Gunra Ransomware โจมตีทั้ง Windows และ Linux — แต่เวอร์ชัน Linux มีจุดอ่อนร้ายแรงที่อาจช่วยให้กู้ไฟล์ได้
Gunra Ransomware ถูกเปิดโปงโดย AhnLab ว่าเป็นมัลแวร์แบบ cross-platform ที่โจมตีทั้ง Windows และ Linux โดยใช้การเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ แต่สิ่งที่น่าสนใจคือ เวอร์ชัน Linux มีจุดอ่อนในการสร้างคีย์เข้ารหัส ที่อาจเปิดช่องให้ผู้เชี่ยวชาญสามารถกู้คืนไฟล์ได้ผ่านการ brute force
ข้อมูลสำคัญจากรายงานของ AhnLab
Gunra มีทั้งไฟล์ .exe สำหรับ Windows และ .elf สำหรับ Linux
ทั้งสองเวอร์ชันสามารถเข้ารหัสไฟล์และขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่
Linux variant รองรับ argument เช่น --threads, --path, --exts, --ratio, --limit, --store เพื่อปรับแต่งการเข้ารหัส
ใช้ ChaCha20 ใน Linux และ ChaCha8 ใน Windows
Linux ใช้ ChaCha20 พร้อมสร้าง key/nonce ใหม่ทุกไฟล์
Windows ใช้ ChaCha8 และสร้าง key ด้วย CryptGenRandom API ที่ปลอดภัย
จุดอ่อนในเวอร์ชัน Linux: ใช้ time() และ rand() สร้างคีย์
การใช้ time-based seed ทำให้ key ซ้ำได้ง่าย
นักวิจัยพบว่า brute force สามารถกู้คืนคีย์ได้ เพราะมีเพียง 256 ค่า byte ที่ต้องทดสอบต่อจุด
หากเหยื่อเก็บไฟล์เข้ารหัสและ timestamp ไว้ อาจกู้คืนได้สำเร็จ
พฤติกรรมการเข้ารหัสของ Gunra
เข้ารหัส 1MB แล้วข้าม byte ตามค่า --ratio
หากใช้ --store จะเข้ารหัสคีย์ด้วย RSA และบันทึกไว้ในไฟล์ .keystore
หากไม่ใช้ --store คีย์จะถูกแนบไว้ท้ายไฟล์
ไฟล์บางประเภทถูกยกเว้นจากการเข้ารหัส
เช่น R3ADM3.txt และไฟล์ .encrt เพื่อให้เหยื่อสามารถอ่านคำสั่งเรียกค่าไถ่ได้
คำเตือนสำหรับผู้ใช้ Linux และองค์กร
แม้จะมีช่องโหว่ แต่การกู้คืนไฟล์ต้องใช้ข้อมูลเฉพาะ
ต้องมีไฟล์เข้ารหัสและ timestamp ที่แม่นยำ
การ brute force ต้องใช้ทรัพยากรและความเชี่ยวชาญสูง
Windows variant ยังไม่สามารถกู้คืนได้
ใช้ CryptGenRandom API ที่ปลอดภัย ทำให้ key ไม่สามารถเดาได้
การเข้ารหัสใน Windows จึงถือว่า “แทบไม่สามารถย้อนกลับได้”
การป้องกันยังคงเป็นแนวทางหลัก
หลีกเลี่ยงการรันไฟล์จากแหล่งที่ไม่ปลอดภัย
สำรองข้อมูลอย่างสม่ำเสมอ และแยกเก็บจากระบบหลัก
ใช้ระบบตรวจจับพฤติกรรมและการเข้ารหัสที่ทันสมัย
https://securityonline.info/ahnlab-uncovers-gunra-ransomware-dual-platform-threat-with-weak-linux-encryption/
Gunra Ransomware ถูกเปิดโปงโดย AhnLab ว่าเป็นมัลแวร์แบบ cross-platform ที่โจมตีทั้ง Windows และ Linux โดยใช้การเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ แต่สิ่งที่น่าสนใจคือ เวอร์ชัน Linux มีจุดอ่อนในการสร้างคีย์เข้ารหัส ที่อาจเปิดช่องให้ผู้เชี่ยวชาญสามารถกู้คืนไฟล์ได้ผ่านการ brute force
ข้อมูลสำคัญจากรายงานของ AhnLab
Gunra มีทั้งไฟล์ .exe สำหรับ Windows และ .elf สำหรับ Linux
ทั้งสองเวอร์ชันสามารถเข้ารหัสไฟล์และขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่
Linux variant รองรับ argument เช่น --threads, --path, --exts, --ratio, --limit, --store เพื่อปรับแต่งการเข้ารหัส
ใช้ ChaCha20 ใน Linux และ ChaCha8 ใน Windows
Linux ใช้ ChaCha20 พร้อมสร้าง key/nonce ใหม่ทุกไฟล์
Windows ใช้ ChaCha8 และสร้าง key ด้วย CryptGenRandom API ที่ปลอดภัย
จุดอ่อนในเวอร์ชัน Linux: ใช้ time() และ rand() สร้างคีย์
การใช้ time-based seed ทำให้ key ซ้ำได้ง่าย
นักวิจัยพบว่า brute force สามารถกู้คืนคีย์ได้ เพราะมีเพียง 256 ค่า byte ที่ต้องทดสอบต่อจุด
หากเหยื่อเก็บไฟล์เข้ารหัสและ timestamp ไว้ อาจกู้คืนได้สำเร็จ
