Facebook Pixel

កម្មវិធីដោះកូដមេរោគ Ouroboros

កម្មវិធីដោះកូដមេរោគ Ouroboros

Ouroboros ransomware មានអាយុកាលច្រើនជាងមួយឆ្នាំហើយ ក្នុងទម្រង់ផ្សេងៗគ្នាដែលដំណើរការដោយក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងៗគ្នា។ Ouroboros ដែលត្រូវបានគេស្គាល់ បានរីករាលដាលតាមរយៈការវាយប្រហារពីចម្ងាយ និងការទាញយកព័ត៌មានបោកប្រាស់ បានធើ្វអោយប៉ះពាល់ជនរងគ្រោះជាច្រើននៅទូទាំងពិភពលោក។ ឥឡូវនេះយើងរីករាយនឹងប្រកាស អំពីការដាក់លេខកូដថ្មីដែលអាចស្តារ extension ឯកសារ .Lazarus និង .Lazarus + ទៅទម្រង់ដើមដែលមិនបាន encrypt។

សូមកត់សម្គាល់ថាកម្មវិធីនេះដំណើរការសម្រាប់តែ extension របស់ Lazarus និង Lazarus+ ប៉ុណ្ណោះ។ variant .Kronos កំពុងស្ថិតនៅក្រោមការវិភាគ។

វិធីសម្គាល់ប្រសិនបើអ្នកមានផលប៉ះពាល់ពីការចម្លងមេរោគ Ouroboros ជាក់លាក់នេះ

នៅលើកុំព្យួទ័រដែលឆ្លងមេរោគ ឯកសារភាគច្រើនត្រូវបាន encrypt និងប្តូរឈ្មោះទៅឈ្មោះឯកសារដើម បន្ថែមនឹងកន្ទុយឈ្មោះឯកសារ [ID=XXXXXXXXXX][Mail= * ].Lazarus ឬ [ID=XXXXXXXXXX][Mail= * ]​.Lazarus + strings. លេខសម្គាល់មានតួអក្សរដែលតែងតែផ្លាស់ប្តូរចំនួន ១០តួ ។ លើសពីនេះទៀត Ouroboros នឹងបង្កើតកំណត់ចំណាំ ransom ដែលមានឈ្មោះថា Read-Me-Now.txt ។

Ransom Note រូបភាពទី ១៖ កំណត់ចំណាំ Lazarus ransomRansom Noteរូបភាពទី ២៖ Lazarus+ ransom note

ប្រសិនបើអ្នករងផលប៉ះពាល់ពីការចម្លងមេរោគ Lazarus នេះ អ្នកអាចទាញយក decryptor ភ្លាមៗតែម្តង។ ប្រសិនបើអ្នកចាប់អារម្មណ៍នឹងរបៀបដែល Ouroboros ដំណើរការ អ្នកអាចអានពីព័ត៌មាន Ouroboros បន្ទាប់បាន។/p>

ការណ៌នាបច្ចេកទេសសង្ខេប

ឯកសារដែលរងផលប៉ះពាល់ត្រូវបាន encrypt ជាមួយក្បួនដោះស្រាយនៃ AES 256 CBC ដោយផ្អែកលើសេចក្តីណែនាំ aesenc / aesenclast ប្រជុំគ្នា។ ការធ្វើបែបនេះ ជួយរារាំងមេរោគពីដំណើរការលើម៉ូដែល CPU ចាស់ (មុនឆ្នាំ 2010) ដែលខ្វះ support សម្រាប់ការណែនាំទាំងនេះ។

រូបភាពទី ៣៖ សកម្មភាព encryption ជារឿយៗ ជាមួយនឹង AES-NI Support

The initialization vector used for encryption is hardcoded rather than generated, and it changes with each version:

រូបភាពទី ៤៖ Lazarus initialization vector រូបភាពទី៥៖ Lazarus+ initialization vector

កូដទាំងនេះត្រូវបានបង្កើតដោយប្រើការរួមបញ្ចូលគ្នារវាង PRNGS ទាំងពីរ (កម្មវិធីបង្កើតលេខមិនជាក់លាក់ pseudo) គឺ Mersenne Twister និង IsaacRandom ដោយចាប់ផ្តើមតាមអក្ខរក្រមខាងក្រោម៖

បន្ទាប់ពីបង្កើតលេខកូដរួច មេរោគព្យាយាមទាក់ទងទៅ server ដើម្បីផ្ញើលេខកូដនេះជាមួយព័ត៌មានអ្នកប្រើ។ ក្នុងករណីដែលគ្មានការឆ្លើយតប លេខកូដនេះនឹងត្រូវបោះចោលហើយជំនួសដោយ Hard-coded វិញ៖

វិធី decrypt ទិន្នន័យរបស់អ្នក

ជំហានទី ១ ទាញយកឧបករណ៍ដោះលេខកូដខាងក្រោមហើយរក្សាទុកវានៅកន្លែងណាមួយនៅលើកុំព្យូទ័ររបស់អ្នក។

