มัลแวร์เรียกค่าไถ่บนจาวาสคริปต์ Ransom32 เริ่มแพร่กระจาย

By: pe3z

on 4 January 2016 - 11:31 Tags:

Topics:

บริษัท Emsisoft ได้เปิดเผยการค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ซึ่งถูกพัฒนาอยู่บนพื้นฐานของภาษาจาวาสคริปต์ภายใต้ชื่อว่า Ransom32 ซึ่งใช้การติดต่อถึงเซิร์ฟเวอร์ออกคำสั่งและควบคุม (C&C server) บนเครือข่าย Tor และใช้ช่องทางการโอนเงินค่าไถ่ผ่านบิทคอยน์เป็นหลัก

Ransom32 เป็นหนึ่งในมัลแวร์เรียกค่าไถ่ซึ่งถูกพัฒนาบนแนวคิดของ SaaS ซึ่งหมายถึงการสร้างมัลแวร์จะอาศัยการตั้งค่าต่างๆ ของมัลแวร์ผ่านเว็บไซต์ซึ่งมักจะอยู่บนเครือข่าย Tor เป็นหลักและเมื่อกำหนดค่าที่ต้องการของมัลแวร์เสร็จก็สามารถสร้างไฟล์สำหรับแพร่กระจายได้ทันที สำหรับ Ransom32 นั้น ผู้ที่ต้องการสร้างมัลแวร์จะต้องกรอกที่อยู่ของบัญชีบิทคอยน์สำหรับรับค่าไถ่เพื่อให้สามารถเข้าไปปรับแต่งตัวเลือกต่างๆ อาทิ จำนวนเงินที่เรียกร้อง, ลักษณะของข้อความแจ้งเตือนหรือเวลาที่ใช้ในการหน่วงก่อนทำงาน เป็นต้น

ส่วนของการแพร่กระจายของ Ransom32 จะถูกดาวโหลดภายใต้ไฟล์ที่มีนามสกุล *.scr ซึ่งแท้จริงแล้วเป็นโปรแกรมที่สามารถรันได้ โดยจะมีขนาดไฟล์ที่ใหญ่กว่ามัลแวร์ปกติหลายเท่าตัว Ransom32 ใช้การสร้างตัวแพร่กระจายโดยการบรรจุไฟล์ที่จำเป็นต่อการทำงานลงไปในลักษณะของไฟล์บีบอัดหรือไฟล์ MSI โดยประกอบไปด้วย ส่วนหลักของมัลแวร์ซึ่งอยู่ในไฟล์จาวาสคริปต์, โปรแกรมสำหรับเครือข่าย Tor และสคริปต์ต่างๆ ที่ใช้ในการเปลี่ยนแปลงการตั้งค่าบนคอมพิวเตอร์ของเหยื่อ

สำหรับในส่วนการทำงานหลักของ Ransom32 จะมีการใช้เฟรมเวิร์คชื่อว่า NW.js ในการพัฒนาโปรแกรมหรือแอพพลิเคชันเพื่อให้สามารถทำงานบนระบบปฏิบัติการต่างๆ ได้ผ่านจาวาสคริปต์ ผลลัพธ์ของการพัฒนาผ่านเฟรมเวิร์คนี้ส่งผลให้ Ransom32 ยังคงไม่สามารถตรวจเจอได้โดยใช้การตรวจจับแบบ signature-based

การทำงานของ Ransom32 มีความคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ โดยการแลกเปลี่ยนกุญแจสำหรับการเข้ารหัสกับเซิร์ฟเวอร์ออกคำสั่งและควบคุมบนเครือข่าย Tor, หลีกเลี่ยงการเข้ารหัสโฟลเดอร์ของระบบ, พุ่งเป้าไปที่ไฟล์เอกสาร ไฟล์รูปภาพและไฟล์มัลติมีเดียทั่วไป Ransom32 ใช้อัลกอริธึม AES ในโหมด CTR บนขนาดของกุญแจ 128 บิตที่แตกต่างกันต่อไฟล์ในการเข้ารหัสแต่ละไฟล์ กุญแจที่ใช้ในการเข้ารหัสไฟล์ทั้งหมดจะถูกเข้ารหัสอีกครั้งโดยใช้กุญแจสาธารณะของ RSA ไม่ระบุขนาด

