นักวิจัย Trend Micro พบ ransomware ตัวใหม่ชื่อ PyLocky ซึ่งถูกใช้โจมตีในเดือนกรกฎาคมถึงเดือนสิงหาคม โดยใช้ข้อความเรียกค่าไถ่แบบเดียวกับ Locky ransomware
PyLocky ถูกเขียนด้วย Python และมีการใส่เครื่องมือ PyInstaller ไว้ ซึ่ง PyInstaller มีการใช้งานทั่วไปเพื่อให้โปรแกรม Python กลายเป็น stand-alone executables ทั้งนี้นักวิจัยพบว่า PyLocky มีความโดดเด่นจากมัลแวร์อื่นๆ ด้วยความสามารถเรื่อง anti-machine learning
ผู้เชี่ยวชาญได้เตือนถึงความสามารถในการหลีกเลี่ยงวิธีการวิเคราะห์เนื่องจากการใช้ Inno Setup Installer และ PyInstaller ร่วมกัน มัลแวร์ PyLocky จะแพร่กระจายผ่านอีเมลสแปม โดยเป้าหมายหลักๆในยุโรป และฝรั่งเศส
อีเมลสแปม PyLocky ถูกแพร่ไปยังผู้รับด้วยหัวข้อเรื่องที่ใช้วิธีการของ social engeering โดยอีเมลจะมีลิงก์ที่จะนำผู้ใช้ไปยัง URL ที่เป็นอันตราย โดย URL จะเข้าไปยังไฟล์ ZIP (Facture_23100.31.07.2018.zip) ที่มีไฟล์ Facture_23100.31.07.2018.exe เมื่อไฟล์ถูกรัน เครื่องจะติด PyLocky และถูกเข้ารหัสข้อมูล รูปภาพ ไฟล์เสียงโปรแกรม เกม ฐานข้อมูลและไฟล์เก็บข้อมูลอื่น ๆ หลังจากนั้น PyLocky จะวางข้อความเรียกค่าไถ่ โดยอาจเป็นภาษาอังกฤษ ฝรั่งเศส เกาหลี หรืออิตาลี และส่งข้อมูลทั้งหมดไปยัง C & C เซิร์ฟเวอร์
ที่มา : securityaffairs
You must be logged in to post a comment.