ແຈ້ງເຕືອນAXLocker Ransomware

ນັກວິໄຈຈາກ Cyble(1) ພົບແຣນຊຳແວຕະກູນໃໝ່ ‘AXLocker’ ບໍ່ພຽງແຕ່ເຂົ້າລະຫັດຟາຍຂອງຜູ້ໃຊ້ເພື່ອຮຽກຄ່າໄຖ່ເທົ່ານັ້ນ ແຕ່ຍັງລັກໂທເຄັນ Discord(2) ຂອງຜູ້ໃຊ້ອີກດ້ວຍ

ເມື່ອ​ຜູ້​ໃຊ້​ມີການ login ເຂົ້າ​ສູ່​ລະບົບ Discord ດ້ວຍ​ຂໍ້​ມູນ​ປະຈຳ​ຕົວ ແພລດ​ຟອມ​ (Platform) ຈະ​ສົ່ງ​ໂທ​ເຄັນ​ເພື່ອ​ເປັນ​ການ​ກວດ​ສອບ​ສິດ​ທິຜູ້​ໃຊ້​ທີ່​ຖືກ​ບັນ​ທຶກ​ໄວ້​ໃນ​ຄອມພິວເຕີ ແລະ ​ຖືກ​ສົ່ງ​ກັບ​ໄປ ຫຼັງ​ຈາກ​ທີ່​ກວດ​ສອບ​ສິດ​ການ​ໃຊ້​ງານ​ຮຽບຮ້ອຍ​ແລ້ວ ໂທ​ເຄັນ​ນີ້​ຈະ​ຖືກ​ໃຊ້​ຢືນຢັນ​ຕົວ​ຕົນ​ເພື່ອ​ເຂົ້າ​ສູ່​ລະບົບ​ໃນ​ຖານະ​ຂອງ​ຜູ້​ໃຊ້​ງານ ລວມ​ເຖິງ​ໃຊ້​ເພື່ອ​ອອກ​ຄຳ​ຂໍ​ໃຊ້​ງານ API ຕ່າງ​ໆ ທີ່​ສາມາດ​ດຶງ​ຂໍ້​ມູນ​ບັນ​ຊີ​ທີ່​ກ່ຽວ​ຂ້ອງ​ໄດ້ ຜູ້​ໂຈມ​ຕີ​ຈຶ່ງ​ຕ້ອງ​ການ​ລັກ​ຂໍ້​ມູນ​ໂທ​ເຄັນ​ເຫຼົ່າ​ນີ້ ເພາະ​ສາມາດ​ໃຊ້​ໃນ​ການ​ຄວບ​ຄຸມ​ບັນ​ຊີ​ຂອງ​ຜູ້​ໃຊ້​ງານ ຫຼື ​ຮ້າຍແຮງ​ໄປ​ກວ່າ​ນັ້ນ​ຄື​ໃຊ້​ໂທ​ເຄັນ​ໃນ​ທາງ​ທີ່​ຜິດ ເພື່ອ​ເປັນ​ການ​ໂຈມ​ຕີ​ໃນ​ຂັ້ນ​ຕອນ​ຕໍ່ໄປ

ໃນ​ການ​ດຳ​ເນີນ​ການ ແຣນຊຳແວຈະ​ກຳນົດ​ເປົ້າ​ໝາຍ​ຟາຍ​ນາມສ​ະກຸນ​ບາງຟາຍ ແຕ່​ບໍ່​ລວມ​ໂຟນ​ເດ​ີ​ຕາມ​ຕົວ​ຢ່າງ​ດ້ານ​ລຸ່ມນີ້

ຟາຍເປົ້າ​ໝາຍ (ດ້ານ​ຊ້າຍ) ແລະ​ ໂຟນເດີ​ທີ່​ຖືກ​ຍົກ​ເວັ້ນ (ດ້ານ​ຂວາ)

