พบ Locky Ransomware เวอร์ชันใหม่ พร้อมทำงานในโหมด Offline

avira_logo

นักวิจัยด้านความมั่นคงปลอดภัยของ Avira ผู้ให้บริการโปรแกรม Antivirus ชั้นนำ ออกมาเปิดเผยถึง Locky Ransomware เวอร์ชันใหม่ ที่มีกลไก Fallback ช่วยให้สามารถเข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อแบบออฟไลน์ ต่อให้ไม่สามารถเชื่อมต่อกับ C&C Server ได้ก็ตาม

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

ใช้ RSA Asymmetric Encryption ในการเข้ารหัสไฟล์ข้อมูล

โดยปกติแล้ว หลังจากที่ Locky ถูกติดตั้งลงบนเครื่องของเหยื่อ มันจะเชื่อมต่อกับอินเทอร์เน็ตเพื่อรับคำสั่งและขอกุญแจสำหรับเข้ารหัสไฟล์ข้อมูล จาก C&C Server ของแฮ็คเกอร์ ซึ่งปกติจะใช้การเข้ารหัสแบบ Asysmetric คือ ใช้ Public Key ในการเข้ารหัสไฟล์ข้อมูลของเหยื่อ และใช้ Private Key ในการปลดรหัส (ไม่สามารถใช้ Public Key ในการปลดรหัสได้) ในกรณีที่มัลแวร์ไม่สามารถติดต่อกับ C&C Server ได้ กุญแจที่ใช้เข้ารหัสจะไม่ถูกส่งมา ทำให้มัลแวร์ไม่สามารถเข้ารหัสข้อมูลได้

ใช้ AES Encryption ในการเข้ารหัสไฟล์แทนขณะออฟไลน์

กรณีนี้ Locky Ransomware เวอร์ชันใหม่จะใช้การเข้ารหัสข้อมูลแบบ Symmetric แทน กล่าวคือ จะทำการสร้างกุญแจสำหรับเข้ารหัสไฟล์ข้อมูลแบบ AES แล้วทำการเข้ารหัสไฟล์ทั้งหมดก่อน จากนั้น เมื่อสามารถติดต่อกับ C&C Server ได้ ค่อยสร้างคู่กุญแจ Public Key และ Private Key มาเข้ารหัสกุญแจ AES แทน เพื่อไม่ให้เหยื่อสามารถถอดกุญแจ AES ออกมาเพื่อปลดรหัสไฟล์ข้อมูลได้

ข่าวดีก็คือ กุญแจ AES ที่ใช้เข้ารหัสไฟล์ขณะออฟไลน์ เป็นกุญแจที่ใช้ร่วมกันทั้งหมด นั่นหมายความว่า ถ้ามีใครจ่ายค่าไถ่เพื่อให้ได้ Private Key มาปลดรหัสกุญแจ AES นี้แล้ว สามารถนำกุญแจ AES ที่ได้ไปปลดรหัสเครื่องอื่นๆ ที่ออฟไลน์อยู่ได้ทันที

ที่มา: http://www.csoonline.com/article/3095448/security/new-locky-ransomware-version-can-operate-in-offline-mode.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] HTTP/3, How Cloudflare Help to Make the Internet Better โดย Cloudflare APAC

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “HTTP/3, How Cloudflare Help to Make the Internet Better” เพื่อรู้จักกับแนวคิดและการทำงานของ HTTP/3 …

Microsoft เผย 3 เทคนิค Phishing อันแนบเนียนที่ควรพึงระวัง

Microsoft ได้ออกรายงานแนวโน้มภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ที่เกิดขึ้นในปี 2019 ระบุว่า Phishing เป็นหนึ่งใในไม่กี่รูปแบบการโจมตีที่ยังคงพบบ่อยมากขึ้นในช่วง 2 ปีที่ผ่านมานี้ ในขณะที่ Ransomware, Crypto-mining และมัลแวร์รูปแบบอื่นๆ เริ่มพบน้อยลง