កម្មវិធីនេះមិនតម្រូវឱ្យមានការតភ្ជាប់អ៊ីនធឺណិតដើម្បីសកម្មទេ។

ជំហានទី ២៖ ចុចទ្វេដងលើ BDOuroborosDecryptTool.exe និងអនុញ្ញាតិឱ្យវាដំណើរការកើនឡើងនៅប្រអប់បញ្ចូល UAC ។

ជំហានទី ៣៖ យល់ព្រមលើកិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណអ្នកប្រើប្រាស់ចុងក្រោយ

ជំហានទី ៤៖ ជ្រើសរើស“Scan Entire System” ប្រសិនបើអ្នកចង់ស្វែងរកឯកសារដែលបាន encrypt ទាំងអស់។ ម៉្យាងទៀតគ្រាន់តែបន្ថែម path ទៅកាន់ folder ដែលមានឯកសារ encrypt រួច។ យើងសូមណែនាំអ្នកឱ្យជ្រើសរើស“ Backup files” មុនពេលចាប់ផ្តើម decrypt ប្រសិនបើមានអ្វីកើតឡើងដោយចៃដន្យ ក្នុងពេលដំណើរការ។ ធ្វើការចាប់ផ្តើម decryption ដោយចុចប៊ូតុង“ ស្កេន” ។

នៅចុងបញ្ចប់នៃជំហាននេះ ឯកសាររបស់អ្នកគួរតែត្រូវបាន decrypt។ កម្មវិធីនឹងបង្កើតកំណត់ហេតុប្រតិបតិ្តការមួយនៅទីតាំង %temp%\BDRansomDecryptor\BDRansomDecryptor\BitdefenderLog.txt

ប្រសិនបើអ្នកត្រូវការជំនួយ សូមទាក់ទងមកយើងខ្ញុំតាមអាស័យដ្ឋានផ្តល់យោបល់ដែលមានក្នុងកម្មវិធីនេះ។ យើងសូមឱ្យអ្នកភ្ជាប់ឯកសារកំណត់ហេតុដែលបានរៀបរាប់ខាងលើ ដើម្បីជួយអ្នកឱ្យបែងចែកបញ្ហាវាយប្រហារសំខាន់ៗ និងកាត់បន្ថយពេលវេលាឆ្លើយតប។

ការបង្កើតឡើងដោយស្វ័យប្រវត្តិឆ្លងកាត់បណ្តាញ

កម្មវិធីនេះក៏អាចត្រូវបានប្រតិបត្តិតាមរយៈ command line ផងដែរ។ ប្រសិនបើអ្នកត្រូវការបង្កើតកម្មវិធីដោយស្វ័យប្រវត្តិនៅក្នុងបណ្តាញធំ អ្នកអាចប្រើមុខងារនេះ។  

  • -help –ផ្តល់ព័ត៌មានអំពីរបៀបដំណើរការឧបករណ៍ដោយស្ងៀមស្ងាត់ (ព័ត៌មាននេះនឹងត្រូវបានសរសេរនៅក្នុងឯកសារកំណត់ហេតុ តែមិនសរសេរនៅលើ console ទេ) 
  • start – កូដនេះអនុញ្ញាតឱ្យកម្មវិធីដំណើរការដោយស្ងៀមស្ងាត់ (គ្មាន GUI)  
  • path – កូដនេះបញ្ជាក់ path ដែលត្រូវស្កេន 
  • test – កូដនេះបញ្ជាក់ path ដែលងាយបំផុតទៅឯកសារដើម / encrypt មួយគូ 
  • o0:1 – បើកអោយមានជម្រើស ស្កេនប្រព័ន្ធទាំងមូល option (ដោយមិនខ្វល់ពី -path argument) 
  • o1:1 – បើកអោយមានជម្រើស Backup files option 
  • o2:1 – បើកអោយដំណើរការ សរសេរជំនួសលើ ឯកសារដែលមានស្រាប់ option 

ឧទាហរណ៍ Command line មួយចំនួន៖  

BDOuroborosDecryptor.exe start -path:”C:\” -> កម្មវិធីនឹងចាប់ផ្តើមដោយគ្មាន GUI និងស្កេន C:\  

BDOuroborosDecryptor.exe start o0:1 -> កម្មវិធីនឹងចាប់ផ្តើមដោយគ្មាន GUI ហើយស្កេនប្រព័ន្ធទាំងមូល 

BDOuroborosDecryptor.exe start o0:1 o1:1 o2:1 -> កម្មវិធីនឹងស្កេនប្រព័ន្ធទាំងមូល បម្រុងទុកឯកសារ ដែលបាន encrypt និងសរសេរជំនួសលើឯកសារល្អបច្ចុប្បន្ន 

ការទទួលស្គាល់

ផលិតផលនេះរួមបញ្ចូលទាំងកម្មវិធី ដែលបង្កើតឡើងដោយ គម្រោង OpenSSL, សម្រាប់ប្រើក្នុង OpenSSL Toolkit.