CTB-Locker : มัลลแวร์เรียกค่าไถ่หลายภาษา
ในบทความนี้เราจะเห็นว่า CTB-Locker Ransomware การกระจายตัวของมัลแวร์ ซึ่งสร้างความปวดหัวให้ผู้ใช้นับพัน ทั้งใน โปแลนด์ เม็กซิโก และในเม๊กซิโกเป็นที่ที่มีการติดเชื้อมากที่สุด เราสามารถดูผลกระทบได้จากกราฟิกที่มีการเปรียบเทียบเป็นเปอร์เซ็นต์การติด เชื้อในแต่ละประเทศ
การโจมตีเริ่มจากอีเมล์หลอกลวงที่เข้ามายังกล่องรับจดหมายของคุณ โดยอีเมล์อ้างว่าสิ่งที่แนบมาด้วยคือ เอกสารแฟกซ์ ไฟล์ถูกตรวจพบโดย ESET ว่าเป็น Win32/TrojanDownloader.Elenoocka ถ้าคุณเปิดไฟล์แนบออก และโปรแกรมป้องกันไวรัสของคุณไม่อัพเดตพอ ไฟล์ Win32/FileCoder.DA จะถูกดาวน์โหลดมายังเครื่องของคุณ และไฟล์ทั้งหมดของคุณจะถูกเข้ารหัส และคุณจะเสียมันไปตลอดกาล จนกว่าคุณจะจ่ายค่าไถ่ด้วย Bitcoins เพื่อทำการปลดรหัส
ไฟล์ Win32/TrojanDownloader.Elenoocka จะทำการเชื่อมต่อไปยัง URL เพื่อดาวน์โหลดไฟล์ Win32/FileCoder.DA หรือที่รู้จักกันในชื่อ CTB-Locker ซึ่ง Ransomware ในตระกูลนี้จะทำการเข้ารหัสไปทั้งหมดคล้ายกับ CryptoLocker ความแตกต่างของมัลแวร์สองแบบนี้คือ อัลกอริธึมในการเข้ารหัส
ผลที่ออกมาก็จะคล้ายกับ CryptoLocker หรือ TorrentLocker ไฟล์นามสกุล .mp4, .pem, .jpg, .doc, .cer, .db และอื่นๆ จะถูกเข้ารหัสไว้ และต้องใช้กุญแจในการปลดล็อก เมื่อมัลแวร์ทำการเข้ารหัสเรียบร้อยแล้ว มันจะแสดงข้อความเตือนและเปลี่ยนฉาก Background เป็นข้อความที่คล้ายกับรูปด้านล่างนี้
ข้อความจะแสดงในภาษาเยอรมัน ดัตช์ อิตาเลี่ยน และ อังกฤษ โดยจะเปลี่ยนไปตามภูมิภาค แม้ว่าภาษาสเปนจะไม่ได้ปรากฏเป็นหนึ่งในข้อความเรียกค่าไถ่ แต่ก็พบว่ามีการติดเชื้อในประเทศที่ใช้ภาษาสเปน เพื่อสร้างความมั่นใจให้กับผู้ใช้ว่าพวกเขาจะสามารถได้ไฟล์กลับมา อาชญากรไซเบอร์จะมีตัวอย่างแสดงให้เห็นการทำงานในการถอดรหัส ซึ่งดูได้จากรูปด้านล่าง
เมื่อผู้ใช้ได้ดูการแสดงตัวอย่างไปแล้ว แฮกเกอร์จะแสดงการถอดรหัสไฟล์ และสถานที่ที่จะส่ง Bitcoins (BTC) พวกเขายังมีวิธีที่จะแลกเปลี่ยน Bitcoins ในกรณีที่ผู้ใช้ไม่ได้เงินในสกุลนี้
รายละเอียดอื่นที่แปลกประหลาดของ CTB-Locker คือ ไม่เพียงจะแสดงเป็นข้อความให้กับผู้ใช้ในภาษาที่แตกต่างกัน แต่ก็ยังมีการแสดงสกุลเงินที่เหมาะสมกับภาษาที่ใช้ หากผู้ใช้เลือกที่จะดูข้อความในภาษาอังกฤษสกุลเงินจะเป็นดอลลาร์สหรัฐ กรณีที่อยู่ในยุโรปค่าไถ่ 8 Bitcoins จะมีมูลค่าประมาณ 1,680 ดอลลาร์
