Posts by tag
wannacry
ทาง Security Expert ได้แต่เกาหัวเมื่อพบ Malware ที่มีลักษณะคล้ายๆกับ WannaCry ในระบบ Kiosks Self-Service ของ LG ในเกาหลีเมื่อสัปดาห์ก่อน Kiosks service ของ LG นั้นได้รับผลกระทบเครื่องคอมพิวเตอร์ไม่สามารถใช้งานได้ (แต่ก็ยังไม่ได้ถูกเข้ารหัส เพราะ service center network ได้ถูกปิดไปก่อน ก่อนที่ทาง ransomware จะได้เริ่มดำเนินการ download key และเข้ารหัสไฟล์)…
หลังจากถูกฝากขังมา 3 วัน ล่าสุดทาง Marcus Hutchins ผู้ซึ่งถูกกล่าวหาว่าเป็นผู้สร้างและขาย Kronos ได้รับการประกันตัวแล้วในช่วงวันจันทร์ที่ผ่านมา ซึ่งทาง Marcus ยังคงพยายามแก้ต่างว่าไม่มีความผิดในเรื่องที่ถูกฟ้องแต่อย่างใด โดยทาง Marcus จะต้องยื่นคำให้การกับศาล Wisconsin ต่อไป และ ณ ตอนนี้ไม่สามารถที่จะไปไหนนอกจากภายในสหรัฐอเมริกาได้ และต้องมีเครื่องติดตามตัวอยู่ตลอด 24 ชม. Source:: NakedSecurity
ก่อนหน้านี้เราเคยพูดถึงการถูกจับของ Marcus Hutchins ผู้ซึ่งเป็น Security Researcher ในการหา kill switch ของ WannaCry ซึ่งจากข่าวก่อนหน้าคือการได้รับการประกันตัวแต่ต้องใช้เงินประกันตัวที่สูงมาก(30,000$) หนำซ้ำยังให้มีเวลาที่น้อยมากอีกด้วย (1 ชม. เท่านั้นเพราะเป็นวันศุกร์และศาลตัดสินเสร็จตอน 15:00 แต่สามารถส่งเงินประกันตัวภายใน 16:00 เท่านั้น) จากเว็บไซด์ที่ชื่อว่า doublepulsar.com มีการให้รายละเอียดบางส่วนที่น่าสนใจคือ ตอนที่ถูกคุมตัว Marcus ไม่มีทนายถึง 48 ชม. ไม่ถูกอนุญาตให้คุยกับใครๆ ห้ามคุยกับสื่อ, ห้ามใช้ internet,…
Marcus Hutchins, Security Researcher ที่ใช้ชื่อว่า MalwareTech, ได้แก้ต่างว่าไม่มีความผิดในศาลของ Las Vegas ในคำฟ้องร้องการเป็นผู้สร้างและคนแก้ไข Kronos Banking Trojan ทางผู้พิพากษาได้อนุญาตให้ประกันตัว Marcus ได้โดยใช้เงินประกันตัว 30,000$ ซึ่งทำให้ MalwareTech จำเป็นต้องใช้เวลาอยู่ในกรงขังใน Las Vegas ไปก่อน เพราะทีมกฏหมายไม่สามารถหาเงินมาได้ทันเวลาในการประกันตัว (ศาลประกาศ 3:00 PM แต่ให้จ่ายค่าประกันตัวภายใน 4:00 PM)…
หลังจากผ่านไป 3 เดือน ล่าสุดเริ่มมีการเคลื่อนไหวใน e-Wallet address ของการโอนเงินจาก WannaCry ซึ่งนั่นหมายความว่าคนเขียน WannaCry เปลี่ยนเงินไปเป็นสกุลอื่นแล้วนั่นเอง จากที่เวลาผ่านไปนานถึง 3 เดือน ล่าสุดเงินใน Bitcoin ที่เป็น e-Wallet ของ Hacker ซึ่งมีค่ารวมๆกันถึง $140,000 (4,760,000 บาท) ได้เริ่มถูกนำออกไปแล้ว โดยมีการถอนไป 5 ครั้ง จนกระทั่งเงินใน Wallet…