ການ​ເຂົ້າ​ລະຫັດ​ຟາຍ​ແຣນຊຳແວ AXLocker ການ​ໃຊ້​ວິທີ​ການ​ເຂົ້າ​ລະ​ຫັດ​ແບບ AES (Advanced Encryption Standard) ຈຶ່ງ​ເຮັດໃຫ້​ຟາຍ​ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ບໍ່​ມີ​ຊື່​ຟາຍໃດ​ໆ ຕໍ່​ທ້າຍ ຈຶ່ງ​ເຮັດໃຫ້​ຜູ້​ໃຊ້​ງານ​ເບິ່ງ​ເຫັນ​ຊື່​ຟາຍ ເປັນ​ຊື່​ຟາຍປົກ​ກະ​ຕິ ຫຼັງ​ຈາກ​ນັ້ນ​ແຣນຊຳແວ AXLocker ຈະ​ສົ່ງ​ລະ​ຫັດ​ເຫຢື່ອ ລວມ​ເຖິງ​ລາຍ​ລະອຽດ​ຂອງ​ລະບົບ ຂໍ້​ມູນ​ທີ່​ຖືກ​ບັນ​ທຶກ​ໄວ້​ໃນ​ບຣາວເຊີ່ ແລະ​ ໂທ​ເຄັນ Discord ໄປ​ທີ່ Discord channel ຂອງ​ຜູ້​ໂຈມ​ຕີ​ໂດຍ​ການ​ໃຊ້​ງານ​ຜ່ານ webhook URL

ໂຟນເດີ​ທີ່​ຖືກ​ສ​ະແກນ​ເພື່ອທຳການ​ລັກ​ໂທ​ເຄັນ

  • Discord\Local Storage\leveldb
  • discordcanary\Local Storage\leveldb
  • discordptb\leveldb
  • Opera Software\Opera Stable\Local Storage\leveldb
  • Google\Chrome\User Data\\Default\Local Storage\leveldb
  • BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
  • Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

ທ້າຍ​ທີ່ສຸດ ຜູ້​ເສຍ​ຫາຍ​ຈະ​ໄດ້ຮັບ​ແຈ້ງ​ຂໍ້ຄວາມ​ໃນ​ຮູບ​ແບບ pop-up window ທີ່​ມີ​ຂໍ້ຄວາມ​ຮຽກ​ຄ່າ​ໄຖ່ ແລະ ​ແຈ້ງ​ໃຫ້​ຮູ້ວ່າ​ຂໍ້​ມູນ​ຂອງ​ພວກ​ເຂົາໄດ້​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ຮຽບຮ້ອຍ​ແລ້ວ ໃຫ້​​ຕິດ​ຕໍ່​​ຄ່າ​ໄຖ່ ໃນ​ການ​ຖອດ​ລະ​ຫັດ​ ຫຼື ​ປົດ​ລັອກ​ຟາຍ​ຂໍ້​ມູນ ໂດຍ​ຜູ້​ເສຍ​ຫາຍ​ເອງ​ມີ​ເວລາ 48 ຊົ່ວ​ໂມງ​ໃນ​ການ​ຕິດ​ຕໍ່ ແຕ່​ບໍ່​ໄດ້​ລະ​ບຸ​ເຖິງ​ຈຳນວນ​ເງິນ​ຄ່າ​ໄຖ່​

ດັ່ງ​ນັ້ນ ​ຫາກ​ພົ​ບວ່າ AXLocker ເຂົ້າ​ລະ​ຫັດ​ຄອມພິວເຕີ​ຂອງທ່ານ ໃຫ້​ຮີບ​ປ່ຽນລະ​ຫັດ​ຜ່ານ Discord ໂດຍ​ທັນ​ທີ ເພາະ​ຈະ​ເຮັດໃຫ້​ໂທ​ເຄັນ​ທີ່​ຖືກ​ລັກ​ໄປ​ບໍ່​ສາມາດ​ໃຊ້​ງານ​ໄດ້

ເອກະສານອ້າງອີງ

  1. https://blog.cyble.com/2022/11/18/axlocker-octocrypt-and-alice-leading-a-new-wave-of-ransomware-campaigns/
  2. https://discord.com/
  3. https://cybertron.co.th/axlocker-ransomware/
  4. https://www.bleepingcomputer.com/news/security/new-ransomware-encrypts-files-then-steals-your-discord-account/
1,213 Views