ในส่วนของการป้องกันและลดผลกระทบจากมัลแวร์เรียกค่าไถ่ วิธีการป้องกันโดยทั่วไปยังเป็นที่แนะนำไม่ว่าจะเป็นการสำรองข้อมูลอย่างสม่ำเสมอ ไม่รันโปรแกรมที่ต้องสงสัย อย่างไรก็ตาม Ransom32 เป็นหนึ่งในตัวอย่างของมัลแวร์ที่สามารถหลบเลี่ยงการตรวจจับโดยโปรแกรมป้องกันมัลแวร์ในวิธีการทั่วไปผ่าน signature ของมัลแวร์ได้ ซึ่งหมายความว่าเราคงจะไม่อาจหวังพึ่งโปรแกรมป้องกันมัลแวร์เพียงอย่างเดียวได้แล้วครับ

ที่มา - Emsisoft

Hiring! บริษัทที่น่าสนใจ

THiNKNET Co., Ltd.

มาร่วมพัฒนาผลิตภัณฑ์ที่คนใช้กันหลักแสนต่อวันกับเราที่ THiNKNET สมัครเลย!

Ascend Group Co., Ltd.

Our Ascend vision is to create life opportunities with innovative digital services.

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

Comments

By: hisoft

on 4 January 2016 - 11:41 #872398

ถ้าอยู่ในเขตที่โดนบล็อค Tor นี่จะโดนไหมครับ? (ว่าแต่มันบล็อคเด็ดขาดได้จริงๆ รึเปล่า)

By: pe3z

on 4 January 2016 - 11:44 #872401 Reply to:872398

ยังไม่แน่นอนครับ ผมเข้าใจว่า IDS บางตัวสามารถตัวเจอการใช้ Tor ได้ และก็เป็นไปได้ว่าถ้าขั้นตอนการติดต่อผ่าน Tor ถูกขัดขวางไป ขั้นตอนอื่นๆ ก็อาจจะไม่เกิดขึ้นต่อ

By: toooooooon

on 4 January 2016 - 11:45 #872402

คือตัว Malware นี่แพร่ช่องทางปกติ แต่

ตอน malware ติดต่อ Server แลกคีย์

จะวิ่งกลับทาง TOR ใช่ไหมครับ ตัวมัลแวร์จึงจำเป็นต้องมี TOR Browser ติดมาคู่กัน

มัลแวร์มันแพร่ทางช่องทางปกติ ???

By: pe3z

on 4 January 2016 - 11:49 #872403 Reply to:872402

ใช่ครับ ตัวมัลแวร์แพร่ช่องทางปกติ เช่น ไฟล์ต้องสงสัยทางอีเมล แต่พอถูกรันแล้วจะต้องติดต่อผ่าน Tor

ผมอาจเขียนไว้ไม่ค่อยชัดเจนเท่าไร แต่ภายในตัวไฟล์มัลแวร์มีการรวม tor client มาไว้แล้วครับ

By: wichate

on 4 January 2016 - 11:59 #872406

block *.scr ด่วนเลย

By: nisit

on 4 January 2016 - 12:56 #872427

ยังคงไม่สามารถตัวเจอได้โดยใช้การตรวจจับแบบ signature-based > ยังคงไม่สามารถตรวจเจอได้โดยใช้การตรวจจับแบบ signature-based

By: pe3z

on 5 January 2016 - 00:23 #872632 Reply to:872427

แก้ไขแล้วครับ ขอบคุณครับ

Main menu