| Locky Ransomware สายพันธุ์ใหม่เปลี่ยนนามสกุลเป็น Ykcol
Derek Knight และ coldshell นักวิเคราะห์มัลแวร์จาก Stormshield ออกมาเปิดเผยถึง Ransomware ที่ต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .ykcol ซึ่งถูกเรียกว่า Ykcol Ransomware ว่าแท้ที่จริงแล้วมันคือ Locky Ransomware สายพันธุ์ใหม่ ไม่ใช่เป็น Ransomware ตัวใหม่ที่เพิ่งค้นพบอย่างที่หลายคนเข้าใจ
ทำไมถึงมั่นใจเช่นนั้น ถ้าสังเกตให้ดี ykcol คือ locky ที่สะกดกลับหลังนั่นเอง ซึ่ง Locky สายพันธุ์นี้กำลังแพร่ระบาดผ่านทางอีเมลสแปม โดยใช้หัวข้ออีเมลว่า "Status of Invoice" และตัวอีเมลจะมาพร้อมกับไฟล์แนบ 7zip หรือ 7z ซึ่งไฟล์แนบดังกล่าวประกอบด้วยไฟล์ VBS ที่เมื่อถูกรันแล้วจะดาวน์โหลด Locky Executable จาก C&C Server ของแฮ็คเกอร์เข้ามารันบนเครื่องของเหยื่อ
Taken from BleepingComputer.com นับว่าเป็นการแพร่กระจายมัลแวร์ที่ค่อนข้างแปลก เนื่องจากไฟล์ 7z จำเป็นต้องใช้ซอฟต์แวร์เสริมเพื่อทำการแตกไฟล์ออกมา คาดว่าที่แฮ็คเกอร์ทำแบบนี้เนื่องจากต้องการบายพาสระบบกรองเมลที่เข้มงวดของ Gmail หรือผู้ให้บริการระบบเมลอื่นๆ หลังจากที่ Locky ถูกดาวน์โหลดและถูกรัน มันจะสแกนคอมพิวเตอร์ของเหยื่อเพื่อค้นหาไฟล์และเข้ารหัส จากนั้นเปลี่ยนชื่อไฟล์แล้วต่อท้ายด้วย .ykcol ซึ่งรูปแบบของชื่อไฟล์จะเป็น [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].ykcol ยกตัวอย่างเช่น ไฟล์ 1.png หลังถูกเข้ารหัสจะกลายเป็น E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol
หลังจากที่ Locky เข้ารหัสไฟล์ข้อมูลเสร็จแล้ว มันจะลบ Executable ที่ดาวน์โหลดมาทิ้งไป และแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน 0.25 Bitcoins (ประมาณ 34,000 บาท) โดยไฟล์ที่ใช้แสดงข้อความถูกเปลี่ยนมาเป็น ykcol.htm และ ykcol.bmp
สำหรับตอนนี้ ยังไม่มีเครื่องมือสำหรับปลดรหัส Locky สายพันธุ์นี้ได้ฟรี วิธีการเดียวที่จะกู้ไฟล์ข้อมูลกลับมาคือการสำรองข้อมูล
ที่มาและเครดิตรูปภาพ https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-ykcol-extension-for-encrypted-files/ |
