Breaking News

RAA Ransomware ชนิดใหม่ พัฒนาโดยใช้ JavaScript

@JAMES_MHT และ @benkow สองผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย ออกมาประกาศค้นพบ Ransomware ชนิดใหม่ที่พัฒนาโดย JavaScript 100% ชื่อว่า RAA ซึ่งต่างจาก Ransom32 ที่ค้นพบก่อนหน้านี้ที่ใช้ NodeJS และฝังตัวเองไว้ในไฟล์ Executable ที่สำคัญคือ ยังไม่มี Decrypter สำหรับปลดรหัสไฟล์ข้อมูลที่ถูกล็อคโดย Ransomware ดังกล่าว

โดยปกติแล้ว JavaScript ไม่มีฟังก์ชันการเข้ารหัสข้อมูลระดับสูง จึงจำเป็นต้องใช้ชุดคำสั่ง CryptoJS Library ในการเข้ารหัสไฟล์ข้อมูลแบบ AES เพื่อเรียกค่าไถ่

RAA แพร่กระจายตัวผ่านอีเมล โดยแสร้งทำเป็นไฟล์ doc และมีชื่อประมาณ mgJaXnwanxlS_doc_.js เป็นต้น เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว มันจะทำการเข้ารหัสไฟล์ข้อมูลทั้งหมดบนเครื่องยกเว้นไฟล์ System และต่อท้ายชื่อไฟล์ด้วยนามสกุล .locked จากนั้นก็เหมือน Ransomware ทั่วไป คือ แสดงข้อความเรียกค่าไถ่ (เป็นภาษารัสเซีย) เป็นจำนวนเงิน 0.39 bitcoin หรือประมาณ 9,000 บาท ที่แย่กว่านั้นคือ RAA แอบแฝงมัลแวร์สำหรับขโมยรหัสผ่านที่เรียกว่า Pony มาด้วย

ไฟล์ Doc ปลอมที่แนบมากับอีเมล
ไฟล์ Doc ปลอมที่แนบมากับอีเมล
ข้อความเรียกค่าไถ่ภาษารัสเซีย
ข้อความเรียกค่าไถ่ภาษารัสเซีย

จนถึงตอนนี้ ยังไม่มี Decrypter ใดสามารถปลดล็อคการเข้ารหัสไฟล์ได้ แนะนำให้ผู้ใช้สำรองข้อมูลบ่อยๆ และไม่เปิดอีเมล รวมไปถึงไฟล์แนบที่ต้องสงสัยใดๆ

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงลึกของ RAA Ransomware ได้ที่: http://www.bleepingcomputer.com/news/security/the-new-raa-ransomware-is-created-entirely-using-javascript/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ

Microsoft ประกาศเหตุคอนฟิค Rule ผิด เปิดเข้าถึงข้อมูลลูกค้าได้กว่า 250 ล้านรายการ

Microsoft ได้ประกาศถึงเหตุการความผิดพลาดโดยไม่ตั้งใจสาเหตุจากการคอนฟิค Security Rule ของ Azure ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล Customer Support ส่งผลให้ข้อมูลกว่า 250 ล้านรายการสามารถถูกเข้าถึงได้ แต่ยังไม่มีรายงานพบการนำข้อมูลไปใช้ในทางที่ไม่ดี