Kaspersky รายงานผลการวิเคราะห์การเข้ารหัสของมัลแวร์ TorLocker หรือชื่อที่ทางบริษัทเรียกคือ Trojan-Ransom.Win32.Scraper โดยตอนนี้พบสองรุ่นที่ระบาดคือ 1.0.1 และ 2.0 มุ่งโจมตีชาวญี่ปุ่น เรียกค่าไถ่ข้อมูลประมาณ 300 ดอลลาร์ โดยตอนนี้สามารถถอดรหัสไฟล์ได้บางส่วนแล้ว

มัลแวร์จะไล่ลบ system recovery point ของระบบ แล้วเข้ารหัสไฟล์รูปภาพ, วิดีโอ, เอกสาร, อิมเมจฮาร์ดดิสก์, และไฟล์บีบอัดแทบทุกสกุล ไปจนถึงไฟล์กุญแจเข้ารหัส จากนั้นจึงดาวน์โหลด Tor เพื่อเชื่อมต่อกับเซิร์ฟเวอร์แล้วเรียกค่าไถ่

ตัวไฟล์ข้อมูลของเหยื่อจะถูกเข้ารหัสด้วย AES-256 ที่สุ่มขึ้นมาในเครื่อง จากนั้นกุญแจของ AES จึงถูกเข้ารหัสอีกครั้งด้วยกุญแจสาธารณะ RSA-2048 ที่ติดมากับตัวมัลแวร์ 128 ชุด มัลแวร์จะเลือกกุญแจ RSA จากชื่อเครื่องและหมายเลขซีเรียลของโวลุ่มฮาร์ดดิสก์ บางครั้งกุญแจเข้ารหัสจึงซ้ำกันระหว่างเหยื่อคนละราย

ทาง Kaspersky ระบุว่าข้อผิดพลาดในการอิมพลีเมนต์การเข้ารหัสทำให้ทาง Kaspersky สามารถถอดรหัสให้กับเหยื่อได้ถึง 70% ขึ้นไป และเปิดให้ดาวน์โหลดเครื่องมือถอดรหัสได้ฟรี โดยยังไม่เปิดเผยว่าผู้ร้ายทำผิดอย่างไร

ผู้สร้าง TorLocker ขายเครื่องมือปรับแต่งมัลแวร์พร้อมกับรายงานความสำเร็จของลูกค้าในปีที่ผ่านมา ทั้งญี่ปุ่น, สหราชอาณาจักร, และอินโดนีเซีย

ที่มา - Kaspersky, The Register