RYUK គឺជាករណីពិសេសនៃ ransomware ដែលមានរួចហើយក្នុងរយៈពេលប៉ុន្មានខែដំបូងនៃសកម្មភាពរបស់ខ្លួន ដែលបាននាំមកនូវប្រាក់ចំណេញជូនឧក្រិដ្ឋជនចំនួន ៧០៥ BTC (ប្រហែល ៥,៥៤៤,៤០៥ ដុល្លារ) ។ តើវាខុសគ្នាពីគូប្រជែងរបស់ខ្លួនយ៉ាងដូចម្តេច? មានតែក្រុមហ៊ុនធំ ៗ ប៉ុណ្ណោះដែលត្រូវបានគេវាយប្រហារ។ ដើម្បីបង្កើនលទ្ធភាពទទួលបានជោគជ័យនៃការវាយប្រហារ កម្មវិធីនេះត្រូវបានបង្កើតឡើងដោយមានយន្តការដែលទទួលខុសត្រូវចំពោះការបិទសេវាកម្ម backup ដោយស្វ័យប្រវត្តិ កម្មវិធីកម្ចាត់មេរោគ និងលុប backups ដែលមានស្រាប់។ នៅពេលទិន្នន័យត្រូវបានអ៊ិនគ្រីប ហើយការជំរិតទារប្រាក់លោះត្រូវបានបង្ហាញក្នុងពីរទៅបីសប្តាហ៍ក្រោយ ហើយវាយឺតពេលហើយ – ក្រុមហ៊ុនមានតែ backups មិនពេញលេញប៉ុណ្ណោះ។

បើនិយាយឱ្យសាមញ្ញ វិធីសាស្រ្តវាយប្រហាររួមមានតាមជំហានដូចខាងក្រោមៈ

• ការឆ្លងចូលកុំព្យូទ័រមួយក្នុងចំណោមកុំព្យូទ័រដែលមានមេរោគ malware “ណាមួយ” ដែលនឹងផ្តល់ឱ្យយើងនូវឱកាសដើម្បីស្វែងរកហេដ្ឋារចនាសម្ព័ន្ធ
• ការវាយតម្លៃថាតើកុំព្យូទ័រដែលឆ្លងមេរោគជារបស់អង្គការដែលគេស្គាល់ថាជា HTV (គោលដៅតម្លៃខ្ពស់) ឬអត់ ហើយដូច្នេះថាតើសកម្មភាពនិងការចូលរួមបន្ថែមទៀតត្រូវបានរាប់ជាសុចរិតឬអត់។
• ក្នុងករណីនៃការកំណត់អត្តសញ្ញាណគោលដៅមានតម្លៃ ហេដ្ឋារចនាសម្ព័ន្ធរបស់អង្គភាព (ប្រព័ន្ធគ្រប់គ្រង domain) ត្រូវបានលុកលុយហើយទិន្នន័យមានតម្លៃត្រូវបានលួច
• ជំហានចុងក្រោយគឺចម្លងហេដ្ឋារចនាសម្ព័ន RYUK ដែលអាចធ្វើទៅបានតាមតំរូវជំរិតទារប្រាក់លោះ។

ដោយពិចារណាលើវិសាលភាពនៃការវាយប្រហារការលួចទិន្នន័យនិងសកម្មភាពរសើបដែលមានគោលបំណងឧទាហរណ៍ការបំផ្លាញការបម្រុងទុកការវាយប្រហារមេរោគ RYUK ជារឿយៗគួរឱ្យស្អប់ខ្ពើម។

Sodinokibi ដែលត្រូវបានគេស្គាល់ថា REvil, Bluebackground ឬ Sodin គឺជា ransomware ដែលប្រើយុទ្ធសាស្រ្តជាច្រើនដើម្បីចែកចាយ ransomware និងទទួលបានកំរៃជើងសារ។ វាប៉ុនប៉ងវាយប្រហារលើអ្នកប្រើប្រាស់និយាយភាសាអង់គ្លេស។ វាក៏បានកេងចំណេញពីភាពងាយរងគ្រោះនៅក្នុងសេវាកម្មពីចម្ងាយដូចជា Oracle WebLogic (CVE-2019-2725) ។ អ្នកប្រើជឿជាក់ថាវាមានទំនាក់ទំនងជាមួយមេរោគ GandCrab។ ដោយយោងតាមគេហទំព័រ Intezer Analyze វាបានប្រើលេខកូដ Pony, RedOctober, និង Vidar។

