Tags:
Node Thumbnail

ransomware กลับมาระบาดอีกครั้ง คราวนี้เกิดเฉพาะในจีนและกำจัดเฉพาะกลุ่มผู้ใช้ชาวจีน โดยไม่ร้ายแรงและไม่แพร่หลายเท่า WannaCry หรือ NotPetya ก่อนหน้านี้ แต่ก็มีคอมพิวเตอร์ติดไปแล้วไม่ต่ำกว่า 1 แสนเครื่องและกำลังเพิ่มขึ้นเรื่อยๆ

การแพร่ระบาดของ ransomware ครั้งนี้แพร่ผ่านแอปเขียนโปรแกรมที่ชื่อว่า EasyLanguage ซึ่งค่อนข้างแพร่หลาย โดยซอฟต์แวร์ที่ถูกเขียนและคอมไพล์ผ่าน EasyLanguage จะมี ransomware ติดมาด้วย เท่าที่รู้ตอนนี้มีซอฟต์แวร์ไม่ต่ำกว่า 50 ตัวที่เข้าข่าย ทำให้การแพร่กระจายค่อนข้างรวดเร็วและง่าย

ตัว ransomware ใช้ลายเซ็นดิจิทัลของ Tencent ที่ขโมยมาทำให้สามารถเลี่ยงการตรวจจับของ Anti-Virus ได้ ส่วนพฤติกรรมของ ransomware ไม่เพียงเข้ารหัสไฟล์ในเครื่องแต่ยังขโมยข้อมูลล็อกอินเว็บไซต์และโซเชียลมีเดียชื่อดังของจีนที่เก็บเอาไว้ในเครื่องด้วย ก่อนจะเรียกค่าไถ่เป็นเงินเพียง 110 หยวนหรือราว 550 บาทเท่านั้นผ่านทาง WeChat Pay ภายใน 3 วัน มิเช่นนั้นจะลบกุญแจถอดรหัสทิ้ง

No Description

อย่างไรก็ตามนักวิจัยด้านความปลอดภัยพบว่าการเข้ารหัสไฟล์ของ ransomware ตัวนี้ใช้แค่อัลกอริทึม XOR และเก็บกุญแจถอดรหัสเอาไว้ในเครื่องเหยื่อด้วยที่

%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg

ทำให้ทีมนักวิจัยปล่อยโปรแกรมถอดรหัส ransomware ตัวนี้ออกมาฟรีๆ

นักวิจัยยังพบตัวตนของแฮกเกอร์แล้วด้วย เป็นซอฟต์แวร์โปรแกรมเมอร์ชื่อว่า Lau ซึ่งแอคเคาท์ QQ, เลขโทรศัพท์, ไอดี AliPay และอีเมลตรงกับข้อมูลที่นักวิจัยได้มาจากแอคเคาท์ WeChatPay ที่ระบุเอาไว้ตอนเรียกค่าไถ่

Get latest news from Blognone

Comments

By: IDCET
Contributor
on 6 December 2018 - 14:15 #1085742

คนแฮ็กโดนคุกชัวร์ หาเจอง่ายแบบนี้

By: Auftrag on 6 December 2018 - 15:37 #1085768
Auftrag's picture

กำจัดเฉพาะกลุ่มผู้ใช้ชาวจีน => จำกัดเฉพาะกลุ่มผู้ใช้ชาวจีน ?

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 6 December 2018 - 15:46 #1085771

จีนใช้ TOR ไม่ได้สินะ แถมพอเรียกค่าไถ่เข้า WeChat เลยตามได้ง่ายอีก

By: schanon
Android
on 7 December 2018 - 10:28 #1085921
schanon's picture

ใช้แมคยังคงปลอดภัยเหมือนเดิมสินะ