Breaking News

พบ Locky Ransomware เวอร์ชันใหม่ พร้อมทำงานในโหมด Offline

avira_logo

นักวิจัยด้านความมั่นคงปลอดภัยของ Avira ผู้ให้บริการโปรแกรม Antivirus ชั้นนำ ออกมาเปิดเผยถึง Locky Ransomware เวอร์ชันใหม่ ที่มีกลไก Fallback ช่วยให้สามารถเข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อแบบออฟไลน์ ต่อให้ไม่สามารถเชื่อมต่อกับ C&C Server ได้ก็ตาม

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

ใช้ RSA Asymmetric Encryption ในการเข้ารหัสไฟล์ข้อมูล

โดยปกติแล้ว หลังจากที่ Locky ถูกติดตั้งลงบนเครื่องของเหยื่อ มันจะเชื่อมต่อกับอินเทอร์เน็ตเพื่อรับคำสั่งและขอกุญแจสำหรับเข้ารหัสไฟล์ข้อมูล จาก C&C Server ของแฮ็คเกอร์ ซึ่งปกติจะใช้การเข้ารหัสแบบ Asysmetric คือ ใช้ Public Key ในการเข้ารหัสไฟล์ข้อมูลของเหยื่อ และใช้ Private Key ในการปลดรหัส (ไม่สามารถใช้ Public Key ในการปลดรหัสได้) ในกรณีที่มัลแวร์ไม่สามารถติดต่อกับ C&C Server ได้ กุญแจที่ใช้เข้ารหัสจะไม่ถูกส่งมา ทำให้มัลแวร์ไม่สามารถเข้ารหัสข้อมูลได้

ใช้ AES Encryption ในการเข้ารหัสไฟล์แทนขณะออฟไลน์

กรณีนี้ Locky Ransomware เวอร์ชันใหม่จะใช้การเข้ารหัสข้อมูลแบบ Symmetric แทน กล่าวคือ จะทำการสร้างกุญแจสำหรับเข้ารหัสไฟล์ข้อมูลแบบ AES แล้วทำการเข้ารหัสไฟล์ทั้งหมดก่อน จากนั้น เมื่อสามารถติดต่อกับ C&C Server ได้ ค่อยสร้างคู่กุญแจ Public Key และ Private Key มาเข้ารหัสกุญแจ AES แทน เพื่อไม่ให้เหยื่อสามารถถอดกุญแจ AES ออกมาเพื่อปลดรหัสไฟล์ข้อมูลได้

ข่าวดีก็คือ กุญแจ AES ที่ใช้เข้ารหัสไฟล์ขณะออฟไลน์ เป็นกุญแจที่ใช้ร่วมกันทั้งหมด นั่นหมายความว่า ถ้ามีใครจ่ายค่าไถ่เพื่อให้ได้ Private Key มาปลดรหัสกุญแจ AES นี้แล้ว สามารถนำกุญแจ AES ที่ได้ไปปลดรหัสเครื่องอื่นๆ ที่ออฟไลน์อยู่ได้ทันที

ที่มา: http://www.csoonline.com/article/3095448/security/new-locky-ransomware-version-can-operate-in-offline-mode.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Business Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia" เพื่อทำความรู้จักกับเทคโนโลยีด้าน Payment ที่ใช้งานอยู่ในปัจจุบันและกำลังจะถูกใช้งานในอนาคต พร้อมโซลูชันสำหรับการปกป้องระบบและข้อมูลด้าน Payment ให้มีความมั่นคงปลอดภัย ในวันจันทร์ที่ 3 สิงหาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

VMware TechTuesday Webinar ภาคภาษาไทย: VMware NSX Advanced Load Balancer

TechTalkThai ขอเรียนเชิญ IT Manager, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง VMware TechTuesday Webinar ภาคภาษาไทย ในหัวข้อเรื่อง "VMware NSX Advanced Load Balancer" เพื่อทำความรู้จักกับความสามารถใหม่ๆ ใน VMware vSAN 7.0 ที่จะช่วยเปลี่ยน Data Center ขององค์กรให้ก้าวสู่การทำ Hybrid Cloud ได้อย่างง่ายดาย บริหารจัดการได้คล่องตัว และปกป้องข้อมูลสำคัญของธุรกิจได้ ในวันอังคารที่ 21 กรกฎาคม 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้