នៅថ្ងៃទី ១៦ ខែសីហា ឆ្នាំ២០១៩ Sodinokibi បានវាយប្រហាលើប្រព័ន្ធរដ្ឋបាលមូលដ្ឋានចំនួន ២២ នៅរដ្ឋតិចសាស់ និងទាមទារសំណងរួមចំនួន ២,៥ លានដុល្លារ។ វាបានធ្វើឱ្យអន្តរាយដល់ប្រព័ន្ធ MSP ជាច្រើន (ប្រព័ន្ធផ្តល់សេវាកម្មគ្រប់គ្រង) ចែកចាយមេរោគដល់អតិថិជនរបស់ពួកគេ។

នៅថ្ងៃទី ២៩ ខែសីហា ឆ្នាំ២០១៩ Sodinokibi បានវាយប្រហារសេវាកម្ម backup ទិន្នន័យពីចម្ងាយហើយបានអ៊ិនគ្រីបឯកសារពីសកម្មភាពទន្តសាស្ត្រនៅសហរដ្ឋអាមេរិក។

នៅថ្ងៃទី ៩ ខែធ្នូ ឆ្នាំ២០១៩ Sodinokibi បានវាយលុកអ្នកលក់បច្ចេកវិទ្យាព័ត៌មានវិទ្យាម្នាក់ទៀត ដែលបម្រើសេវាទន្តពេទ្យរាប់រយនាក់ ឆ្លងចូលកុំព្យូទ័ររបស់អតិថិជន ដោយកេងចំណេញពីឧបករណ៍ចូលប្រើពីចម្ងាយដែលងាយរងគ្រោះ។

នៅថ្ងៃទី ១២ ខែធ្នូ ឆ្នាំ២០១៩ UNKN បញ្ជាក់ថា“ ការបែងចែក” ថ្មីត្រូវបានបង្កើតឡើងសម្រាប់ប្រតិបត្តិការធំៗ។ លោកក៏បានប្រកាសផងដែរថាពួកគេនឹងប្រើឯកសារនិងទិន្នន័យដែលត្រូវបានគេលួចទុកជាការកេងចំណេញដើម្បីឱ្យជនរងគ្រោះបង់ប្រាក់។

អាកប្បកិរិយា

នៅពេលកំពុងប្រតិបត្តិការ Sodinokibi នឹងបង្កើត mutex ដែលមានកូដឈ្មោះថា Global \ 206D87E0-0E60-DF25-DD8F-8E4E7D1E3BF0 និងឌិគ្រីបការកំណត់រចនាសម្ព័ន្ធដែលបានបង្កប់។

ប្រសិនបើប៉ារ៉ាម៉ែត្រផុតកំណត់នៅក្នុងការកំណត់រចនាសម្ព័ន្ធត្រូវបានកំណត់ មេរោគ malware នឹងព្យាយាមធ្វើបញ្ចូលកូដ CVE-2018-8453 ដើម្បីទទួលបានសិទ្ធិគ្រប់គ្រងប្រព័ន្ធ។

ប្រសិនបើវាមិនបានតំឡើងដើម្បីធ្វើប្រតិបត្តិការកេងប្រវ័ញ្ច ឬប្រសិនបើការប៉ុនប៉ងមិនបានជោគជ័យ វានឹងព្យាយាមដំណើរការខ្លួនវាជា administrator វិញ។

Sodinokibi ប្រមូលព័ត៌មានប្រព័ន្ធមូលដ្ឋានមួយចំនួន ហើយរក្សាទុកវាទៅក្នុងបញ្ជីឈ្មោះរួមគ្នាជាមួយនឹងប៉ារ៉ាម៉ែត្រ អ៊ិនគ្រីបដែលបានបង្កើត។ ប្រសិនបើជម្រើស dbg មិនត្រូវបានកំណត់នៅក្នុង config នោះភាសា UI និងប្លង់ក្តារចុចត្រូវបានពិនិត្យ ហើយមេរោគនឹងចេញពីប្រព័ន្ធដែលប្រើលេខកូដភាសាដូចខាងក្រោម។