เมื่อช่วงคืนวันที่ 27/06/2017 ที่ผ่านมา พบการแพร่กระจายไปในวงกว้างของ Ransomware ตัวเก่าในร่างใหม่ (version ใหม่) นั่นคือ Petya Ransomware โดยมีวิธีการกระจายเบื้องต้นของ WannaCry Petya หรือรู้จักกันในชื่อ NotPetya, PetWrap, Goldeneye, และ Pnyetya Ransomware เริ่มเจอจริงๆครั้งแรกเมื่อช่วงเดือนมีนาคม 2016 โดยแตกต่างกับ ransomware ทั่วไปนั่นคือการเข้ารหัส Master Boot Record (MBR) ซึ่งเป็นจุดเก็บ Master…
การแพร่กระจายนั้นไม่ได้ดังแค่เฉพาะโลกของคน IT เท่านั้น ข่าวนี้ก็คงดังมากๆในเหล่า Ransomware Developer เช่นกัน จนถึงขั้นคนเขียน Ransomware ใน Android นำเอาหน้าตาของ WannaCry มาเป็น theme ของ Ransomware ที่เค้าพัฒนาเลยทีเดียว Avast พบ Android Ransomware ที่ชื่อว่า WannaLocker (พบครั้งแรกโดยทีม security ของ Qihoo 360) WannaLocker…
ก่อนหน้านี้เราเคยพูดถึงช่องโหว่ของ Samba ไปแล้ว ซึ่งแน่นอนว่ามีคนไปเปรียบเทียบกับช่องโหว่ MS17-010 ใน SMB Service ซึ่งคล้ายคลึงกันมาก จนกระทั่งให้ชื่อช่องโหว่นี้ว่า SambaCry เลยทีเดียว ล่าสุดเมื่อคืนวันที่ 7/6/2017 ที่ผ่านมามีคนพบ Malware ใน Linux ที่ใช้ช่องโหว่ CVE-2017-7494 ของ Samba ซึ่งเป็น port 445 ในการกระจายตัวเช่นเดียวกับ WannaCry เลย จนมีหลายๆคนให้ชื่อ Malware ตัวนี้ว่า SambaCry…
เราทราบกันดีว่า WannaCry ใช้เครื่องมือ EternalBlue ในการโจมตีช่องโหว่ SMB Service (MS17-010) ซึ่งแน่นอนว่าก่อนหน้านี้ก็มี Malware พฤติกรรมที่คล้ายกับ WannaCry ด้วยเช่นกัน นั่นคือ Adylkuzz ซึ่งแตกต่างจาก WannaCry ที่ฝังเครื่องมือในการขุด Bitcoin แทน หลังจากผ่านช่วงการแพร่กระจายของ WannaCry ไปได้ 2 อาทิตย์ ตอนนี้ก็เริ่มมี Malware ตัวใหม่ที่ใช้ EternalBlue ในการเริ่มการโจมตีและแพร่กระจายเช่นกัน FireEye…
Kaspersky ประกาศสิ่งที่น่าสนใจในเรื่องของ WannaCry ขึ้นมาว่า การทำงานบางส่วนของ WannaCry อาจทำงานไม่สมบูรณ์และทำให้มีความเป็นไปได้ที่จะกู้ไฟล์กลับมาได้โดยไม่ต้องจ่ายเงินแต่อย่างใด Kaspersky พบว่าเมื่อ WannaCry เริ่มทำการเข้ารหัสมันจะทำการอ่านไฟล์ต้นฉบับ แล้วเริ่มทำการเข้ารหัสเนื้อหาของไฟล์และ save เป็นไฟล์นามสกุล “.WNCRYT” หลังจากทำการเข้ารหัสจะเปลี่ยนจาก “.WNCRYT” ไปเป็น “.WNCRY” และลบไฟล์ต้นฉบับทิ้ง ซึ่งการกระทำนี้ขึ้นอยู่กับตำแหน่งและคุณสมบัติไฟล์ของเหยื่อด้วย ถ้าโปรแกรมมองว่า folder ที่จะทำการเข้ารหัสเป็น folder “ที่สำคัญ” เช่น Desktop และ Documents…
Recent Comments