Symantec ออกรายงานวิเคราะห์มัลแวร์กลุ่มที่เข้ารหัสข้อมูลผู้ใช้เพื่อเรียกเป็นตัวประกัน (Ransomware) ตัวที่ระบาดก่อนหน้านี้คือ Cryptolocker ตอนนี้มีรายงานมัลแวร์ในกลุ่มเดียวกันตัวใหม่คือ CryptoDefence ที่พัฒนาขึ้นมามาก

CryptoDefence จะถูกส่งไปยังเครื่องของเหยื่อผ่านทางสแปมเมล เมื่อติดลงในเครื่องแล้วมัลแวร์จะเริ่มส่งข้อมูลเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์ สร้างคู่กุญแจ RSA-2048 แล้วส่งกุญแจลับกลับไปยังเซิร์ฟเวอร์พร้อมสกรีนชอตของเหยื่อ

เมื่อเข้ารหัสแล้วมัลแวร์จะทิ้งไฟล์บอกให้เหยื่อติดต่อกลับ ด้วยการติดตั้งเบราว์เซอร์เพื่อเชื่อมต่อผ่าน Tor จากนั้นจึงให้เข้าเว็บที่ซ่อนไว้ในเครือข่าย Tor แล้วเรียกค่าถอดรหัสจากเหยื่อ 500 ดอลลาร์ ภายในเวลาที่กำหนด หากเหยื่อไม่ยอมทำตามจะเพิ่มค่าถอดรหัสเป็น 1000 ดอลลาร์โดยให้เหยื่อจ่ายเงินผ่าน Bitcoin

ทีมงาน Symantec ติดตามมัลแวร์ตัวนี้พบว่ามี Bitcoin address อยู่สองชุดที่ใช้รับเงินจากเหยื่อ เมื่อดูรายการเงินเข้าออกพบว่าผู้สร้าง CryptoDefence ได้รับเงินไปแล้วถึง 34,000 ดอลลาร์ภายในระยะเวลาเพียงเดือนกว่าๆ (บัญชีแรกเปิดวันที่ 28 กุมพาพันธ์ที่ผ่านมา)

ตัวกุญแจ RSA นั้นสร้างขึ้นในเครื่องของเหยื่อเองผ่าน CryptoAPI ของวินโดวส์ อย่างไรก็ดีการอิมพลีเมนต์ของมัลแวร์ตัวนี้มีข้อผิดพลาดทำให้ไฟล์กุญแจลับถูกซ่อนไว้ในเครื่องของเหยื่อเอง ทาง Symantec สามารถใช้ไฟล์นี้นำมากู้ไฟล์ให้ลูกค้าได้

ที่มา - Symantec