แรนซั่มแวร์ที่น่ากลัวกลับมาพร้อมกับสองสายพันธุ์ใหม่ ได้แก่ ‘Diablo’ และ ‘Lukitus’
เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยได้ค้นพบ Locky Ransomware ใหม่ 2 สายพันธุ์ Diablo และ Lukitus เช่นเดียวกับแรนซั่มแวร์ที่ล็อกการเข้ารหัสลับประเภทอื่นๆ พวกมันยังออกแบบมาเพื่อเข้ารหัสไฟล์บนพีซีและเรียกร้องค่าไถ่เพื่อแลกกับคีย์ถอดรหัส สายพันธุ์ใหม่เหล่านี้ได้รับการรายงานโดยนักวิจัยเมื่อวันที่ 16 สิงหาคม th 2560.
“แรนซัมแวร์นั้นเกี่ยวกับการจัดการกับช่องโหว่ในด้านจิตวิทยาของมนุษย์มากกว่าความซับซ้อนทางเทคโนโลยีของฝ่ายตรงข้าม”
? เจมส์ สก็อตต์
Locky เป็นหนึ่งในรูปแบบที่สำคัญของแรนซัมแวร์ที่ประสบความสำเร็จไปทั่วโลก ปรากฏครั้งแรกในปี 2559 และหายไปภายในสิ้นปี แต่ถ้าคุณคิดว่ามันไม่เป็นภัยคุกคามอีกต่อไปแล้ว คุณคิดผิด หลังจากมืดมน Locky กลับมาพร้อมกับ Necurs botnet ซึ่งเป็นหนึ่งใน botnet ที่ใหญ่ที่สุดที่ใช้สำหรับการโจมตี
ตั้งแต่วันที่ 9 สิงหาคม th ตั้งแต่นั้นเป็นต้นมา Locky ได้ปรากฏตัวอีกครั้งโดยใช้นามสกุลไฟล์ใหม่ “.diablo6” เพื่อเข้ารหัสไฟล์ด้วยบันทึกการช่วยเหลือ:“diablo- .htm” Diablo โทรกลับไปยังเซิร์ฟเวอร์คำสั่งและการควบคุมอื่น นอกจากนี้ยังมีตัวแปรใหม่อีกตัวที่เพิ่มนามสกุล '.Lukitus' ให้กับไฟล์ที่เข้ารหัส
ที่น่าสนใจคือ Lukitus หมายถึงล็อคในภาษาฟินแลนด์
แคมเปญใหม่ส่งอีเมลสแปมในรูปแบบไฟล์แนบ PDF พร้อมไฟล์ .DOCM ที่ฝังอยู่ หากผู้ใช้ดาวน์โหลดไฟล์แนบและเปิดใช้งานมาโครตามที่ร้องขอ ผู้ใช้จะไม่สามารถเข้าถึงไฟล์ในคอมพิวเตอร์ได้
เมื่อข้อมูลทั้งหมดถูกเข้ารหัส มันจะเรียกค่าไถ่หากเจ้าของต้องการรับคีย์ส่วนตัวเพื่อถอดรหัสข้อมูล Locky แพร่หลายน้อยกว่า แต่ก็ยังเป็นภัยคุกคามที่ร้ายแรงเนื่องจากการเข้ารหัสที่แข็งแกร่ง
แคมเปญนี้เป็นการเปิดหูเปิดตาสำหรับพวกเราทุกคนที่คิดว่า Locky หายไปเพียงเพราะไม่ได้ใช้งานในช่วงเวลาที่กำหนด นี่ไม่ใช่ครั้งแรกที่ Locky ปรากฏตัวอีกครั้ง มันยังคงปกคลุมไปด้วยความลึกลับอยู่ระยะหนึ่ง จากนั้นจึงปรากฏขึ้นพร้อมกับการติดเชื้อใหม่
การปรากฏขึ้นอีกครั้งอย่างกะทันหันของ Locky อาจเกี่ยวข้องกับเครื่องมือถอดรหัสสำหรับ Jaff ransomware ที่เปิดให้ใช้งานในเดือนมิถุนายน Jaff ปรากฏตัวในเดือนพฤษภาคมและแพร่กระจายโดยบอทเน็ต Necrus ตัวเดียวกับที่ใช้แจกจ่าย Locky
นี่เป็นข้อพิสูจน์ว่าแรนซัมแวร์จะไม่จากเราไปในเร็ว ๆ นี้ ดังนั้นเราจำเป็นต้องพัฒนากลยุทธ์และเทคนิคใหม่ ๆ ต่อไปเพื่อต่อสู้กับมัน
ล็อคตัวแปร เรียกกลับไปยังคำสั่งอื่นและเซิร์ฟเวอร์ควบคุม (C2) และใช้รหัสพันธมิตร:AffilID3 และ AffilID5
