พบ Ransomware “B0r0nt0K” บน Server Linux และอาจจะเข้ารหัสผู้ใช้บน Windows ได้อีกด้วย

ผู้ใช้รายหนึ่งได้ตั้งกระทู้สอบถามกับทาง BleepingComputer ว่าเว็บของเขาโดนโจมตีด้วย Ransomware “B0r0nt0K” โดยไฟล์ที่อยู่บนเซิร์ฟเวอร์ที่เขาใช้ทั้งหมดถูกเข้ารหัสด้วยไฟล์ที่มีนามสกุล “.rontok” ซึ่งระบบปฏิบัติการที่เข้าใช้บนเซิร์ฟเวอร์คือ Ubuntu 16.04 ดังภาพ


ที่มาภาพ : Bleeping Computer

Michael Gillespie ได้ทำการตรวจสอบ Ransomware พบว่าเป็นไฟล์ที่ต้องมีการเข้ารหัสแบบ base64 ซึ่งนำมารวมกับนามสกุล .rontok จะได้เป็นเชื่อไฟล์ใหม่ ยกตัวอย่างเช่น ชื่อไฟล์ที่เข้ารหัส zmAAwbbilFw69b7ag4G4bQ%3D%3D.rontok


ที่มาภาพ : Bleeping Computer

เหยื่อที่ไม่ยังไม่ได้ชำระค่าไถ่ จะเข้าสู่หน้า https://borontok.uk/ ซึ่งเป็นหน้าชำระเงิน โดยจะต้องทำการ Login เข้าไปโดยใช้ ID ดังภาพ


ที่มาภาพ : Bleeping Computer

เมื่อใส่ ID แล้วจะเข้าสู่หน้าการชำระเงิน แฮกเกอร์จะให้ชำระเงินค่าไถ่เป็นเงิน 20 bitcoin หรือเท่ากับ 75,000 เหรียญ คิดเป็นเงินไทยประมาณ 2,348,737.50 บาท ซึ่งแฮกเกอร์ได้ให้ที่อยู่ในการส่งค่าไถ่มาด้วย แต่อย่างไรหากเหยื่อต้องการเจรจาต่อรองสามารถทำได้ โดยอีเมลไปที่ info@botontok.uk ดังภาพ


ที่มาภาพ : Bleeping Computer

และเมื่อทาง Bleeping Computer ตรวจสอบโค้ดที่ใช้บนเว็บการชำระเงิน ก็พบคอมเม้นที่ฝังอยู่บนหน้าเว็บระบุข้อความว่า “Vietnamese Hacker”


ที่มาภาพ : Bleeping Computer

แม้ว่าข้อความที่พบนั้นจะบ่งบอกว่าเป็นแฮกเกอร์จากเวียดนาม แต่ก็ยังไม่มีหลักฐานอะไรมารองรับว่าการโจมตีนี้เกิดจากแฮกเกอร์ชาวเวียดนาม และทาง Bleeping Computer ได้สอบถามไปยังแฮกเกอร์ แต่ก็ยังไม่ได้รับคำตอบใดๆ กลับมาเลย
ที่มา : Bleeping Computer