ในช่วงต้นปีที่ผ่านมา ทีมงาน MalwareHunterTeam ค้นพบ Ransomware ชนิดใหม่ที่ยังไม่มีการระบุชื่อในช่วงแรกมีการใช้อีเมลเพื่อการเจรจาต่อรองกับเหยื่อ แต่ในปัจจุบันมีการรีแบรนด์ใหม่โดยใช้ชื่อว่า Trigona
ซึ่งนอกจากการมีการเปิดตัวเว็ปไซต์เพื่อเจรจา กับเป้าหมายผ่าน Tor Browser อีกด้วยซึ่งในปัจจุบันมีเหยื่อหลายรายที่ตกเป็นเป้าหมายของ Ransomware ชนิดนี้ มีทั้งบริษัทอสังหาริมทรัพย์และหมู่บ้านในเยอรมนี
ลักษณะการทำงาน
ผู้เชี่ยวชาญจาก BleepingComputer วิเคราะห์ตัวอย่างล่าสุดของ Trigona พบว่ามีการใช้ Command Line ดังต่อไปนี้
- /full
- /!autorun
- /test_cid
- /test_vid
- /path
- /!local
- /!lan
- /autorun_only
- /autorun_only
การเข้ารหัสไฟล์ Trigona จะทำการเข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์ ยกเว้นไฟล์ที่อยู่ใน Folder เฉพาะ เช่น Windows และ Program Files หลังจากเข้ารหัสเรียบร้อย Ransomware จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสเพื่อใช้นามสกุล ._locked ตัวอย่างเช่น ไฟล์ 1.doc จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 1.doc._locked จากนั้น Ransomware จะฝังคีย์ถอดรหัสที่มีการเข้ารหัส, รหัสแคมเปญ และรหัสของเหยื่อ(ชื่อบริษัท) ไว้ในไฟล์ที่เข้ารหัส Note เรียกค่าไถ่จะมีชื่อว่า how_to_decrypt.hta โดยจะถูกสร้างขึ้นในแต่ละโฟลเดอร์ ภายใน Note จะแสดงถึงข้อมูลเกี่ยวกับการโจมตี ลิงก์ไปยังเว็บไซต์การเจรจาบน Tor Browser
และลิงก์ที่ใช้สำหรับคัดลอกรหัสไปยังคลิปบอร์ดของ Windows ซึ่งจำเป็นต้องใช้ในการเข้าสู่เว็ปไซต์บน Tor Browser หลังจากลงชื่อเข้าใช้เว็ปไซต์บน Tor Browser เหยื่อจะพบข้อมูลเกี่ยวกับวิธีซื้อ Monero สำหรับจ่ายค่าไถ่ มีแชทที่ให้เหยื่อสามารถใช้เพื่อเจรจากับผู้โจมตีได้ นอกจากนี้เว็ปไซต์ยังมีฟีเจอร์ในการทดลองถอดรหัสไฟล์ได้จำนวน 5 ไฟล์ โดยแต่ละไฟล์มีขนาดสูงสุด 5MB ได้ฟรี
เมื่อมีการจ่ายค่าไถ่ เหยื่อจะได้รับลิงก์ไปยังตัวถอดรหัส และไฟล์ keys.dat ซึ่งมีคีย์ถอดรหัส โดยตัวถอดรหัสสามารถถอดรหัสไฟล์ หรือโฟลเดอร์แต่ละรายการบนอุปกรณ์ภายในเครื่อง และเครือข่าย ผู้โจมตีได้บันทึกลงใน Note ว่ามีการขโมยข้อมูลออกไปด้วยระหว่างการโจมตีแต่ผู้เชี่ยวชาญจาก BleepingComputerยังไม่พบหลักฐานใด ๆ เกี่ยวกับเรื่องนี้ อย่างไรก็ตามการโจมตีของ Trigona กำลังเพิ่มปริมาณมากขึ้นทั่วโลกและมีแนวโน้มที่จะขยายการโจมตีต่อไปเรื่อย ๆ นอกจากนี้ในปัจจุบันยังไม่มีข้อมูลว่า Ransomware ถูกติดตั้ง ได้อย่างไร
ไม่มีความคิดเห็น:
แสดงความคิดเห็น