หน้าแรก Security Data Leak แรนซั่มแวร์ PXJ ลบทั้งข้อมูลแบ็กอัพ และไม่ยอมให้กู้ไฟล์ด้วย

แรนซั่มแวร์ PXJ ลบทั้งข้อมูลแบ็กอัพ และไม่ยอมให้กู้ไฟล์ด้วย

แบ่งปัน

นักวิจัยได้ค้นพบแรนซั่มแวร์สายพันธุ์ใหม่ที่ใช้ชื่อว่า Pxj ที่เข้ารหัสไฟล์ของผู้ใช้เป็นสกุล “.pxj” ซึ่งแรนซั่มแวร์สายพันธุ์ใหม่นี้ถูกค้นพบโดยทีมงาน X-Force Incident Response ของ IBM และเป็นที่รู้จักกันในอีกชื่อว่า “XVFXGW”

เมื่อพิจารณาจากโค้ดของแรนซั่มแวร์ PXJ แล้ว น่าจะเป็นสายพันธุ์ใหม่ เนื่องจากไม่ได้มีโค้ดส่วนไหนที่ไปคล้ายกับสายพันธุ์ของแรนซั่มแวร์อื่นที่มีอยู่ตอนนี้ ทางอาชญากรไซเบอร์ได้บีบอัดแรนซั่มแวร์ตัวนี้ด้วยทูลบีบอัดข้อมูลอัจฉริยะแบบโอเพ่นซอร์สที่ขื่อ UPX ซึ่งทูลนี้เป็นที่รู้จักกันดีว่าสนับสนุนหลายสกุลไฟล์

ในปัจจุบันยังไม่ทราบวิธีในการแพร่กระจายตัวเองของแรนซั่มแวร์ตัวนี้ แต่ก็พบว่าส่วนใหญ่มีการส่งต่อมาทางอีเมล์ และ เมื่อสามารถเข้าไปในระบบของเหยื่อก็จะเริ่มจากการเช็ค Recycle Bin พร้อมลบทุกอย่างที่อยู่ในนั้นออก จากนั้นจึงทำลายไฟล์ต่างๆ ตั้งแต่ตัวที่สำรองข้อมูลเอาไว้ ปิดการทำงานของเซอร์วิส Windows Error Recovery จากนั้นจึงเริ่มเอาจริงด้วยการทำลายความสามารถของผู้ใช้ ในการกู้คืนข้อมูลหลังจากเข้ารหัส

หลังจากเซอร์วิสเหล่านี้ถูกปิดกั้นทำงานแล้ว ก็จะเริ่มกระบวนการเข้ารหัสที่ใช้ทั้งอัลกอริทึมแบบ AES และ RSA โดยเข้ารหัสไฟล์ต่างๆ อันได้แก่ รูปภาพ ฐานข้อมูล เอกสาร วิดีโอ รวมทั้งไฟล์อื่นๆ ที่เกี่ยวข้องบนอุปกรณ์

หลังจากการเข้ารหัสเสร็จเรียบร้อย ก็จะห้อยสกุลไฟล์ข้างท้ายเป็น “PXJ” รวมทั้งสร้างไฟล์ที่ชื่อ “LOOK.txt” ที่เขียนข้อความเรียกค่าไถ่ ซึ่งมีใจความว่า ให้ผู้ใช้ที่ติดเชื้อติดต่อผู้โจมตีผ่านทางอีเมล์เท่านั้น และขอให้ผู้ใช้จ่ายค่าไถ่

ที่มา : GBHackers