DeathRansom เป็นแรนซั่มแวร์สายพันธุ์ใหม่ที่วิวัฒนาการมาจากมัลแวร์ที่ไม่ได้มีความสามารถในการเข้ารหัสข้อมูลมาก่อน มาสู่การใช้อัลกอริทึมเข้ารหัสที่หลากหลายผสานกันเพื่อเข้ารหัสไฟล์ของเหยื่อ พบครั้งแรกเมื่อช่วงต้นเดือนพฤศจิกายน
สมัยนั้นมัลแวร์ตัวนี้แค่ทำทีให้เข้าใจว่าเข้ารหัสล็อกไฟล์ไปแล้ว แต่จริงๆ แค่เปลี่ยนสกุลไฟล์เท่านั้น ผู้ใช้ยังสามารถกู้คืนไฟล์ได้เพียงแค่ลบสกุลไฟล์ออกไป แต่ล่าสุดนักวิจัยจาก Fortinet พบว่ามีการพัฒนาตัวเองจนมีอัลกอริทึมที่ผสานกันหลากหลายเพื่อเข้ารหัสไฟล์ได้จริงแล้ว
DeathRansom มีส่วนเหมือนกับแรนซั่มแวร์ตัวอื่นตรงที่ค้นหาและเข้ารหัสไฟล์บนไดรฟ์ทั้งที่อยู่บนเครื่องและที่อยู่บนเน็ตเวิร์ก โดยหลีกเลี่ยงเข้ารหัสโฟลเดอร์ที่สำคัญอย่างเช่น Program Files, Windows และไฟล์ระบบ เป็นต้น แต่แรนซั่มแวร์ตัวนี้มีการตรวจสอบภาษาก่อนว่าเครื่องปัจจุบันนั้นมาจากกลุ่มประเทศยุโรปตะวันออกหรือไม่ ซึ่งถ้าใช่ก็จะหลีกเลี่ยงไม่เข้ารหัสบนเครื่องนั้น
DeathRansom เวอร์ชั่นใหม่นี้สามารถเข้ารหัสด้วยอัลกอริทึมมากมายรวมกันไม่ว่าจะเป็น Curve25519 ที่ใช้การแลกเปลี่ยนคีย์แบบ Elliptic Curve Diffie-Hellman (ECDH) ไปจนถึง Salsa20, RSA-2048, AES-256 ECB
หรือแม้แต่การใช้อัลกอริทึมอย่างง่ายเช่น XOR เพื่อเข้ารหัสไฟล์ และหลังจากกระบวนการเข้ารหัสที่ซับซ้อนมากได้เสร็จสิ้น ก็จะปล่อยข้อความเรียกค่าไถ่ที่มีไอดีปลดล็อกอ้างอิงที่แตกต่างกันบนแต่ละเครื่อง ทั้งนี้นักวิจัยพบว่า ข้อความเรียกค่าไถ่นี้น่าจะถูกเขียนมาจากคอมพิวเตอร์ที่ใช้ภาษาสโลวักติดตั้งแบบดีฟอลต์ รวมทั้งพบร่องรอยว่าแรนซั่มแวร์ตัวนี้มีความเกี่ยวข้องกับมัลแวร์จารกรรมข้อมูลอย่าง Vidar และตัวอย่างมัลแวร์เหล่านี้สามารถซื้อได้บนเว็บบอร์ดใต้ดินของรัสเซีย
ที่มา : GBHackers
