Ransomware Top Stories

Crypto-Ransomware ใหม่โจมตี macOS

ถึงคิว Apple ที่ต้องรับมือกับ Ransomware แล้วบน macOS ผ่านช่องทาง BitTorrent

Crypto-Ransomware หรือโปรแกรมเรียกค่าไถ่แบบเข้ารหัสกำลังเป็นที่นิยมของเหล่าแฮกเกอร์ ซึ่งส่วนมากมีเป้าหมายเป็น Windows เป็นหลัก แต่ก็ใช่ว่า Linux และ macOS จะไม่ได้โดยหมายหัวเหมือนกัน อย่าง KillDisk ที่โจมตี Linux และ KeRanger ที่โจมตี OS X

ล่าสุด พวกเราพบโปรแกรมเรียกค่าไถ่ตัวใหม่บนแพลตฟอร์ม Mac ที่ใช้ประโยชน์จากโปรแกรม Swift และกำลังกระจายผ่าน BitTorrent และเรียกตัวเองว่า “Patcher” ซึ่งแน่นอนว่าเป็นโปรแกรมละเมิดลิขสิทธิ์

การแพร่กระจาย

1_torrent_site-z1uzu-768x751

ไฟล์ Torrent ดังกล่าวบรรจุไฟล์ ZIP ที่มี 2 แอปพลิเคชั่นของ “Patcher” อยู่ หนึ่งอันเป็นของ Adobe Premiere Pro และอีกอันเป็น Microsoft Office for Mac ซึ่งทางเราสันนิษฐานว่า Patcher อาจมีในแอปพลิเคชั่นอื่นด้วย

2_icons-b07pj

แอปพลิเคชั่นนี้เขียนด้วยโค้ดทั่วไป ใช้หน้าต่างเป็นแบบโปร่งใส และไม่สามารถเปิดขึ้นมาอีกได้หากปิดไปแล้วหนึ่งครั้ง

ภายในแอปพลิเคชั่นบรรจุตัวเรียกไฟล์ NULL.prova ซึ่งเป็นคีย์ที่ไม่ได้มาจาก Apple

$ codesign -dv “Office 2016 Patcher.app”
Executable=Office 2016 Patcher.app/Contents/MacOS/Office 2016 Patcher
Identifier=NULL.prova
Format=app bundle with Mach-O thin (x86_64)
CodeDirectory v=20100 size=507 flags=0x2(adhoc) hashes=11+3 location=embedded
Signature=adhoc
Info.plist entries=22
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=14
Internal requirements count=0 size=12

3_transparent_window-539w0-768x632

ขั้นตอนการเข้ารหัส

เมื่อคลิกปุ่ม ‘Start’ (ตามภาพ) การเข้ารหัสจะเริ่มต้นขึ้น เริ่มจากการก๊อปปี้ไฟล์ README!.txt และวางลงในทุก Directory อย่าง “Documents” และ “Photos”

หลังจากนั้นโปรแกรมเรียกค่าไถ่ก็จะสุ่มตัวอักษรขึ้นมา 25 ตัวเพื่อเป็นรหัสในการเข้ารหัสไฟล์ ซึ่งรหัสนี้จะถูกใช้สำหรับไฟล์ทั้งหมดและถูกแจกแจงด้วยคำสั่ง find และใช้ ZIP เป็นเก็บไฟล์ที่เข้ารหัส

หลักจากนั้นไฟล์เดิมก็จะถูกลบด้วย rm และไฟล์ที่เข้ารหัสใหม่ทั้งหมดจะถูกตั้งเวลาไว้วันที่ 13 กุมภาพันธ์ 2010 ด้วยคำสั่ง touch แต่จุดประสงค์ที่เปลี่ยนเวลาไฟล์ยังไม่สามารถระบุได้ เมื่อการเข้ารหัสเสร็จสิ้น โปรแกรมจะมุ่งไปยังส่วนอื่ยที่อยู่ใต้ /Volumes

4_crypted-qfe5s

สิ่งที่เหยื่อได้รับหลังจากนั้นก็คือไฟล์ README!.txt ภายในไฟล์มีข้อความให้ชำระเงินผ่านบัญชี Bitcoin ตามราคาที่แฮกเกอร์กำหนด โดยข้อความมีดังนี้:

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption method.

What do I do ?

So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT

FOLLOW THESE STEPS:

1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)

KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME!

การถอดรหัสเป็นไปไม่ได้?

ปัญหาใหญ่ของ Ransomware บน Mac ตัวนี้ก็คือตัวมันเองไม่มีโค้ดเพื่อที่จะติดต่อกับเซิร์ฟเวอร์ C&C ซึ่งหมายความว่าเราไม่สามารถติดตามเอารหัสมาเพื่อปลดล็อคได้เลย

ซึ่งนั่นก็หมายความว่าแฮกเกอร์ก็ไม่สามารถถอดรหัสไฟล์กลับคืนมาให้เราได้เหมือน เพราะฉะนั้นการยอมจ่ายเงินเป็นเรื่องที่ไม่สมควรทำอย่างยิ่ง

ข้อสรุป

Crypto-Ransomware บน macOS ตัวนี้ยังไม่สมบูรณ์เพราะแฮกเกอร์ยังไม่สามารถถอดรหัสของตัวเองได้ แต่อย่างไรก็ตามก็คงมีคนจำนวนไม่น้อยที่ยอมจ่ายเงิน

ความเสี่ยงจากการใช้ซอฟต์แวร์เถื่อนมีมากขึ้นทุกวัน เพราะเราไม่อาจทราบได้เลยว่าโปรแกรมนั้นมีไว้เพื่อปลอมใบอนุญาตเพียงอย่างเดียวหรือมีอย่างอื่นแอบแฝงมาด้วย ESET จึงขอแนะนำให้ผู้ใช้ติดตั้งโปรแกรมรักษาความปลอดภัย เพื่อผ่อนหนักเป็นเบาได้ และทางที่ดีที่สุดสำหรับการรับมือกับ Ransomware ก็คือการสำรองข้อมูล ซึ่งทางเราก็เคยเปรียบเทียบข้อดี-ข้อเสียของการสำรองข้อมูลแต่ละแบบไว้แล้วที่นี่เลย

6 วิธีสำรองข้อมูล

Author: MARC-ETIENNE M.LÉVEILLÉ
Source:
http://www.welivesecurity.com/2017/02/22/new-crypto-ransomware-hits-macos/
Translated by: Worapon H.

%d bloggers like this: