RAA Ransomware ชนิดใหม่ พัฒนาโดยใช้ JavaScript

@JAMES_MHT และ @benkow สองผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย ออกมาประกาศค้นพบ Ransomware ชนิดใหม่ที่พัฒนาโดย JavaScript 100% ชื่อว่า RAA ซึ่งต่างจาก Ransom32 ที่ค้นพบก่อนหน้านี้ที่ใช้ NodeJS และฝังตัวเองไว้ในไฟล์ Executable ที่สำคัญคือ ยังไม่มี Decrypter สำหรับปลดรหัสไฟล์ข้อมูลที่ถูกล็อคโดย Ransomware ดังกล่าว

โดยปกติแล้ว JavaScript ไม่มีฟังก์ชันการเข้ารหัสข้อมูลระดับสูง จึงจำเป็นต้องใช้ชุดคำสั่ง CryptoJS Library ในการเข้ารหัสไฟล์ข้อมูลแบบ AES เพื่อเรียกค่าไถ่

RAA แพร่กระจายตัวผ่านอีเมล โดยแสร้งทำเป็นไฟล์ doc และมีชื่อประมาณ mgJaXnwanxlS_doc_.js เป็นต้น เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว มันจะทำการเข้ารหัสไฟล์ข้อมูลทั้งหมดบนเครื่องยกเว้นไฟล์ System และต่อท้ายชื่อไฟล์ด้วยนามสกุล .locked จากนั้นก็เหมือน Ransomware ทั่วไป คือ แสดงข้อความเรียกค่าไถ่ (เป็นภาษารัสเซีย) เป็นจำนวนเงิน 0.39 bitcoin หรือประมาณ 9,000 บาท ที่แย่กว่านั้นคือ RAA แอบแฝงมัลแวร์สำหรับขโมยรหัสผ่านที่เรียกว่า Pony มาด้วย

ไฟล์ Doc ปลอมที่แนบมากับอีเมล
ไฟล์ Doc ปลอมที่แนบมากับอีเมล
ข้อความเรียกค่าไถ่ภาษารัสเซีย
ข้อความเรียกค่าไถ่ภาษารัสเซีย

จนถึงตอนนี้ ยังไม่มี Decrypter ใดสามารถปลดล็อคการเข้ารหัสไฟล์ได้ แนะนำให้ผู้ใช้สำรองข้อมูลบ่อยๆ และไม่เปิดอีเมล รวมไปถึงไฟล์แนบที่ต้องสงสัยใดๆ

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงลึกของ RAA Ransomware ได้ที่: http://www.bleepingcomputer.com/news/security/the-new-raa-ransomware-is-created-entirely-using-javascript/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร่วมเสวนาด้าน Cybersecurity สำหรับหน่วยงาน CII ทั้ง 8 กลุ่ม ในงาน NCSA Thailand National Cyber Week 2023 วันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน Cybersecurity ของหน่วยงาน/องค์กรโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ทั้ง 8 กลุ่ม รวมถึงนักเรียนนักศึกษาและประชาชนที่สนใจ เข้าร่วมการเสวนาด้าน Cybersecurity สำหรับหน่วยงาน/องค์กรด้าน CII ในงาน …

พบแฮ็กเกอร์ใช้ Add-in บน Microsoft Visual Studio เป็นช่องทางในการโจมตี

พบแฮ็กเกอร์ใช้ Add-in บน Microsoft Visual Studio เป็นช่องทางในการโจมตี