TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก ออก Decrypter สำหรับปลดล็อกสายพันธ์หนึ่งของ PoshCode Ransomware ชื่อว่า PowerWare ซึ่งเลียนแบบ Locky Ransomware มัลแวร์ชื่อดังที่แพร่กระจายตัวไปทั่วโลก
หลังจากที่ PowerWare ถูกติดตั้งลงบนเครื่องของเหยื่อและเข้ารหัสไฟล์ข้อมูลแล้ว มัลแวร์จะต่อท้ายชื่อไฟล์ด้วย “.locky” และแสดงข้อความเรียกค่าไถ่เหมือน Locky Ransomware เพื่อให้เหยื่อหลงเข้าใจว่า ตนเองถูก Locky โจมตี อย่างไรก็ตาม PowerWare นั้นไม่ได้อันตรายเท่า Locky เนื่องจากใช้วิธีการเข้ารหัสแบบ AES-128 และมีการซ่อนกุญแจสำหรับเข้ารหัสไว้ในโค้ดเลย นอกจากนี้ยังเข้ารหัสเพียง 2,048 ไบต์แรกของไฟล์ข้อมูลเท่านั้น
จากวิธีการเข้ารหัสข้อมูลที่ไม่ได้แข็งแรงมากนี้ ช่วยให้ Josh Grunzweig นักวิจัยจาก Palo Alto Networks สามารถสร้าง Decrypter สำหรับปลดรหัสไฟล์ข้อมูลได้สำเร็จ อย่างไรก็ตาม Decrypter ดังกล่าวเป็นสคริปต์ภาษา Python ทำให้ผู้ใช้หลายคนที่ไม่ได้เชี่ยวชาญด้านคอมพิวเตอร์ไม่สามารถนำไปใช้ได้
PoshCoder เป็นตระกูลมัลแวร์ที่เริ่มปรากฏให้เห็นตั้งแต่ปี 2014 ก่อนหน้าที่จะพยายามเลียนแบบ Locky Ransomware มันเคยพยายามปลอมตัวเป็น CryptoWall และ TeslaCrypt ซึ่งก็เป็นมัลแวร์ชื่อดังมาแล้ว
ดาวน์โหลดสคริปต์ Decrypter ได้ผ่านทาง GitHub
ดูวิธีการรันสคริปต์ Python บน Windows ได้ที่ https://docs.python.org/2/faq/windows.html
ที่มา: https://www.helpnetsecurity.com/2016/07/22/powerware-ransomware-decrypter/