จากมุมมองด้านเทคนิค Win32 / TrojanDownloader.Elenoocka.A เป็นภัยคุกคามขนาดเล็กที่เรียบง่าย และมีรูปแบบการแสดงที่แตกต่างกัน และเรายังเห็นสิ่งที่แนบมากับไฟล์ตัวอย่าง invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr หรือ invoice_2015_01_20-15_33 .scr. เราเห็นว่ากลุ่มตัวอย่างมีการสุ่มคำจาก stride_invoice_2015_01_20-15_33.scr, tiger_invoice_2015_01_20-15_38.scr เป็นต้น หลังจากนั้นมันจะเปิดเอกสารใน Word เอกสารนี้พบอยู่ในชื่อ DATA ที่ถูกเก็บอยู่ใน CAB
เป็นเรื่องที่น่าเศร้าว่า เทคนิคการเข้ารหัส CTB-Locker มีความเป็นไปได้ว่าจะไม่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสไว้ อย่างไรก็ตามมี เรามีมาตรการความปลอดภัยแนะนำสำหรับองค์กรหรือผู้ใช้ทั่วไป
• ถ้าคุณมีระบบรักษาความปลอดภัยสำหรับอีเมล์เซิร์ฟเวอร์ ให้เปิดการคัดกรองนามสกุลไฟล์ (Filtering by Extension) มันจะช่วยให้บล็อกไฟล์ที่มีความเสี่ยงเช่น .scr ซึ่งถูกใช้โดย Win32 / TrojanDownloader.Elenoocka.A
• หลีกเลี่ยงการเปิดไฟล์แนบอีเมล์จากคนที่ไม่รู้จัก
• ลบอีเมล์หรือตั้งค่าสแปมเพื่อป้องกันไม่ให้ผู้ใช้อื่นหรือพนักงานในองค์กรได้รับผลกระทบจากภัยคุกคามนี้
• อัพเดตระบบรักษาความปลอดภัยให้ทันสมัยเสมอ เพื่อการตรวจจับภัยคุกคามล่าสุดที่มีการแพร่กระจายได้อย่างมีประสิทธิภาพ และเปิด ESET LiveGrid เอาไว้ตลอดเวลา
• หมั่นสำรองข้อมูลเอาไว้เสมอ
การบรรเทาการโจมตีไม่ใช่เรื่องง่าย คุณจำเป็นจะต้องมีการป้องกันในเชิงรุก โดยการสนับสนุนด้านเทคโนโลยีการรักษาความปลอดภัยด้วยการตื่นตัวที่จะรับรู้ และศึกษา เคล็ดลับข้างตันจะช่วยให้คุณและองค์กรของคุณหลีกเลี่ยงกับปัญหานี้และภัยคุก คามในรูปแบบที่คล้ายกัน
Hashes:
• 81F68349B12F22BEB8D4CF50EA54D854EAA39C89 Win32/FileCoder.DA
• 0D4B6401EB5F89FF3A2CF7262872F6B3D903B737 Win32/FileCoder.DA
• 1DA7B3538A1D8B89179E17E91C7061B19932BBC8 Win32/TrojanDownloader.Elenoocka.A
• FE565E5589D496B838E037E99AA59E931129B7DA Win32/TrojanDownloader.Elenoocka.A
• 576BCD87B7EC38DE302201EC460DB9C0819B473A Win32/TrojanDownloader.Elenoocka.A
Welivesecurity
ไม่มีความคิดเห็น:
แสดงความคิดเห็น