มีการตรวจพบมัลแวร์ลบข้อมูลตัวใหม่ที่แพร่ระบาดในเทอร์มินัลมากขึ้นทุกวัน แต่สิ่งที่น่าสงสัยที่สุดคือมันหลอกว่าเป็นแรนซัมแวร์ (เปิดในแท็บใหม่)
มัลแวร์นี้มีชื่อว่า Azov Ransomware และเมื่อมันทำงานบนอุปกรณ์ของเหยื่อ มันจะเขียนทับข้อมูลไฟล์ด้วยไฟล์ขยะ ทำให้ไฟล์ไร้ประโยชน์ การเขียนทับเป็นวัฏจักร: มัลแวร์จะเขียนทับข้อมูล 666 ไบต์ จากนั้นปล่อยให้ 666 ถัดไปไม่ถูกแตะต้อง จากนั้นทำซ้ำตามขั้นตอน
แม้ว่าจะไม่มีวิธีกู้คืนไฟล์ที่เสียหาย แต่ไม่มีคีย์ถอดรหัสหรือหมายเหตุเรียกค่าไถ่ มัลแวร์ (เปิดในแท็บใหม่) ยังคงมาพร้อมกับหมายเหตุเรียกค่าไถ่ ซึ่งระบุว่าผู้ที่ตกเป็นเหยื่อควรติดต่อเจ้าหน้าที่รักษาความปลอดภัยของนักวิจัยและนักข่าวเพื่อขอความช่วยเหลือ .
ทริกเกอร์การดำเนินการ
สิ่งที่น่าสงสัยอีกอย่างเกี่ยวกับ Azov Ransomware คือมันมาพร้อมกับทริกเกอร์ซึ่งทำให้มันไม่ใช้งานในเทอร์มินัลจนถึงวันที่ 27 ตุลาคม 10:14:30 UTC หลังจากนั้นทุกอย่างก็พังทลาย
เมื่อวันดังกล่าวมาถึง เหยื่อไม่จำเป็นต้องเรียกใช้โปรแกรมปฏิบัติการที่แน่นอนเสมอไป การรันโปรแกรมเกือบทุกชนิดจะทำได้ นี่เป็นเพราะตัวล้างจะทำให้โปรแกรมปฏิบัติการ 64 บิตอื่น ๆ ทั้งหมดติดไวรัสบนอุปกรณ์ที่พาธไฟล์ไม่มีสตริงเหล่านี้:
:หน้าต่าง
ข้อมูลโปรแกรม
แคช 2 รายการ
ภายใต้เนื้อหา IE5
User DataDefaultCache
เอกสารและการตั้งค่า
ผู้ใช้ทั้งหมด,
กล่าวอีกนัยหนึ่ง การรันโปรแกรมที่ดูเหมือนจะไม่เป็นอันตรายจะทำให้คอมพิวเตอร์ของคุณพังและทำลายข้อมูลทั้งหมดบนเครื่อง
Azov Ransomware เผยแพร่ผ่านบ็อตเน็ต Smokeloader ซึ่งพบได้ทั่วไปในซอฟต์แวร์ละเมิดลิขสิทธิ์ปลอมและไซต์แคร็ก
ใครก็ตามที่ซ่อนตัวอยู่หลังที่ปัดน้ำฝนนี้ แรงจูงใจของพวกเขายังไม่ชัดเจน ในขณะที่นักวิจัยบางคนเชื่อว่าที่ปัดน้ำฝนใช้เพื่อซ่อนพฤติกรรมที่เป็นอันตรายอื่นๆ คนอื่นๆ เชื่อว่าแรงจูงใจนั้นไม่มีอะไรมากไปกว่าการหลอกล่อชุมชนความปลอดภัยทางไซเบอร์
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)