Michael Gillespie จาก ID-Ransomware ได้ค้นพบ ตัวใหม่โดยมีการเพิ่ม Extension .arena ลงในไฟล์ที่เข้ารหัส
โดยยังไม่ทราบแน่ชัดว่ามัลแวร์นี้มีการกระจายอย่างไร แต่ในอดีต Crysis จะแพร่กระจายโดยการ Remote Desktop และติดตั้ง ransomware ด้วยตนเอง
เมื่อมีการติดตั้ง ransomware เครื่องจะสแกนคอมพิวเตอร์เพื่อหาไฟล์บางชนิดและเข้ารหัสข้อมูลเหล่านั้น เมื่อไฟล์ถูกเข้ารหัสจะต่อท้ายนามสกุลของไฟล์ในรูปแบบ ". id- [id] [email] .arena" เช่นไฟล์ชื่อ test.jpg จะได้รับการเข้ารหัสและเปลี่ยนชื่อเป็น test.jpg.id-BCBEF350 [chivas@aolonline.top] .arena นอกจากนี้ Ransomware จะทำการลบไฟล์ใน shadow volume เพื่อไม่ให้ทำการกู้คืนไฟล์ได้ มัลแวร์ยังกำหนดค่าตัวเองโดยอัตโนมัติเมื่อผู้ใช้งานเข้าสู่ระบบ Windows ซึ่งจะช่วยให้สามารถเข้ารหัสไฟล์ใหม่ที่สร้างขึ้นตั้งแต่ครั้งล่าสุดได้
มัลแวร์เรียกค่าไถ่ Arena Crysis จะสร้างไฟล์เรียกค่าไถ่ขึ้นมา 2 ชุดด้วยกัน คือไฟล์ info.hta ซึ่งเปิดตัวโดยการทำงานอัตโนมัติ และไฟล์ FILES ENCRYPTED.txt ในการจ่ายเงินค่าไถ่ เหยื่อจะต้องติดต่อไปที่ chivas@aolonline.top เพื่อรับคำแนะนำในการชำระเงินค่าไถ่
ที่มา:bleepingcomputer
You must be logged in to post a comment.