ransomeware ตัวใหม่นาม DeathRansom
DeathRansom Ransomware
DeathRansom Ransomware จากการตรวจสอบของนักวิจัยและผู้ได้รับผลกระทบ ทำให้พบว่าแม้ DeathRansom จะทำการเข้ารหัสไฟล์เอาไว้
โดยหลังจากการเข้ารหัสจะปรากฏ นามสกุลไฟล์เป็น .wctc
ขั้นตอนการทำงานก็คล้ายกับ ransomeware ตัวอื่น ๆ คือเข้ารหัสไฟล์บนเครื่องของผู้ใช้งานที่ตกเป็นเหยื่อและ pathnames ตาม strings นี้ :
programdata
$recycle.bin
program files
windows
all users
appdata
read_me.txt
autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
ไฟล์จะถูกเข้ารหัสโดยการทำเครื่องหมาย ABEFCDAB file ต่อท้ายไฟล์ในทุก ๆ โฟล์เดอร์ที่ถูกเข้ารหัส จากนั้น ransomware จะสร้าง ransome note ชื่อว่า read_me.txt ซึ่งมี “LOCK-ID” ที่ไม่ซ้ำกันและมีที่อยู่อีเมลเพื่อติดต่อนักพัฒนา ransomware หรือ บริษัท ในเครือ
จากการตรวจสอบพบว่า ผู้ที่ตกเป็นเหยื่อ DeathRansom มีบางส่วนเคยโดน STOP Ransomware มาก่อนจึงเกิดข้อสันนิษฐานขึ้นว่ามา
DeathRansom ransom note และ STOP Djvu encrypted file มีส่วนประกอบในการกระจายมัลแวร์ที่คล้ายกัน
สามารถเช็ค IOCs ได้จากลิงค์นี้ครับ https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/
Cr.https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/
#SosecureNews #ThaiCybersecurityNews #News