Ransomware

CTB-Locker : มัลลแวร์เรียกค่าไถ่หลายภาษา

ในบทความก่อนหน้านี้เราได้เคยพูดถึง Ransomware ซึ่งเป็นภัยคุกคามที่อยู่ใกล้ตัวคุณ และเกิดขึ้นบ่อยในหลายภูมิภาค ไม่นานมานี้ผ่านมาเราได้รับรายงานการแพร่กระจายของมัลแวร์ในหลายประเทศในแถบละตินอเมริกา และยุโรปตะวันออก อีเมล์หลอกลวงนี้บรรจุไฟล์แนบที่อ้างว่าเป็นเอกสารแฟกช์ ซึ่งจริงๆ แล้วไม่ได้มีอะไรมากไปกว่าการแฝงตัวของโค้ดที่เป็นอันตราย โดยมีเป้าหมายสูงสุดอยู่ที่การเข้ารหัสไฟล์เพื่อเรียกค่าไถ่เป็น Bitcoins สำหรับการปลดล็อกรหัส เพื่อเอาข้อมูลกลับมา

CTB_ransomware_2-1024x612

ในบทความนี้เราจะเห็นว่า CTB-Locker Ransomware การกระจายตัวของมัลแวร์ ซึ่งสร้างความปวดหัวให้ผู้ใช้นับพัน ทั้งใน โปแลนด์ เม็กซิโก และในเม๊กซิโกเป็นที่ที่มีการติดเชื้อมากที่สุด เราสามารถดูผลกระทบได้จากกราฟิกที่มีการเปรียบเทียบเป็นเปอร์เซ็นต์การติดเชื้อในแต่ละประเทศ

การโจมตีเริ่มจากอีเมล์หลอกลวงที่เข้ามายังกล่องรับจดหมายของคุณ โดยอีเมล์อ้างว่าสิ่งที่แนบมาด้วยคือ เอกสารแฟกซ์ ไฟล์ถูกตรวจพบโดย ESET ว่าเป็น Win32/TrojanDownloader.Elenoocka ถ้าคุณเปิดไฟล์แนบออก และโปรแกรมป้องกันไวรัสของคุณไม่อัพเดตพอ ไฟล์ Win32/FileCoder.DA จะถูกดาวน์โหลดมายังเครื่องของคุณ และไฟล์ทั้งหมดของคุณจะถูกเข้ารหัส และคุณจะเสียมันไปตลอดกาล จนกว่าคุณจะจ่ายค่าไถ่ด้วย Bitcoins เพื่อทำการปลดรหัส

CTB_ransomware_3

ไฟล์ Win32/TrojanDownloader.Elenoocka จะทำการเชื่อมต่อไปยัง URL เพื่อดาวน์โหลดไฟล์ Win32/FileCoder.DA หรือที่รู้จักกันในชื่อ CTB-Locker ซึ่ง Ransomware ในตระกูลนี้จะทำการเข้ารหัสไปทั้งหมดคล้ายกับ CryptoLocker ความแตกต่างของมัลแวร์สองแบบนี้คือ อัลกอริธึมในการเข้ารหัส

ผลที่ออกมาก็จะคล้ายกับ CryptoLocker หรือ TorrentLocker ไฟล์นามสกุล .mp4, .pem, .jpg, .doc, .cer, .db และอื่นๆ จะถูกเข้ารหัสไว้ และต้องใช้กุญแจในการปลดล็อก เมื่อมัลแวร์ทำการเข้ารหัสเรียบร้อยแล้ว มันจะแสดงข้อความเตือนและเปลี่ยนฉาก Background เป็นข้อความที่คล้ายกับรูปด้านล่างนี้

CTB_ransomware_4

ข้อความจะแสดงในภาษาเยอรมัน ดัตช์ อิตาเลี่ยน และ อังกฤษ โดยจะเปลี่ยนไปตามภูมิภาค แม้ว่าภาษาสเปนจะไม่ได้ปรากฏเป็นหนึ่งในข้อความเรียกค่าไถ่ แต่ก็พบว่ามีการติดเชื้อในประเทศที่ใช้ภาษาสเปน เพื่อสร้างความมั่นใจให้กับผู้ใช้ว่าพวกเขาจะสามารถได้ไฟล์กลับมา อาชญากรไซเบอร์จะมีตัวอย่างแสดงให้เห็นการทำงานในการถอดรหัส ซึ่งดูได้จากรูปด้านล่าง

