TeslaCrypt มัลแวร์เรียกค่าไถ่ที่ระบาดหนักอีกตัวหนึ่งเริ่มมีรุ่นใหม่ออกมา เป็นรุ่น 2.0 จากเดิมที่มีการปรับเล็กๆ น้อยๆ เป็นระยะ รุ่นใหม่นี้ทาง Kaspersky รายงานว่ามีความเปลี่ยนแปลงที่เห็นได้ชัดหลายอย่าง

ประเด็นแรกที่เปลี่ยนคือหน้าจอแจ้งผู้ใช้ว่าตกเป็นเหยื่อของการเรียกค่าไถ่ จากเดิมเป็น GUI ของวินโดวส์ธรรมดา รุ่นใหม่นี้จะเป็นไฟล์ HTML แล้วเรียกเบราว์เซอร์ขึ้นมาแจ้งผู้ใช้ ที่น่าแปลกใจคือหน้าเว็บนี้เอามาจากมัลแวร์อีกตัวคือ CryptoWall 3.0 ทั้งหมด ยกเว้น URL จ่ายเงินที่เป็นของ TeslaCrypt เอง

นอกจากหน้าเว็บแล้ว กระบวนการเข้ารหัสภายในยังเปลี่ยนแปลงไป กระบวนการเข้ารหัสใช้กระบวนการ secp256k1 และ ECDH แต่โดยรวมแล้ว แต่ละเครื่องของเหยื่อจะมีกุญแจหลัก master_btc_priv สำหรับถอดรหัสทุกไฟล์ และผู้ควบคุมมัลแวร์ใส่กุญแจสาธารณะ malware_pub ไว้ในตัวมัลแวร์ หากมีกุญแจลับ malware_priv ก็จะถอดรหัสของเหยื่อทุกคนได้ นอกจากนี้ master_btc_priv ยังเป็นกุญแจสำหรับถอนเงินออกจากบัญชีบิทคอยน์ที่เหยื่อจ่ายอีกด้วย

จุดสำคัญคือในรุ่น 2.0 นี้ไม่มีไฟล์ key.dat ที่ช่วยให้ผู้ใช้กู้ข้อมูลได้ในบางกรณีอีกแล้ว ใครมีข้อมูลสำคัญก็อย่าลืมสำรองข้อมูลกันให้สม่ำเสมอครับ

ที่มา - SecureList