Aurora / Zorro Ransomware Actively Being Distributed

Aurora / Zorro Ransomware กำลังแพร่กระจายอย่างต่อเนื่อง

Aurora Ransomware ได้มีการกระจายตั้งแต่ช่วงฤดูร้อนของปี 2018 ได้กลับมาปรากฏตัวอีกครั้งในรูปแบบสายพันธุ์ใหม่เรียกว่า Zorro Ransomware ปัจจุบันยังไม่แน่ชัดว่า Ransomware นี้มีการกระจายอย่างไร แต่มีข้อบ่งชี้ว่าอาจถูกติดตั้งโดยการแฮ็กเข้าสู่คอมพิวเตอร์ที่ใช้ Remote Desktop Service และคอมพิวเตอร์ที่มีการเปิดให้เข้าถึงจาก Internet ซึ่งแฮกเกอร์จะสุ่มรหัสผ่านบัญชี RDP เพื่อเข้าถึงคอมพิวเตอร์และติดตั้ง Ransomware ลงบนเครื่อง

ข่าวดีก็คือ Michael Gillespie และ Francesco Muroni ได้ค้นพบวิธีถอดรหัส Ransomware ตัวนี้แล้ว
จากการตรวจสอบ wallet ที่ถูกใช้ในการจ่ายเงิน ปัจจุบันมีธุรกรรม 105 รายการ ตั้งแต่ปลายเดือนกันยายน โดยได้เงินไป 2.7 bitcoins ซึ่งเท่ากับ 12,000 ดอลลาร์สหรัฐฯ

เมื่อติดตั้ง Ransomware แล้ว จะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่ง (C&C) เพื่อรับข้อมูลและใช้ในการเข้ารหัสไฟล์ของเหยื่อ จากนั้นจะเชื่อมต่อกับ http://www.