการเข้ารหัสไฟล์แทนขณะออฟไลน์

กรณีนี้ Locky Ransomware เวอร์ชันใหม่จะใช้การเข้ารหัสข้อมูลแบบ Symmetric แทน กล่าวคือ จะทำการสร้างกุญแจสำหรับเข้ารหัสไฟล์ข้อมูลแบบ AES แล้วทำการเข้ารหัสไฟล์ทั้งหมดก่อน จากนั้น เมื่อสามารถติดต่อกับ C&C Server ได้ ค่อยสร้างคู่กุญแจ Public Key และ Private Key มาเข้ารหัสกุญแจ AES แทน เพื่อไม่ให้เหยื่อสามารถถอดกุญแจ AES ออกมาเพื่อปลดรหัสไฟล์ข้อมูลได้

ข่าวดีก็คือ กุญแจ AES ที่ใช้เข้ารหัสไฟล์ขณะออฟไลน์ เป็นกุญแจที่ใช้ร่วมกันทั้งหมด นั่นหมายความว่า ถ้ามีใครจ่ายค่าไถ่เพื่อให้ได้ Private Key มาปลดรหัสกุญแจ AES นี้แล้ว สามารถนำกุญแจ AES ที่ได้ไปปลดรหัสเครื่องอื่นๆ ที่ออฟไลน์อยู่ได้ทันที

ที่มา: http://www.csoonline.com/article/3095448/security/new-locky-ransomware-version-can-operate-in-offline-mode.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node ทั้งหมดในคลัสเตอร์

SonicWall เตือนช่องโหว่ Zero-day ใน SMA 1000 ให้ผู้ใช้อัปเดตด่วน!

พบการโจมตีในโซลูชัน SonicWall SMA 1000 Appliance Management Console (AMC) และ Central Management Console (CMC) ที่เป็นโซลูชันสำหรับรวมศูนย์การบริหารจัดการ โดยช่องโหว่มีความร้ายแรงที่ …