พฤติกรรมการเข้ารหัสของ Gunra
เข้ารหัส 1MB แล้วข้าม byte ตามค่า --ratio
หากใช้ --store จะเข้ารหัสคีย์ด้วย RSA และบันทึกไว้ในไฟล์ .keystore
หากไม่ใช้ --store คีย์จะถูกแนบไว้ท้ายไฟล์
ไฟล์บางประเภทถูกยกเว้นจากการเข้ารหัส
เช่น R3ADM3.txt และไฟล์ .encrt เพื่อให้เหยื่อสามารถอ่านคำสั่งเรียกค่าไถ่ได้
คำเตือนสำหรับผู้ใช้ Linux และองค์กร
แม้จะมีช่องโหว่ แต่การกู้คืนไฟล์ต้องใช้ข้อมูลเฉพาะ
ต้องมีไฟล์เข้ารหัสและ timestamp ที่แม่นยำ
การ brute force ต้องใช้ทรัพยากรและความเชี่ยวชาญสูง
Windows variant ยังไม่สามารถกู้คืนได้
ใช้ CryptGenRandom API ที่ปลอดภัย ทำให้ key ไม่สามารถเดาได้
การเข้ารหัสใน Windows จึงถือว่า “แทบไม่สามารถย้อนกลับได้”
การป้องกันยังคงเป็นแนวทางหลัก
หลีกเลี่ยงการรันไฟล์จากแหล่งที่ไม่ปลอดภัย
สำรองข้อมูลอย่างสม่ำเสมอ และแยกเก็บจากระบบหลัก
ใช้ระบบตรวจจับพฤติกรรมและการเข้ารหัสที่ทันสมัย
https://securityonline.info/ahnlab-uncovers-gunra-ransomware-dual-platform-threat-with-weak-linux-encryption/
🛡️💻 Gunra Ransomware โจมตีทั้ง Windows และ Linux — แต่เวอร์ชัน Linux มีจุดอ่อนร้ายแรงที่อาจช่วยให้กู้ไฟล์ได้
Gunra Ransomware ถูกเปิดโปงโดย AhnLab ว่าเป็นมัลแวร์แบบ cross-platform ที่โจมตีทั้ง Windows และ Linux โดยใช้การเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ แต่สิ่งที่น่าสนใจคือ เวอร์ชัน Linux มีจุดอ่อนในการสร้างคีย์เข้ารหัส ที่อาจเปิดช่องให้ผู้เชี่ยวชาญสามารถกู้คืนไฟล์ได้ผ่านการ brute force
✅ ข้อมูลสำคัญจากรายงานของ AhnLab
✅ Gunra มีทั้งไฟล์ .exe สำหรับ Windows และ .elf สำหรับ Linux
➡️ ทั้งสองเวอร์ชันสามารถเข้ารหัสไฟล์และขู่เปิดเผยข้อมูลหากไม่จ่ายค่าไถ่
➡️ Linux variant รองรับ argument เช่น --threads, --path, --exts, --ratio, --limit, --store เพื่อปรับแต่งการเข้ารหัส
✅ ใช้ ChaCha20 ใน Linux และ ChaCha8 ใน Windows
➡️ Linux ใช้ ChaCha20 พร้อมสร้าง key/nonce ใหม่ทุกไฟล์
➡️ Windows ใช้ ChaCha8 และสร้าง key ด้วย CryptGenRandom API ที่ปลอดภัย
✅ จุดอ่อนในเวอร์ชัน Linux: ใช้ time() และ rand() สร้างคีย์
➡️ การใช้ time-based seed ทำให้ key ซ้ำได้ง่าย
➡️ นักวิจัยพบว่า brute force สามารถกู้คืนคีย์ได้ เพราะมีเพียง 256 ค่า byte ที่ต้องทดสอบต่อจุด
➡️ หากเหยื่อเก็บไฟล์เข้ารหัสและ timestamp ไว้ อาจกู้คืนได้สำเร็จ
✅ พฤติกรรมการเข้ารหัสของ Gunra
➡️ เข้ารหัส 1MB แล้วข้าม byte ตามค่า --ratio
➡️ หากใช้ --store จะเข้ารหัสคีย์ด้วย RSA และบันทึกไว้ในไฟล์ .keystore
➡️ หากไม่ใช้ --store คีย์จะถูกแนบไว้ท้ายไฟล์
✅ ไฟล์บางประเภทถูกยกเว้นจากการเข้ารหัส
➡️ เช่น R3ADM3.txt และไฟล์ .encrt เพื่อให้เหยื่อสามารถอ่านคำสั่งเรียกค่าไถ่ได้
‼️ คำเตือนสำหรับผู้ใช้ Linux และองค์กร
‼️ แม้จะมีช่องโหว่ แต่การกู้คืนไฟล์ต้องใช้ข้อมูลเฉพาะ
⛔ ต้องมีไฟล์เข้ารหัสและ timestamp ที่แม่นยำ
⛔ การ brute force ต้องใช้ทรัพยากรและความเชี่ยวชาญสูง
‼️ Windows variant ยังไม่สามารถกู้คืนได้
⛔ ใช้ CryptGenRandom API ที่ปลอดภัย ทำให้ key ไม่สามารถเดาได้
⛔ การเข้ารหัสใน Windows จึงถือว่า “แทบไม่สามารถย้อนกลับได้”
‼️ การป้องกันยังคงเป็นแนวทางหลัก
⛔ หลีกเลี่ยงการรันไฟล์จากแหล่งที่ไม่ปลอดภัย
⛔ สำรองข้อมูลอย่างสม่ำเสมอ และแยกเก็บจากระบบหลัก
⛔ ใช้ระบบตรวจจับพฤติกรรมและการเข้ารหัสที่ทันสมัย
https://securityonline.info/ahnlab-uncovers-gunra-ransomware-dual-platform-threat-with-weak-linux-encryption/
0 ความคิดเห็น
0 การแบ่งปัน
37 มุมมอง
0 รีวิว
English