พบ ransomeware ตัวใหม่นาม DeathRansom พบมีผู้ตกเป็นเหยื่ออย่างต่อเนื่อง

DeathRansom Ransomware  จากการตรวจสอบของนักวิจัยและผู้ได้รับผลกระทบ ทำให้พบว่าแม้ DeathRansom  จะทำการเข้ารหัสไฟล์เอาไว้
โดยหลังจากการเข้ารหัสจะปรากฏ นามสกุลไฟล์เป็น .wctc

ขั้นตอนการทำงานก็คล้ายกับ ransomeware ตัวอื่น ๆ  คือเข้ารหัสไฟล์บนเครื่องของผู้ใช้งานที่ตกเป็นเหยื่อและ pathnames ตาม strings นี้ :
programdata
$recycle.bin
program files
windows
all users
appdata
read_me.txt
autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db

ไฟล์จะถูกเข้ารหัสโดยการทำเครื่องหมาย ABEFCDAB file  ต่อท้ายไฟล์ในทุก ๆ โฟล์เดอร์ที่ถูกเข้ารหัส  จากนั้น ransomware จะสร้าง ransome note ชื่อว่า read_me.txt ซึ่งมี “LOCK-ID” ที่ไม่ซ้ำกันและมีที่อยู่อีเมลเพื่อติดต่อนักพัฒนา ransomware หรือ บริษัท ในเครือ

จากการตรวจสอบพบว่า ผู้ที่ตกเป็นเหยื่อ DeathRansom มีบางส่วนเคยโดน STOP Ransomware มาก่อนจึงเกิดข้อสันนิษฐานขึ้นว่ามา
DeathRansom ransom note และ STOP Djvu encrypted file มีส่วนประกอบในการกระจายมัลแวร์ที่คล้ายกัน

สามารถเช็ค IOCs ได้จากลิงค์นี้ครับ https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/

Cr.https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/

#SosecureNews #ThaiCybersecurityNews #News

Share

Add Your Comments

Your email address will not be published. Required fields are marked *