06/12/2565

Ransomware ใหม่ออกอาละวาดชื่อว่า Trigona

 

  ในช่วงต้นปีที่ผ่านมา ทีมงาน MalwareHunterTeam ค้นพบ Ransomware ชนิดใหม่ที่ยังไม่มีการระบุชื่อในช่วงแรกมีการใช้อีเมลเพื่อการเจรจาต่อรองกับเหยื่อ แต่ในปัจจุบันมีการรีแบรนด์ใหม่โดยใช้ชื่อว่า Trigona
 ซึ่งนอกจากการมีการเปิดตัวเว็ปไซต์เพื่อเจรจา กับเป้าหมายผ่าน Tor Browser อีกด้วยซึ่งในปัจจุบันมีเหยื่อหลายรายที่ตกเป็นเป้าหมายของ Ransomware ชนิดนี้ มีทั้งบริษัทอสังหาริมทรัพย์และหมู่บ้านในเยอรมนี
ลักษณะการทำงาน
   ผู้เชี่ยวชาญจาก BleepingComputer วิเคราะห์ตัวอย่างล่าสุดของ Trigona พบว่ามีการใช้ Command Line ดังต่อไปนี้
  • /full
  • /!autorun
  • /test_cid
  • /test_vid
  • /path
  • /!local
  • /!lan
  • /autorun_only
  • /autorun_only
    การเข้ารหัสไฟล์ Trigona จะทำการเข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์ ยกเว้นไฟล์ที่อยู่ใน Folder เฉพาะ เช่น Windows และ Program Files หลังจากเข้ารหัสเรียบร้อย Ransomware จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสเพื่อใช้นามสกุล ._locked ตัวอย่างเช่น ไฟล์ 1.doc จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 1.doc._locked จากนั้น     Ransomware จะฝังคีย์ถอดรหัสที่มีการเข้ารหัส, รหัสแคมเปญ และรหัสของเหยื่อ(ชื่อบริษัท) ไว้ในไฟล์ที่เข้ารหัส Note เรียกค่าไถ่จะมีชื่อว่า how_to_decrypt.hta โดยจะถูกสร้างขึ้นในแต่ละโฟลเดอร์ ภายใน Note จะแสดงถึงข้อมูลเกี่ยวกับการโจมตี ลิงก์ไปยังเว็บไซต์การเจรจาบน Tor Browser


   และลิงก์ที่ใช้สำหรับคัดลอกรหัสไปยังคลิปบอร์ดของ Windows ซึ่งจำเป็นต้องใช้ในการเข้าสู่เว็ปไซต์บน Tor Browser หลังจากลงชื่อเข้าใช้เว็ปไซต์บน Tor Browser เหยื่อจะพบข้อมูลเกี่ยวกับวิธีซื้อ Monero สำหรับจ่ายค่าไถ่ มีแชทที่ให้เหยื่อสามารถใช้เพื่อเจรจากับผู้โจมตีได้ นอกจากนี้เว็ปไซต์ยังมีฟีเจอร์ในการทดลองถอดรหัสไฟล์ได้จำนวน 5 ไฟล์ โดยแต่ละไฟล์มีขนาดสูงสุด 5MB ได้ฟรี


 เมื่อมีการจ่ายค่าไถ่ เหยื่อจะได้รับลิงก์ไปยังตัวถอดรหัส และไฟล์ keys.dat ซึ่งมีคีย์ถอดรหัส โดยตัวถอดรหัสสามารถถอดรหัสไฟล์ หรือโฟลเดอร์แต่ละรายการบนอุปกรณ์ภายในเครื่อง และเครือข่าย ผู้โจมตีได้บันทึกลงใน Note ว่ามีการขโมยข้อมูลออกไปด้วยระหว่างการโจมตีแต่ผู้เชี่ยวชาญจาก BleepingComputerยังไม่พบหลักฐานใด ๆ เกี่ยวกับเรื่องนี้ อย่างไรก็ตามการโจมตีของ Trigona กำลังเพิ่มปริมาณมากขึ้นทั่วโลกและมีแนวโน้มที่จะขยายการโจมตีต่อไปเรื่อย ๆ นอกจากนี้ในปัจจุบันยังไม่มีข้อมูลว่า Ransomware ถูกติดตั้ง ได้อย่างไร
ที่
ป้ายกำกับ: , ,

1 ความคิดเห็น:

  1. ไม่ระบุชื่อ14 มีนาคม, 2566 18:12

    มีวิธีแก้ไขยังไงได้บ้างครับ

    ตอบลบ

สมัครสมาชิก: ส่งความคิดเห็น (Atom)