Ransomware

หลังจาก TeslaCrypt อำลาวงการ ขอต้อนรับน้องใหม่ในวงการโปรแกรมเรียกค่าไถ่ Crysis

เป็นเวลาสองอาทิตย์ตั้งแต่ ESET ปล่อยโปรแกรมถอดรหัส TeslaCrypt ที่สามารถถอดรหัสโปรแกรมเรียกค่าไถ่ของ TeslaCrypt และนำไฟล์กลับมาได้ เนื่องจากผู้ดำเนินงาน TeslaCrypt ยุติการแพร่กระจาย และเปิดโอกาสผู้ใช้ 32,000 คนทั่วโลกถอดรหัส

decryptor_downloads_map_wls

ถึงแม้ TeslaCrypt จะถอนตัวออกจากวงการ แต่มัลแวร์ที่มีความสามารถในการเอาเงินออกจากกระเป๋าของคุณ ก็ยังคงระบาดไปทั่ว อย่าง JS/TrojanDownloader.Nemucod และ JS/Danger.ScriptAttachment ที่เป็นพาหะของ Locky Ransomware

จากสถิติของ ESET LiveGrid® พบหน้าใหม่ที่กำลังหนักระบาดในชื่อว่า Win32/Filecoder.Crysis

ผลวิเคราะห์ของ ESET บอกว่าโปรแกรมเรียกค่าไถ่ชนิดนี้สามารถเข้ารหัสไฟล์ และไดร์ฟต่างๆ ด้วยการเข้ารหัสที่ยากเกินที่จะถอดรหัส โดยเส้นทางที่อาชญากรใช้เพื่อแพร่กระจายโปรแกรมเรียกค่าไถ่ คืออีเมล์สแปม ที่ซ่อนเทคนิคเอาไว้มากมาย

อีกสาเหตุหนึ่งของการติดโปรแกรมเรียกค่าไถ่ ก็คือการติดตั้งแอปพลิเคชั่นปลอม ที่ผู้ผลิตอาจจะซ่อนมัลแวร์เอาไว้ เพื่อใช้เข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์ของคุณได้

Crysis ransomware มีความสามารถเริ่มการทำงานพร้อมระบบปฏิบัติการ เมื่อมันเริ่มทำงาน มันจะเข้ารหัสไฟล์ทุกไฟล์ แม้กระทั่งไฟล์ที่ไม่มีนามสกุล เหลือไว้เพียงไฟล์ที่จำเป็นของระบบปฏิบัติการ และมัลแวร์ หลังจากนั้นโทรจันจะทำการรวบรวมชื่อของคอมพิวเตอร์ และจำนวนไฟล์ที่ทำการเข้ารหัสไว้ เพื่อส่งให้อาชญากร ในบางกรณี มัลแวร์สามารถให้สิทธิ์ในการควบคุมคอมพิวเตอร์กับอาชญากร เพื่อขยายขอบเขตการเข้ารหัส

How-to-decrypt-your-files

หลังจากที่กระบวนการของมัลแวร์เสร็จสิ้น จะมีไฟล์ปรากฎบนหน้าจอ Desktop เพื่อบอกวิธีการถอดรหัส และการชำระเงินค่าไถ่ ขั้นแรกเหยื่อจะได้รับอีเมล์ของอาชญากรเพียงสองอีเมล์ และเมื่อเหยื่อทำการติดต่อถึงจะได้ทราบข้อมูลขั้นต่อไป

ราคาของค่าไถ่จะอยู่ประมาณ 400 ถึง 900 ยูโร ซึ่งเหยื่อจะต้องจ่ายเป็นเงิน Bitcoin เพื่อให้เงินถึงอาชญากร แต่อย่างไรก็ตามสำหรับผู้ที่ได้รับผลกระทบจากโปรแกรมเรียกค่าไถ่สายพันธุ์ Win32/Filecoder.Crysis ยังพอมีโอกาสกู้ไฟล์กลับมาด้วยความช่วยเหลือของทีมงาน ESET

%d bloggers like this: