Encryption Malware Ransomware

KillDisk โจมตีระบบปฏิบัติการ Linux: เรียกค่าไถ่กว่า 250,000 เหรียญสหรัฐฯ, แต่ไม่ยอมถอดรหัส

KillDisk Ransomware อดีตมัลแวร์ทำลายไฟล์ สายพันธุ์ใหม่กับความสามารถเข้ารหัสไฟล์กับค่าไถ่ที่เกินเอื้อม

นักวิจัยของ ESET พบสายพันธุ์ของมัลแวร์ KillDisk บนระบบปฏิบัติการ Linux ที่เคยถูกใช้ในประเทศยูเครนเพื่อโจมตีโครงสร้างพื้นฐานของประเทศในช่วงปลายปี 2015 และสถาบันการเงินในเดือนธันวาคม 2016 KillDisk สายพันธุ์นี้ทำให้เครื่อง Linux บูทไม่ได้ หลังจากนั้นจะเข้ารหัสไฟล์และเรียกเงินค่าไถ่ แต่ถึงจะยอมจ่ายเงินแล้ว โอกาสที่จะถอดรหัสไฟล์ถือว่ายังน้อย

KillDisk จากลบไฟล์เป็นเข้ารหัสไฟล์

KillDisk เป็นมัลแวร์อันตรายที่โด่งดังจากฝีมือของกลุ่ม BlackEnergy ที่ป่วนโรงไฟฟ้าของยูเครนเมื่อธันวาคม 2015 และโจมตีองค์กรข่าวของยูเครนในเดือนพฤศจิกายน 2015 ทางเราพบว่าวินาศกรรมครั้งหนึ่งใช้ KillDisk เป็นเครื่องมือป่วนสถาบันการเงินในยูเครน

KillDisk สายพันธุ์ใหม่นี้มาพร้อมกับความสามารถที่น่ากลัวกว่าเดิมซึ่งก็คือ Ransomware ข้อความเรียกค่าไถ่จะใช้ถ้อยคำยั่วยุแปลเป็ฯใจความได้ว่า “พวกเราขออภัยเป็ยอย่างยิ่ง…” และเรียกเงินจากเหยื่อเป็นจำนวนมหาศาล (222 Bitcoin หรือประมาณ 250,000 เหรียญสหรัฐฯ)

fig_1

Ransomware KillDisk มีเป้าหมายเป็บระบบปฏิบัติการ Windows และ Linux ทั้งเครื่องทำงานและเครื่องเซิร์ฟเวอร์

สำหรับสายพันธุ์ของ Windows โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Win32/KillDisk.NBK และ Win32/KillDisk.NBL ใช้การเข้ารหัสแบบ AES (256-bit) และสร้างคีย์ด้วย CryptGenRandom สำหรับ (1024-bit) เป็น RSA

fig_2

ทั้งระบบปฏิบัติการ Windows และ Linux ใช้ข้อความเรียกค่าไถ่เดียวกัน ค่าไถ่เท่ากัน และอีเมล์เดียวกัน

ทำไม KillDisk ถึงเลือก Ransomware?

โดยปกติแล้ว KillDisk เป็นมัลแวร์ที่มีความสามารถในการทำลายไฟล์บนดิสก์ แต่ครั้งนี้กลับเป็นการเข้ารหัสแทน และที่เราสังเกตได้ก็คือค่าไถ่ที่ตั้งไปถึง 250,000 เหรียญสหรัฐฯ ซึ่งมากเกินที่คนทั่วไปที่จะยอมจ่าย เราอาจสรุปได้คร่าวๆว่า KillDisk Ransomware ไม่ได้มีจุดประสงค์เพื่อเงิน

เพราะฉะนั้นถ้าหากคุณหรือคนที่คุณรู้จักโดน Ransomware KillDisk เล่นงาน อย่าแนะนำให้พวกเขาจ่ายเงิน เพราะยังไม่มีอะไรยืนยันว่าพวกเขาจะได้ไฟล์คืนแน่นอน วิธีที่จะรับมือกับ Ransomware คือความเข้าใจเกี่ยวกับมัลแวร์ ซอฟต์แวร์เวอร์ชันล่าสุด และโปรแกรมรักษาความปลอดภัย และการสำรองข้อมูล

Indicators of Compromise (IoCs)

SHA1 file hashes

Win32/KillDisk.NBK trojan and Win32/KillDisk.NBL trojan:

2379A29B4C137AFB7C0FD80A58020F5E09716437
25074A17F5544B6F70BA3E66AB9B08ADF2702D41
95FC35948E0CE9171DFB0E972ADD2B5D03DC6938
B2E566C3CE8DA3C6D9B4DC2811D5D08729DC2900
84A2959B0AB36E1F4E3ABD61F378DC554684C9FC
92FE49F6A758492363215A58D62DF701AFB63F66
26633A02C56EA0DF49D35AA98F0FB538335F071C

Linux/KillDisk.A trojan:

8F43BDF6C2F926C160A65CBCDD4C4738A3745C0C

Ransom message

We are so sorry, but the encryption
of your data has been successfully completed,
so you can lose your data or
pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF
with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org

Author: Robert Lipovsky and Peter Kalnai
Source: http://www.welivesecurity.com/2017/01/05/killdisk-now-targeting-linux-demands-250k-ransom-cant-decrypt/
Translated by: Worapon H.

%d bloggers like this: