มัลแวร์เรียกค่าไถ่บนจาวาสคริปต์ Ransom32 เริ่มแพร่กระจาย

By pe3z Writer on Tag: Security, Ransomware
Security

บริษัท Emsisoft ได้เปิดเผยการค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ซึ่งถูกพัฒนาอยู่บนพื้นฐานของภาษาจาวาสคริปต์ภายใต้ชื่อว่า Ransom32 ซึ่งใช้การติดต่อถึงเซิร์ฟเวอร์ออกคำสั่งและควบคุม (C&C server) บนเครือข่าย Tor และใช้ช่องทางการโอนเงินค่าไถ่ผ่านบิทคอยน์เป็นหลัก

Ransom32 เป็นหนึ่งในมัลแวร์เรียกค่าไถ่ซึ่งถูกพัฒนาบนแนวคิดของ SaaS ซึ่งหมายถึงการสร้างมัลแวร์จะอาศัยการตั้งค่าต่างๆ ของมัลแวร์ผ่านเว็บไซต์ซึ่งมักจะอยู่บนเครือข่าย Tor เป็นหลักและเมื่อกำหนดค่าที่ต้องการของมัลแวร์เสร็จก็สามารถสร้างไฟล์สำหรับแพร่กระจายได้ทันที สำหรับ Ransom32 นั้น ผู้ที่ต้องการสร้างมัลแวร์จะต้องกรอกที่อยู่ของบัญชีบิทคอยน์สำหรับรับค่าไถ่เพื่อให้สามารถเข้าไปปรับแต่งตัวเลือกต่างๆ อาทิ จำนวนเงินที่เรียกร้อง, ลักษณะของข้อความแจ้งเตือนหรือเวลาที่ใช้ในการหน่วงก่อนทำงาน เป็นต้น

ส่วนของการแพร่กระจายของ Ransom32 จะถูกดาวโหลดภายใต้ไฟล์ที่มีนามสกุล *.scr ซึ่งแท้จริงแล้วเป็นโปรแกรมที่สามารถรันได้ โดยจะมีขนาดไฟล์ที่ใหญ่กว่ามัลแวร์ปกติหลายเท่าตัว Ransom32 ใช้การสร้างตัวแพร่กระจายโดยการบรรจุไฟล์ที่จำเป็นต่อการทำงานลงไปในลักษณะของไฟล์บีบอัดหรือไฟล์ MSI โดยประกอบไปด้วย ส่วนหลักของมัลแวร์ซึ่งอยู่ในไฟล์จาวาสคริปต์, โปรแกรมสำหรับเครือข่าย Tor และสคริปต์ต่างๆ ที่ใช้ในการเปลี่ยนแปลงการตั้งค่าบนคอมพิวเตอร์ของเหยื่อ

สำหรับในส่วนการทำงานหลักของ Ransom32 จะมีการใช้เฟรมเวิร์คชื่อว่า NW.js ในการพัฒนาโปรแกรมหรือแอพพลิเคชันเพื่อให้สามารถทำงานบนระบบปฏิบัติการต่างๆ ได้ผ่านจาวาสคริปต์ ผลลัพธ์ของการพัฒนาผ่านเฟรมเวิร์คนี้ส่งผลให้ Ransom32 ยังคงไม่สามารถตรวจเจอได้โดยใช้การตรวจจับแบบ signature-based

การทำงานของ Ransom32 มีความคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ โดยการแลกเปลี่ยนกุญแจสำหรับการเข้ารหัสกับเซิร์ฟเวอร์ออกคำสั่งและควบคุมบนเครือข่าย Tor, หลีกเลี่ยงการเข้ารหัสโฟลเดอร์ของระบบ, พุ่งเป้าไปที่ไฟล์เอกสาร ไฟล์รูปภาพและไฟล์มัลติมีเดียทั่วไป Ransom32 ใช้อัลกอริธึม AES ในโหมด CTR บนขนาดของกุญแจ 128 บิตที่แตกต่างกันต่อไฟล์ในการเข้ารหัสแต่ละไฟล์ กุญแจที่ใช้ในการเข้ารหัสไฟล์ทั้งหมดจะถูกเข้ารหัสอีกครั้งโดยใช้กุญแจสาธารณะของ RSA ไม่ระบุขนาด

ในส่วนของการป้องกันและลดผลกระทบจากมัลแวร์เรียกค่าไถ่ วิธีการป้องกันโดยทั่วไปยังเป็นที่แนะนำไม่ว่าจะเป็นการสำรองข้อมูลอย่างสม่ำเสมอ ไม่รันโปรแกรมที่ต้องสงสัย อย่างไรก็ตาม Ransom32 เป็นหนึ่งในตัวอย่างของมัลแวร์ที่สามารถหลบเลี่ยงการตรวจจับโดยโปรแกรมป้องกันมัลแวร์ในวิธีการทั่วไปผ่าน signature ของมัลแวร์ได้ ซึ่งหมายความว่าเราคงจะไม่อาจหวังพึ่งโปรแกรมป้องกันมัลแวร์เพียงอย่างเดียวได้แล้วครับ

ที่มา - Emsisoft

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

pe3z Mon, 04/01/2016 - 11:44

ยังไม่แน่นอนครับ ผมเข้าใจว่า IDS บางตัวสามารถตัวเจอการใช้ Tor ได้ และก็เป็นไปได้ว่าถ้าขั้นตอนการติดต่อผ่าน Tor ถูกขัดขวางไป ขั้นตอนอื่นๆ ก็อาจจะไม่เกิดขึ้นต่อ

toooooooon Mon, 04/01/2016 - 11:45

คือตัว Malware นี่แพร่ช่องทางปกติ แต่

ตอน malware ติดต่อ Server แลกคีย์

จะวิ่งกลับทาง TOR ใช่ไหมครับ ตัวมัลแวร์จึงจำเป็นต้องมี TOR Browser ติดมาคู่กัน

มัลแวร์มันแพร่ทางช่องทางปกติ ???

pe3z Mon, 04/01/2016 - 11:49

ใช่ครับ ตัวมัลแวร์แพร่ช่องทางปกติ เช่น ไฟล์ต้องสงสัยทางอีเมล แต่พอถูกรันแล้วจะต้องติดต่อผ่าน Tor

ผมอาจเขียนไว้ไม่ค่อยชัดเจนเท่าไร แต่ภายในตัวไฟล์มัลแวร์มีการรวม tor client มาไว้แล้วครับ