www.cioworldmagazine.com

 Breaking News

CryPy Ransomware สายพันธุ์ใหม่ที่โหดร้ายยิ่งขึ้น

CryPy Ransomware สายพันธุ์ใหม่ที่โหดร้ายยิ่งขึ้น
November 10
13:16 2016

นักวิจัยของ Kaspersky ได้เตือนให้เฝ้าระวัง Ransomware ตระกูลใหม่ที่ถูกเขียนขึ้นด้วยภาษา Python ซึ่งจะทำการกำหนดกุญแจยืนยันตัวตนบนเครื่องพีซีของเหยื่อแต่ละรายโดยไม่ซ้ำกัน ก่อนที่จะทำการเข้ารหัส

1CryPy ไม่ได้เป็น Ransomware ตัวแรกที่ถูกเขียนขึ้นด้วย Python เช่นเดียวกับภัยคุกคามอย่าง HolyCrypt, Fs0ciety Lockeและภัยคุกคามอื่นๆ ที่เคยค้นพบ อย่างไรก็ตามมันไม่ได้โดดเด่นเพียงแค่การใช้กุญแจยืนยันตัวตนแบบไมซ้ำกันสำหรับการเข้ารหัสไฟล์แต่มันละเมิดสิทธิมนุษยชนด้วยการบุกรุกเซิร์ฟเวอร์ที่ทำหน้าที่สั่งการและควบคุมการสื่อสาร(C&C)ของอิสราเอลการ

Banner_CIO_big one_version2

บุกรุกเซิร์ฟเวอร์ C&C ของอิสราเอลครั้งนี้อาศัยช่องโหว่ในระบบจัดการเนื้อหาบนเว็บไซต์ (CMS)ที่เรียกว่า Magento เพื่อเปิดทางให้ผู้โจมตีอัพโหลด PHP Shell Script และไฟล์อื่นๆ เพิ่มเติมที่ช่วยให้ผู้บุกรุกสามารถสตรีมข้อมูลจาก Ransomware ไปยังเซิร์ฟเวอร์ C&Cและระบบอื่นๆ ที่อยู่ด้านหลัง

สำหรับ Ransomware ที่ถูกสร้างขึ้นด้วยPython นี้จะประกอบด้วยไฟล์หลักจำนวน 2 ไฟล์ เรียกว่า boot_common.py และ encryptor.py. ซึ่งนักวิจัยด้านความปลอดภัยของ Kaspersky อธิบายว่า ขณะที่ไฟล์ตัวแรกทำหน้าที่รับผิดชอบอาศัยข้อผิดพลาดของการเข้าล็อกอินระบบบนแพลตฟอร์มวินโดวส์ ไฟล์ตัวที่สองก็จะทำหน้าที่ล็อกไฟล์ข้อมูล ในระหว่างการวิเคราะห์ นักวิจัยพบว่า มัลแวร์ไม่ได้ทำการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์ของเป้าหมาย แต่คาดว่าพวกมันย้ายไปยังเซิร์ฟเวอร์ใหม่ ภายใต้กระบวนการดังกล่าว นักวิจัยกล่าวว่า พวกมันอาจจะมีการลบร่องรอยที่เหลือของไฟล์ PHP ซึ่งถูกใช้ในการเก็บรวบรวมข้อมูลจากเครื่องของเหยื่อ

ข้อสำคัญอีกประการที่มีการกล่าวถึงก็คือเซิร์ฟเวอร์ดังกล่าวยังถูกนำมาใช้สำหรับการโจมตีฟิชชิ่ง และจัดเตรียมหน้าเพจ Paypalเอาไว้รองรับเหยื่อ ทั้งยังมีข้อบ่งชี้ที่เชื่อถือได้ว่าผู้ที่อยู่เบื้องหลังภัยคุกคามครั้งนี้มีการพูดคุยกันด้วยภาษาฮิบรู ส่วนข้อมูล Paypal ของผู้ใช้ที่ขโมยไปได้ถูกส่งต่อไปยังเซิร์ฟเวอร์ในประเทศเม็กซิโกด้วยวิธีการรีโมทจากระยะไกล ซึ่งเป็นตำแหน่งเดียวกันที่ใช้อัพโหลดเทคนิคการโจมตี

ท่ามกลางข้อมูลที่ส่งระหว่างมัลแวร์และเซิร์ฟเวอร์ C&C นักวิจัยพบว่า ข้อมูลระบบข้อมูลโหลด ข้อมูลเวอร์ชั่น ข้อมูลเครื่อง ข้อมูลโปรเซสเซอร์ ไอพีแอดเดรส และข้อมูลของเหยื่อแต่ละรายจะถูกเข้ารหัสแบบ Base64 ทั้งหมด พร้อมกันนี้ยังมีการส่งคำร้องไปให้เหยื่อว่า กุญแจถอดรหัสจะถูกส่งกลับไปหลังจากจ่ายเงินเป็นค่าไถ่เรียบร้อยแล้ว

3อ่านต่อหน้า2

Banner (660x80Pixel)-01

Pages: 1 2

Related Articles

0 Comments

No Comments Yet!

There are no comments at the moment, do you want to add one?

Write a comment

Write a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

BannerWeb_CIOworld_3
300x250 (B2)
Banner (320x250 Pixel) EDIT
CEBIT_webbanner_320x250pxl_TH

Like Us On Facebook

Facebook Pagelike Widget
communication

Categories

Newsletters

ลงทะเบียนรับข่าวสารจาก CIOWorldMagazine.com