Ransomware

เซิร์ฟเวอร์ Nemucod รับใช้ Ransomware กับ ad-clickers

บทความเมื่อไม่นานมานี้ทาง ESET เล่าให้ฟังเกี่ยวกับ Nemucod ที่ผันตัวเองจากการเป็นเครื่องมือแพร่กระจายโปรแกรมเรียกค่าไถ่ กลายเป็นช่องทางดาวน์โหลดให้กับแพ็คเกจโฆษณาปลอม

เช่นเดียวกับแต่ก่อน เป้าหมายจะได้รับอีเมล์ที่แนบไฟล์ Javascript (.JS) ที่ติดไวรัส หรือก็คือตัวดาวน์โหลด ทันทีที่เปิดมันขึ้นมา มันจะดาวน์โหลดไฟล์อย่างน้อย 5 ไฟล์พร้อมกัน โดยสองไฟล์แรกเป็น ad-clickers ที่โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Win32/Kovter และ Win32/Boaxxe

แต่นั่นเป็นเพียงจุดเริ่มต้น ไฟล์อีกสามไฟล์ที่เหลือมีหน้าที่ๆชัดเจนคือ ค้นหาไฟล์ที่เป็นประโยชน์บนคอมพิวเตอร์ และทำการเข้ารหัส เพื่อเข้าสู่กระบวนการของโปรแกรมเรียกค่าไถ่ มีไฟล์หนึ่งที่ ESET สามารถตรวจจับได้ในชื่อ PHP/Filecoder.D ที่เป็นตัวการดาวน์โหลด และเริ่มกิจกรรมอันตราย

ผลก็คือ ไฟล์กว่า 120 นามสกุล อย่างไฟล์ Microsoft Office, รูปภาพ, วิดีโอ, ไฟล์เสียง และ ฯลฯ จะกลายเป็นไฟล์นามสกุล .crypted หลักจากนั้น Nemucod จะสร้างไฟล์ Text ส่งข้อความเรียกค่าไถ่

กลับมาที่ Boaxxe สามารถใช้การควบคุมระยะไกลที่สามารถดาวน์โหลด และติดตั้งไฟล์บนเบราว์เซอร์อย่าง Chrome และ Firefox มากกว่านั้นคือ โทรจันตัวนี้เชื่อมต่อกับ C&C เซิร์ฟเวอร์

พวกเราพบเจ้า Nemucod ระลอกใหญ่เมื่อไม่นานมานี้บนแผ่นดินเจ้าภาพ Olympic Brazil ที่แพร่กระจาย Win32/Spy.Banker.ADEA ทั่วประเทศบราซิลเพื่อขโมยข้อมูลทางการเงิน

%d bloggers like this: