มัลแวร์เรียกค่าไถ่บนจาวาสคริปต์ Ransom32 เริ่มแพร่กระจาย

By: pe3z
Writer
on 4 January 2016 - 11:31 Tags:
Topics: 
Security
Ransomware
Node Thumbnail

บริษัท Emsisoft ได้เปิดเผยการค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ซึ่งถูกพัฒนาอยู่บนพื้นฐานของภาษาจาวาสคริปต์ภายใต้ชื่อว่า Ransom32 ซึ่งใช้การติดต่อถึงเซิร์ฟเวอร์ออกคำสั่งและควบคุม (C&C server) บนเครือข่าย Tor และใช้ช่องทางการโอนเงินค่าไถ่ผ่านบิทคอยน์เป็นหลัก

Ransom32 เป็นหนึ่งในมัลแวร์เรียกค่าไถ่ซึ่งถูกพัฒนาบนแนวคิดของ SaaS ซึ่งหมายถึงการสร้างมัลแวร์จะอาศัยการตั้งค่าต่างๆ ของมัลแวร์ผ่านเว็บไซต์ซึ่งมักจะอยู่บนเครือข่าย Tor เป็นหลักและเมื่อกำหนดค่าที่ต้องการของมัลแวร์เสร็จก็สามารถสร้างไฟล์สำหรับแพร่กระจายได้ทันที สำหรับ Ransom32 นั้น ผู้ที่ต้องการสร้างมัลแวร์จะต้องกรอกที่อยู่ของบัญชีบิทคอยน์สำหรับรับค่าไถ่เพื่อให้สามารถเข้าไปปรับแต่งตัวเลือกต่างๆ อาทิ จำนวนเงินที่เรียกร้อง, ลักษณะของข้อความแจ้งเตือนหรือเวลาที่ใช้ในการหน่วงก่อนทำงาน เป็นต้น

ส่วนของการแพร่กระจายของ Ransom32 จะถูกดาวโหลดภายใต้ไฟล์ที่มีนามสกุล *.scr ซึ่งแท้จริงแล้วเป็นโปรแกรมที่สามารถรันได้ โดยจะมีขนาดไฟล์ที่ใหญ่กว่ามัลแวร์ปกติหลายเท่าตัว Ransom32 ใช้การสร้างตัวแพร่กระจายโดยการบรรจุไฟล์ที่จำเป็นต่อการทำงานลงไปในลักษณะของไฟล์บีบอัดหรือไฟล์ MSI โดยประกอบไปด้วย ส่วนหลักของมัลแวร์ซึ่งอยู่ในไฟล์จาวาสคริปต์, โปรแกรมสำหรับเครือข่าย Tor และสคริปต์ต่างๆ ที่ใช้ในการเปลี่ยนแปลงการตั้งค่าบนคอมพิวเตอร์ของเหยื่อ

สำหรับในส่วนการทำงานหลักของ Ransom32 จะมีการใช้เฟรมเวิร์คชื่อว่า NW.js ในการพัฒนาโปรแกรมหรือแอพพลิเคชันเพื่อให้สามารถทำงานบนระบบปฏิบัติการต่างๆ ได้ผ่านจาวาสคริปต์ ผลลัพธ์ของการพัฒนาผ่านเฟรมเวิร์คนี้ส่งผลให้ Ransom32 ยังคงไม่สามารถตรวจเจอได้โดยใช้การตรวจจับแบบ signature-based

การทำงานของ Ransom32 มีความคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ โดยการแลกเปลี่ยนกุญแจสำหรับการเข้ารหัสกับเซิร์ฟเวอร์ออกคำสั่งและควบคุมบนเครือข่าย Tor, หลีกเลี่ยงการเข้ารหัสโฟลเดอร์ของระบบ, พุ่งเป้าไปที่ไฟล์เอกสาร ไฟล์รูปภาพและไฟล์มัลติมีเดียทั่วไป Ransom32 ใช้อัลกอริธึม AES ในโหมด CTR บนขนาดของกุญแจ 128 บิตที่แตกต่างกันต่อไฟล์ในการเข้ารหัสแต่ละไฟล์ กุญแจที่ใช้ในการเข้ารหัสไฟล์ทั้งหมดจะถูกเข้ารหัสอีกครั้งโดยใช้กุญแจสาธารณะของ RSA ไม่ระบุขนาด

ในส่วนของการป้องกันและลดผลกระทบจากมัลแวร์เรียกค่าไถ่ วิธีการป้องกันโดยทั่วไปยังเป็นที่แนะนำไม่ว่าจะเป็นการสำรองข้อมูลอย่างสม่ำเสมอ ไม่รันโปรแกรมที่ต้องสงสัย อย่างไรก็ตาม Ransom32 เป็นหนึ่งในตัวอย่างของมัลแวร์ที่สามารถหลบเลี่ยงการตรวจจับโดยโปรแกรมป้องกันมัลแวร์ในวิธีการทั่วไปผ่าน signature ของมัลแวร์ได้ ซึ่งหมายความว่าเราคงจะไม่อาจหวังพึ่งโปรแกรมป้องกันมัลแวร์เพียงอย่างเดียวได้แล้วครับ

ที่มา - Emsisoft

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 4 January 2016 - 11:41 #872398
hisoft's picture

ถ้าอยู่ในเขตที่โดนบล็อค Tor นี่จะโดนไหมครับ? (ว่าแต่มันบล็อคเด็ดขาดได้จริงๆ รึเปล่า)

By: pe3z
Writer
on 4 January 2016 - 11:44 #872401 Reply to:872398

ยังไม่แน่นอนครับ ผมเข้าใจว่า IDS บางตัวสามารถตัวเจอการใช้ Tor ได้ และก็เป็นไปได้ว่าถ้าขั้นตอนการติดต่อผ่าน Tor ถูกขัดขวางไป ขั้นตอนอื่นๆ ก็อาจจะไม่เกิดขึ้นต่อ

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 4 January 2016 - 11:45 #872402

คือตัว Malware นี่แพร่ช่องทางปกติ แต่

ตอน malware ติดต่อ Server แลกคีย์

จะวิ่งกลับทาง TOR ใช่ไหมครับ ตัวมัลแวร์จึงจำเป็นต้องมี TOR Browser ติดมาคู่กัน

มัลแวร์มันแพร่ทางช่องทางปกติ ???

By: pe3z
Writer
on 4 January 2016 - 11:49 #872403 Reply to:872402

ใช่ครับ ตัวมัลแวร์แพร่ช่องทางปกติ เช่น ไฟล์ต้องสงสัยทางอีเมล แต่พอถูกรันแล้วจะต้องติดต่อผ่าน Tor

ผมอาจเขียนไว้ไม่ค่อยชัดเจนเท่าไร แต่ภายในตัวไฟล์มัลแวร์มีการรวม tor client มาไว้แล้วครับ

By: wichate
Android
on 4 January 2016 - 11:59 #872406

block *.scr ด่วนเลย

By: nisit
iPhoneUbuntuWindows
on 4 January 2016 - 12:56 #872427

ยังคงไม่สามารถตัวเจอได้โดยใช้การตรวจจับแบบ signature-based > ยังคงไม่สามารถตรวจเจอได้โดยใช้การตรวจจับแบบ signature-based

By: pe3z
Writer
on 5 January 2016 - 00:23 #872632 Reply to:872427

แก้ไขแล้วครับ ขอบคุณครับ