หลังจาก Sambacry ซึ่งเป็นช่องโหว่ใน SMBv1 บน Samba File Sharing Service ถูกพบเมื่อช่วงปีที่ผ่านมา ล่าสุดมีการพบ ransomware ที่มีการแพร่กระจายตัวเองผ่านการใช้ช่องโหว่ดังกล่าวเพิ่มเติมอีก โดยใช้ชื่อว่า StorageCrypt

มีการพบ StorageCrypt ได้ทำการไล่เรียกค่าไถ่ใน NAS Device ต่างๆเช่น Western Digital My Cloud เป็นต้น. เหยื่อที่ถูกเข้ารหัสไฟล์เหล่านั้นกล่าวว่าภายใน NAS ที่ถูกเข้ารหัสนั้นมีมี note ทิ้งค้างไว้ซึ่งเรียกค่าไถ่อยู่ที่ประมาณ​ .4 – 2 bitcoins

เหยื่อเหล่านั้นได้ร้องเรียนไปยังผู้ผลิต NAS device ว่าพบ autorun.inf ไฟล์และไฟล์ windows executable ที่ชื่อว่า 美女与野兽.exe, ซึ่งแปลว่า “Beauty and the beast”. ซึ่งเมื่อวิเคราะห์ไฟล์ autorun.inf พบว่ามีการทำ autorun file 美女与野兽.exe เมื่อมีคอมมาเปิดโฟลเดอร์ใน NAS devices

อย่างที่กล่าวไปแล้วว่าการแพร่กระจายของ StorageCrypt นั้นจะใช้การโจมตีผ่านช่องโหว่ Sambacry จากนั้นก็จะรันคำสั่งเพื่อ download payload ,สร้างไฟล์ไว้ภายใต้ /tmp folder ชื่อว่า apaceha, จากนั้นก็รัน

การติดตั้งดังกล่าวจะมีการเข้ารหัสไฟล์ภายในเครื่องด้วย โดยไฟล์ที่ถูกเข้ารหัสจะได้นามสกุลเป็น .locked extension และมีการ note ไฟล์ที่ชื่อว่า _READ_ME_FOR_DECRYPT.txt ไว้ ซึ่งภายในนั้นจะระบุว่าจะเรียกค่าไถ่เป็นกี่ bitcoin พร้อมกับระบุ bitcoin address สำหรับการให้โอนตังค์ไปให้, และบอกว่าเมื่อโอนแล้วให้ติดต่อไปยัง email address JeanRenoAParis@protonmail.com

 

Source:: BleepingComputer