นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ
จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin
ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น
- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.Bin" ฯลฯ )
- มีการเขียนสคริปต์ "window.bat" ในพาธเดียวกัน
- มีการใช้สคริปต์เดียวกันในการลบ shadow volumes และ backup files
- ไฟล์ที่ถูกวางไว้บนดิสก์ (“PUBLIC” and “UNIQUE_ID_DO_NOT_REMOVE”) มีชื่อและวัตถุประสงค์ที่คล้ายกัน
Ryuk Ransomware ใช้การเข้ารหัสแบบ AES-RSA ผสมกัน ซึ่งทำให้การถอดรหัสแทบจะเป็นไปไม่ได้เลย เว้นแต่ทางทีมที่พัฒนา Ryuk ทำผิดพลาดในขั้นตอนการพัฒนา ซึ่งปัจจุบันทีมนักวิจัยยังไม่ได้พบจุดอ่อนใดๆของ Ransomware ตัวนี้
ที่มา : bleepingcomputer
You must be logged in to post a comment.