ผู้ใช้รายหนึ่งได้ตั้งกระทู้สอบถามกับทาง BleepingComputer ว่าเว็บของเขาโดนโจมตีด้วย Ransomware “B0r0nt0K” โดยไฟล์ที่อยู่บนเซิร์ฟเวอร์ที่เขาใช้ทั้งหมดถูกเข้ารหัสด้วยไฟล์ที่มีนามสกุล “.rontok” ซึ่งระบบปฏิบัติการที่เข้าใช้บนเซิร์ฟเวอร์คือ Ubuntu 16.04 ดังภาพ
ที่มาภาพ : Bleeping Computer
Michael Gillespie ได้ทำการตรวจสอบ Ransomware พบว่าเป็นไฟล์ที่ต้องมีการเข้ารหัสแบบ base64 ซึ่งนำมารวมกับนามสกุล .rontok จะได้เป็นเชื่อไฟล์ใหม่ ยกตัวอย่างเช่น ชื่อไฟล์ที่เข้ารหัส zmAAwbbilFw69b7ag4G4bQ%3D%3D.rontok
ที่มาภาพ : Bleeping Computer
เหยื่อที่ไม่ยังไม่ได้ชำระค่าไถ่ จะเข้าสู่หน้า https://borontok.uk/ ซึ่งเป็นหน้าชำระเงิน โดยจะต้องทำการ Login เข้าไปโดยใช้ ID ดังภาพ
ที่มาภาพ : Bleeping Computer
เมื่อใส่ ID แล้วจะเข้าสู่หน้าการชำระเงิน แฮกเกอร์จะให้ชำระเงินค่าไถ่เป็นเงิน 20 bitcoin หรือเท่ากับ 75,000 เหรียญ คิดเป็นเงินไทยประมาณ 2,348,737.50 บาท ซึ่งแฮกเกอร์ได้ให้ที่อยู่ในการส่งค่าไถ่มาด้วย แต่อย่างไรหากเหยื่อต้องการเจรจาต่อรองสามารถทำได้ โดยอีเมลไปที่ info@botontok.uk ดังภาพ
ที่มาภาพ : Bleeping Computer
และเมื่อทาง Bleeping Computer ตรวจสอบโค้ดที่ใช้บนเว็บการชำระเงิน ก็พบคอมเม้นที่ฝังอยู่บนหน้าเว็บระบุข้อความว่า “Vietnamese Hacker”
ที่มาภาพ : Bleeping Computer
แม้ว่าข้อความที่พบนั้นจะบ่งบอกว่าเป็นแฮกเกอร์จากเวียดนาม แต่ก็ยังไม่มีหลักฐานอะไรมารองรับว่าการโจมตีนี้เกิดจากแฮกเกอร์ชาวเวียดนาม และทาง Bleeping Computer ได้สอบถามไปยังแฮกเกอร์ แต่ก็ยังไม่ได้รับคำตอบใดๆ กลับมาเลย
ที่มา : Bleeping Computer
