Ransomware

ESET ปล่อยโปรแกรมถอดรหัสโปรแกรมเรียกค่าไถ่สายพันธุ์ AESNI และ XData

โปรแกรมถอดรหัสสำหรับโปรแกรมเรียกค่าไถ่สายพันธุ์ AES-NI และ XData

ESET ได้ปล่อยโปรแกรมถอดรหัสสำหรับผู้ใช้ที่ติดมัลแวร์โปรแกรมเรียกค่าไถ่ AES-NI สายพันธุ์ B ซึ่งได้คีย์มาจากฟอรั่มของ BleepingComputer.com

รหัสของโปรแกรมถอดรหัสยังมีให้เห็นออกมาเรื่อยๆ ก่อนหน้านี้ทางเราก็เพิ่งอัพเดตโปรแกรมถอดรหัสของ Crysis Ransomware และต่อมาก็เป็น AES-NI Ransomware ในชื่อสายพันธุ์ Win32/Filecoder.AESNI.B และ Win32/Filecoder.AESNI.C หรืออีกชื่อของ XData Ransomware

สำหรับผู้ใช้ที่ติดโปรแกรมเรียกค่าไถ่ของ AES-NI สามารถดาวน์โหลดโปรแกรมได้ที่นี่: AES-NI decryption tool

โปรแกรมถอดรหัสนี้สามารถถอดรหัสไฟล์ของ AES-NI สายพันธุ์ B นามสกุล .aes256 .aes_ni และ .aes_ni_0day และ AES-NI สายพันธุ์ C (หรือ XData) นามสกุล .~xdata~

สำหรับผู้ใช้ที่ติดโปรแกรมเรียกค่าไถ่สายพันธุ์อื่นๆสามารถหาข้อมูลและดาวน์โหลดโปรแกรมถอดรหัสของเราได้ที่หน้า Utilities ของ ESET และสามารถติดตามข่าวและหาข้อมูลเพิ่มสำหรับโปรแกรมเรียกค่าไถ่ที่ยังไม่สามารถถอดรหัสได้ที่ ESET Knowledgebase

ใครเป็นคนปล่อยรหัสเหล่านี้?

ครั้งแรกของ AES-NI หรือสายพันธุ์ A รหัสถูกปล่อยบนเว็บไซต์ช่วยเหลือผู้ใช้ที่ติดโปรแกรมเรียกค่าไถ่ของ AES-NI ต่อมารหัสของโปรแกรมเรียกค่าไถ่ AES-NI สายพันธุ์ B ก็ถูกปล่อยบน Twitter โดยผู้เขียนเอง และท้ายที่สุดของ XData หรือสายพันธุ์ C ถูกปล่อยโดยบุคคลนิรนาม

ทาง BleepingComputer บอกว่าผู้อยู่เบื้องหลัง AES-NI Ransomware บอกว่าโค้ดของโปรแกรมเรียกค่าไถ่ถูกขโมยและต่อมาก็ไปปรากฎอยู่แผนการของ XData ในประเทศยูเครน

โดยทั่วไปแล้วมัลแวร์จะมีความสามารถจำกัดพื้นที่แพร่ระบาด ด้วยเทคนิคของผู้เขียนโค้ดอันตรายจากรัสเซียเพื่อป้องกันตัวเองจากกฎหมายและรัฐบาล แต่ในกรณีของ XData กลับถูกนำไปใช้โดยกำหนดเป้าหมายเป็นประเทศยูเครนแทน

Author: ONDREJ KUBOVIČ
Source:
https://www.welivesecurity.com/2017/05/31/eset-releases-new-decryption-tool-aes-ni-ransomware/
Translated by: Worapon H.

%d bloggers like this: