บริษัท Emsisoft ได้เปิดเผยการค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ซึ่งถูกพัฒนาอยู่บนพื้นฐานของภาษาจาวาสคริปต์ภายใต้ชื่อว่า Ransom32 ซึ่งใช้การติดต่อถึงเซิร์ฟเวอร์ออกคำสั่งและควบคุม (C&C server) บนเครือข่าย Tor และใช้ช่องทางการโอนเงินค่าไถ่ผ่านบิทคอยน์เป็นหลัก
Ransom32 เป็นหนึ่งในมัลแวร์เรียกค่าไถ่ซึ่งถูกพัฒนาบนแนวคิดของ SaaS ซึ่งหมายถึงการสร้างมัลแวร์จะอาศัยการตั้งค่าต่างๆ ของมัลแวร์ผ่านเว็บไซต์ซึ่งมักจะอยู่บนเครือข่าย Tor เป็นหลักและเมื่อกำหนดค่าที่ต้องการของมัลแวร์เสร็จก็สามารถสร้างไฟล์สำหรับแพร่กระจายได้ทันที สำหรับ Ransom32 นั้น ผู้ที่ต้องการสร้างมัลแวร์จะต้องกรอกที่อยู่ของบัญชีบิทคอยน์สำหรับรับค่าไถ่เพื่อให้สามารถเข้าไปปรับแต่งตัวเลือกต่างๆ อาทิ จำนวนเงินที่เรียกร้อง, ลักษณะของข้อความแจ้งเตือนหรือเวลาที่ใช้ในการหน่วงก่อนทำงาน เป็นต้น
ส่วนของการแพร่กระจายของ Ransom32 จะถูกดาวโหลดภายใต้ไฟล์ที่มีนามสกุล *.scr ซึ่งแท้จริงแล้วเป็นโปรแกรมที่สามารถรันได้ โดยจะมีขนาดไฟล์ที่ใหญ่กว่ามัลแวร์ปกติหลายเท่าตัว Ransom32 ใช้การสร้างตัวแพร่กระจายโดยการบรรจุไฟล์ที่จำเป็นต่อการทำงานลงไปในลักษณะของไฟล์บีบอัดหรือไฟล์ MSI โดยประกอบไปด้วย ส่วนหลักของมัลแวร์ซึ่งอยู่ในไฟล์จาวาสคริปต์, โปรแกรมสำหรับเครือข่าย Tor และสคริปต์ต่างๆ ที่ใช้ในการเปลี่ยนแปลงการตั้งค่าบนคอมพิวเตอร์ของเหยื่อ
สำหรับในส่วนการทำงานหลักของ Ransom32 จะมีการใช้เฟรมเวิร์คชื่อว่า NW.js ในการพัฒนาโปรแกรมหรือแอพพลิเคชันเพื่อให้สามารถทำงานบนระบบปฏิบัติการต่างๆ ได้ผ่านจาวาสคริปต์ ผลลัพธ์ของการพัฒนาผ่านเฟรมเวิร์คนี้ส่งผลให้ Ransom32 ยังคงไม่สามารถตรวจเจอได้โดยใช้การตรวจจับแบบ signature-based
การทำงานของ Ransom32 มีความคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ โดยการแลกเปลี่ยนกุญแจสำหรับการเข้ารหัสกับเซิร์ฟเวอร์ออกคำสั่งและควบคุมบนเครือข่าย Tor, หลีกเลี่ยงการเข้ารหัสโฟลเดอร์ของระบบ, พุ่งเป้าไปที่ไฟล์เอกสาร ไฟล์รูปภาพและไฟล์มัลติมีเดียทั่วไป Ransom32 ใช้อัลกอริธึม AES ในโหมด CTR บนขนาดของกุญแจ 128 บิตที่แตกต่างกันต่อไฟล์ในการเข้ารหัสแต่ละไฟล์ กุญแจที่ใช้ในการเข้ารหัสไฟล์ทั้งหมดจะถูกเข้ารหัสอีกครั้งโดยใช้กุญแจสาธารณะของ RSA ไม่ระบุขนาด
ในส่วนของการป้องกันและลดผลกระทบจากมัลแวร์เรียกค่าไถ่ วิธีการป้องกันโดยทั่วไปยังเป็นที่แนะนำไม่ว่าจะเป็นการสำรองข้อมูลอย่างสม่ำเสมอ ไม่รันโปรแกรมที่ต้องสงสัย อย่างไรก็ตาม Ransom32 เป็นหนึ่งในตัวอย่างของมัลแวร์ที่สามารถหลบเลี่ยงการตรวจจับโดยโปรแกรมป้องกันมัลแวร์ในวิธีการทั่วไปผ่าน signature ของมัลแวร์ได้ ซึ่งหมายความว่าเราคงจะไม่อาจหวังพึ่งโปรแกรมป้องกันมัลแวร์เพียงอย่างเดียวได้แล้วครับ
ที่มา - Emsisoft