พบ ransomeware ตัวใหม่นาม DeathRansom พบมีผู้ตกเป็นเหยื่ออย่างต่อเนื่อง

 

ransomeware ตัวใหม่นาม DeathRansom

DeathRansom Ransomware

DeathRansom Ransomware  จากการตรวจสอบของนักวิจัยและผู้ได้รับผลกระทบ ทำให้พบว่าแม้ DeathRansom  จะทำการเข้ารหัสไฟล์เอาไว้
โดยหลังจากการเข้ารหัสจะปรากฏ นามสกุลไฟล์เป็น .wctc

ขั้นตอนการทำงานก็คล้ายกับ ransomeware ตัวอื่น ๆ  คือเข้ารหัสไฟล์บนเครื่องของผู้ใช้งานที่ตกเป็นเหยื่อและ pathnames ตาม strings นี้ :
programdata
$recycle.bin
program files
windows
all users
appdata
read_me.txt
autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db

 

ไฟล์จะถูกเข้ารหัสโดยการทำเครื่องหมาย ABEFCDAB file  ต่อท้ายไฟล์ในทุก ๆ โฟล์เดอร์ที่ถูกเข้ารหัส  จากนั้น ransomware จะสร้าง ransome note ชื่อว่า read_me.txt ซึ่งมี “LOCK-ID” ที่ไม่ซ้ำกันและมีที่อยู่อีเมลเพื่อติดต่อนักพัฒนา ransomware หรือ บริษัท ในเครือ

จากการตรวจสอบพบว่า ผู้ที่ตกเป็นเหยื่อ DeathRansom มีบางส่วนเคยโดน STOP Ransomware มาก่อนจึงเกิดข้อสันนิษฐานขึ้นว่ามา
DeathRansom ransom note และ STOP Djvu encrypted file มีส่วนประกอบในการกระจายมัลแวร์ที่คล้ายกัน

 

สามารถเช็ค IOCs ได้จากลิงค์นี้ครับ https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/

Cr.https://www.bleepingcomputer.com/news/security/new-deathransom-ransomware-begins-to-make-a-name-for-itself/

 

#SosecureNews #ThaiCybersecurityNews #News

 

Share