CTB_ransomware_5
CTB_ransomware_6

เมื่อผู้ใช้ได้ดูการแสดงตัวอย่างไปแล้ว แฮกเกอร์จะแสดงการถอดรหัสไฟล์ และสถานที่ที่จะส่ง Bitcoins (BTC) พวกเขายังมีวิธีที่จะแลกเปลี่ยน Bitcoins ในกรณีที่ผู้ใช้ไม่ได้เงินในสกุลนี้

CTB_ransomware_7

รายละเอียดอื่นที่แปลกประหลาดของ CTB-Locker คือ ไม่เพียงจะแสดงเป็นข้อความให้กับผู้ใช้ในภาษาที่แตกต่างกัน แต่ก็ยังมีการแสดงสกุลเงินที่เหมาะสมกับภาษาที่ใช้ หากผู้ใช้เลือกที่จะดูข้อความในภาษาอังกฤษสกุลเงินจะเป็นดอลลาร์สหรัฐ กรณีที่อยู่ในยุโรปค่าไถ่ 8 Bitcoins จะมีมูลค่าประมาณ 1,680 ดอลลาร์

จากมุมมองด้านเทคนิค Win32 / TrojanDownloader.Elenoocka.A เป็นภัยคุกคามขนาดเล็กที่เรียบง่าย และมีรูปแบบการแสดงที่แตกต่างกัน และเรายังเห็นสิ่งที่แนบมากับไฟล์ตัวอย่าง invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr หรือ invoice_2015_01_20-15_33 .scr. เราเห็นว่ากลุ่มตัวอย่างมีการสุ่มคำจาก stride_invoice_2015_01_20-15_33.scr, tiger_invoice_2015_01_20-15_38.scr เป็นต้น หลังจากนั้นมันจะเปิดเอกสารใน Word เอกสารนี้พบอยู่ในชื่อ DATA ที่ถูกเก็บอยู่ใน CAB

เป็นเรื่องที่น่าเศร้าว่า เทคนิคการเข้ารหัส CTB-Locker มีความเป็นไปได้ว่าจะไม่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสไว้ อย่างไรก็ตามมี เรามีมาตรการความปลอดภัยแนะนำสำหรับองค์กรหรือผู้ใช้ทั่วไป

• ถ้าคุณมีระบบรักษาความปลอดภัยสำหรับอีเมล์เซิร์ฟเวอร์ ให้เปิดการคัดกรองนามสกุลไฟล์ (Filtering by Extension) มันจะช่วยให้บล็อกไฟล์ที่มีความเสี่ยงเช่น .scr ซึ่งถูกใช้โดย Win32 / TrojanDownloader.Elenoocka.A
• หลีกเลี่ยงการเปิดไฟล์แนบอีเมล์จากคนที่ไม่รู้จัก
• ลบอีเมล์หรือตั้งค่าสแปมเพื่อป้องกันไม่ให้ผู้ใช้อื่นหรือพนักงานในองค์กรได้รับผลกระทบจากภัยคุกคามนี้
• อัพเดตระบบรักษาความปลอดภัยให้ทันสมัยเสมอ เพื่อการตรวจจับภัยคุกคามล่าสุดที่มีการแพร่กระจายได้อย่างมีประสิทธิภาพ และเปิด ESET LiveGrid เอาไว้ตลอดเวลา
• หมั่นสำรองข้อมูลเอาไว้เสมอ

การบรรเทาการโจมตีไม่ใช่เรื่องง่าย คุณจำเป็นจะต้องมีการป้องกันในเชิงรุก โดยการสนับสนุนด้านเทคโนโลยีการรักษาความปลอดภัยด้วยการตื่นตัวที่จะรับรู้และศึกษา เคล็ดลับข้างตันจะช่วยให้คุณและองค์กรของคุณหลีกเลี่ยงกับปัญหานี้และภัยคุกคามในรูปแบบที่คล้ายกัน

Hashes:
• 81F68349B12F22BEB8D4CF50EA54D854EAA39C89 Win32/FileCoder.DA
• 0D4B6401EB5F89FF3A2CF7262872F6B3D903B737 Win32/FileCoder.DA
• 1DA7B3538A1D8B89179E17E91C7061B19932BBC8 Win32/TrojanDownloader.Elenoocka.A
• FE565E5589D496B838E037E99AA59E931129B7DA Win32/TrojanDownloader.Elenoocka.A
• 576BCD87B7EC38DE302201EC460DB9C0819B473A Win32/TrojanDownloader.Elenoocka.A

Welivesecurity

0 comments on “CTB-Locker : มัลลแวร์เรียกค่าไถ่หลายภาษา

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: