นักวิจัยทางด้าน Security ชื่อว่า Xylitol พบ Ransomware as a Service ตัวใหม่ที่ชื่อว่า Satan

Ransomware as a service เป็น service การให้บริการที่ให้ใครก็แล้วแต่อยากเป็น Hacker ,แจกจ่าย malware พร้อมกับหาตังค์จาก Ransomware ก็เพียงแค่มาสมัคร account กับ service นี้ จากนั้นก็จะมี step ให้ในเว็บไซด์ ให้สามารถเข้าไปสร้าง custom ransomware เป็นของตัวเองได้เลย

เมื่อสร้าง ransomware ของตัวเองได้แล้ว ก็กำหนดวิธีการแพร่กระจายอีกที โดย RaaS จะเป็นตัวที่คอยจัดการการจ่ายเงินต่างๆ และมีการเพิ่ม feature ใหม่ๆไปเรื่อยๆ โดยผู้พัฒนาจะมีการเก็บค่าดำเนินการจากการเรียกค่าไถ่ในแต่ละครั้งที่ 30% โดยตัวของ Satan จะลดค่าดำเนินการตาม affiliate  (จำนวนคนที่ถูกเชิญชวนโดย user) อีกด้วย

เมื่อ login สำเร็จแล้ว หน้าแรกที่ผู้ใช้งานจะเจอคือหน้า Malware เอาไว้ custom ค่าต่างๆของ Ransomware ไม่ว่าจะเป็น version, ค่าไถ่และอื่นๆ

จากนั้นก็มาที่เพจ Dropper เป็นเพจสำหรับการเอา Malware มาสร้างเป็น Installer ในลักษณะต่างๆ เช่น Microsoft Office, Powershell, CMD,python เป็นต้น

หน้า translate page เอาไว้แปลงภาษาต่างๆ เพื่อใช้ในการเรียกค่าไถ่ในประเทศต่างๆ

สุดท้ายคือหน้า account สำหรับการดูว่ามีคนติด Malware ของเราไปเท่าไหร่แล้ว แล้วได้เงินไปเท่าไหร่แล้วเป็นต้น

เมื่อ Satan ทำงานมันจะตรวจสอบก่อนว่าเป็นการใช้งานใน Virtual Machine หรือไม่ เพื่อกันถูกเอาไปวิเคราะห์โดย Security Researcher ต่างๆ จากนั้นจะ inject ตัวเองเข้าไปใน TaskHost.exe แล้วเริ่มทำการ encrypt ข้อมูล โดยจะดูจากไฟล์ที่มีนามสกุลดังนี้

ไฟล์ทุกไฟล์ที่ถูกเข้ารหัสจะมีนามสกุลเป็น .stn และมั่วชื่อไฟล์ขึ้นมา เช่น test.jpg ไปเป็น ahasd.stn และในแต่ละ folder จะมี note บอกถึงรายละเอียดการโอนเงินและวิธีการถอดรหัสที่ชื่อว่า HELP_DECRYPT_FILES.html

จากนั้นจะรันคำสั่ง C:\Windows\System32\cipher.exe” /W:C เพื่อลบข้อมูลทั้งหมดที่ว่างอยู่ใน C:\

Ransomware as a service ถือเป็นธุรกิจที่เติบโตอย่างต่อเนื่อง ซึ่งในเร็ววันนี้ธุรกิจนี้จะถึง 1000 ล้านดอลล่า ตามที่ FBI ได้ทำ report ไว้แน่นอน เพียงแต่จะช้าหรือเร็วแค่นั้นเอง

Source:: BleepingComputer.com