<?php wp_title('|', true, 'right'); ?>
By
มิถุนายน 6, 2020

โปรแกรมถอดรหัสไวรัสเรียกค่าไถ่เป็น Bitcoin ตัวล่าสุดถูกเปิดให้ดาวน์โหลดแบบฟรี ๆ แล้ว

ความปลอดภัยทางไซเบอร์
ติดตามสยามบล็อกเชนบนSiam Blockchain

Emsisoft หรือรู้จักกันดีในฐานะของบริษัทด้านการวิจัยมัลแวร์ ได้มีการเปิดตัวเครื่องมือถอดรหัสตัว ‘มัลแวร์เรียกค่าไถ่เป็น Bitcoin’ แบบฟรี ๆ เมื่อวันที่ 4 มิถุนายน 2020 ที่มีผ่านมา โดยเครื่องมือนี้จะช่วยให้ผู้ที่ตกเป็นเหยื่อสามารถกู้คืนไฟล์ที่เข้ารหัสโดยการโจมตีจาก Tycoon ransomware โดยไม่จำเป็นต้องจ่ายค่าไถ่ใด ๆ ทั้งสิ้น 

โดยนักวิจัยจากหน่วยความปลอดภัยของ BlackBerry ได้มีการค้นพบ ransomware ตัวนี้เป็นครั้งแรก ซึ่งพวกเขาระบุไว้ใน TechCrunch ว่า Tycoon ใช้รูปแบบไฟล์ Java เพื่อให้ตรวจจับได้ยากขึ้นก่อนที่จะปรับใช้เพย์โหลดที่เข้ารหัสไฟล์อีกทีนึงในการเข้าถึงไฟล์ของเหยื่อ

Tycoon ทำงานอย่างไร

นาย Brett Callow นักวิเคราะห์ภัยคุกคามของ Emsisoft ได้ให้สัมภาษณ์กับสื่อด้านคริปโตแห่งหนึ่งว่า : 

“Tycoon เป็น ransomware ที่ทำงานด้วยมนุษย์ซึ่งเริ่มกระบวนการโดย Java ที่จะกำหนดเป้าหมายเหยื่อที่มุ่งเน้นไปยังองค์กรขนาดเล็ก และถูกปรับใช้ผ่านการโจมตีแบบ RDP เรื่องนี้ Microsoft ได้เคยออกมาเตือนเกี่ยวกับ PonyFinal ที่เป็น ransomware สายพันธุ์อื่นที่ใช้ Java เมื่อเดือนที่แล้วด้วยเช่นกันครับ”

Callow ยังชี้แจงข้อจำกัดบางประการของเครื่องมือฟรีด้วยว่า:

“เครื่องมือนี้ใช้งานได้กับไฟล์ที่เข้ารหัสโดยตัวไวรัส Tycoon ดั้งเดิมเท่านั้น ไม่ใช่สำหรับไฟล์ที่เข้ารหัสโดยไวรัสเรียกค่าไถ่อื่น ๆ ที่ตามมาในภายหลัง

ซึ่งหมายความว่าจะใช้งานได้กับไฟล์ที่มีนามสกุล .RedRum แต่ไม่สามารถใช้กับไฟล์ที่มีนามสกุล .grinch หรือ .thanos ซึ่งเป็นที่น่าเสียดายที่วิธีเดียวที่จะกู้คืนไฟล์ที่มีนามสกุลหลังเหล่านั้นคือการจ่ายค่าไถ่ในตอนนี้ครับ ”

Ransomware แพร่ระบาดในหลายระบบปฏิบัติการ

นักวิจัยของ BlackBerry ระบุว่า Tycoon ransomware สามารถทำงานได้ทั้งบนคอมพิวเตอร์ Windows และ Linux โดยใช้เทคนิคเดียวกับการขอการชำระเงิน cryptocurrency เช่น Bitcoin (BTC) อีกด้วย 

ผลการวิจัยล่าสุดแสดงให้เห็นว่าไวรัสเรียกค่าไถ่ Tycoon ส่วนใหญ่จะมุ่งเป้าไปที่สถาบันการศึกษาและซอฟต์แวร์เฮ้าส์ โดยนักวิจัยจาก BlackBerry เชื่อว่าตัวเลขเหยื่อของ Tycoon ที่แท้จริงอาจสูงกว่านี้มากหลายเท่าตัวเลยทีเดียว

นอกจากนี้พวกเขาเตือนว่า Tycoon ransomware รุ่นใหม่ได้รับการปรับปรุงให้มีพลังโจมตีมากกว่าก่อนหน้านี้หลายเท่า โดยเครื่องมือถอดรหัสที่เคยทำออกมาสามารถใช้เพื่อกู้คืนไฟล์สำหรับผู้ที่ตกเป็นเหยื่อหลายราย แต่ปัจจุบันมันไม่สามารถทำได้อีกต่อไปแล้ว 

เมื่อวันที่ 3 มิถุนายน ElevenPaths หน่วยรักษาความปลอดภัยทางไซเบอร์พิเศษของกลุ่มธุรกิจโทรคมนาคมในสเปนนามว่า Telefonica ได้สร้างเครื่องมือฟรีที่เรียกว่า “VCrypt Decryptor” เครื่องมือนี้มีจุดมุ่งหมายเพื่อกู้คืนข้อมูลที่เข้ารหัสโดย VCryptor ransomware อีกด้วย