Payload

ការ​ចម្លង
សម្ព័ន្ធ Sodinokibi បានធ្វើការវាយប្រហារទាំងនេះតាមរយៈការរាយការណ៍អំពីការចូលប្រើបណ្តាញតាមរយៈសេវាកម្ម Desktop ពីចម្ងាយ ហើយបន្ទាប់មកប្រើកុងសូលគ្រប់គ្រងរបស់ MSP ដើម្បីជំរុញកម្មវិធីតំឡើង ransomware ទៅ endpoints ទាំងអស់ដែលពួកវាគ្រប់គ្រង។

វាក៏បន្លំជា “ការកក់ថ្មី ” លើគេហទំព័រ Booking.com ផងដែរ។ អ្វីដែលភ្ជាប់ជាមួយអ៊ីម៉ែលនេះគឺជាឯកសារ Word ព្យាបាទ ដែលមានឈ្មោះដូចជា ” Booking.com – 1571165841.doc” ដែលស្នើសុំអោយអ្នកប្រើប្រាស់ “បើកដំណើរការមាតិកា” ដើម្បីចូលប្រើព័ត៌មាននៃការកក់។

នៅពេលអ្នកប្រើប្រាស់បានបើកមាតិកានេះ ម៉ាក្រូដែលបានបង្កប់នឹងទាញយក Sodinokibi ពីចម្ងាយតាមគេហទំព័រមួយ ហើយប្រតិបត្តិវា។

សម្ព័ន្ធ Sodinokibi ក៏ត្រូវបានគេកំណត់គោលដៅនៅលើគេហទំព័រដែលបានទាញយកកម្មវិធីដើម្បីជំនួសកម្មវិធីស្របច្បាប់ជាមួយកម្មវិធីតំឡើង ransomware។ យោងតាមអ្នកជំនាញផ្នែកប្រព័ន្ធសុវត្ថិភាពតាមអ៊ីនធឺណែត TG Soft អ្នកចែកចាយសម្រាប់ កម្មវិធី WinRAar នៅប្រទេសអ៊ីតាលីត្រូវបានគេលួចចូលដើម្បីចែកចាយកម្មវិធីតំឡើង ransomware។

Phobos គឺជាកម្មវិធី ransomware ព្យាបាទដែល (ដូចជាកម្មវិធីភាគច្រើននៃប្រភេទនេះ) អ៊ិនគ្រីប / រារាំងទិន្នន័យឯកសារហើយរក្សាទុកវានៅក្នុងស្ថានភាពនេះដើម្បីបង់ថ្លៃលោះ។ Phobos ប្តូរឈ្មោះឯកសារដែលបានអ៊ិនគ្រីបទាំងអស់ បន្ថែម “.phobos” extensioon និងលេខសម្គាល់និងអាសយដ្ឋានអ៊ីមែលរបស់ជនរងគ្រោះ។ ឧទាហរណ៍ “a.jpg” អាចត្រូវបានប្តូរទៅជា “a.jpg.ID-63855656 ។ [job2020@tu234a.com] .phobos” ឬ “1.jpg.ID-63855656 ។ [cadillac.407 @ aol.com] .phobos ” ។ អ៊ីមែលដែលបានបង្ហាញនៅក្នុង extension ដែលបានបន្ថែមគឺខុសគ្នា។ មេរោគអ៊ិនគ្រីបទិន្នន័យដោយប្រើការអ៊ិនគ្រីប AES ហើយបន្ទាប់ពីការអ៊ិនគ្រីប វាបង្កើតកម្មវិធី HTML (“Phobos.hta”) ហើយបើកវា។ កម្មវិធីនេះបង្ហាញផ្ទាំងលេចឡើងជាសារទារប្រាក់លោះ។

នៅក្នុងសារទារប្រាក់លោះ ឧក្រិដ្ឋជនអ៊ិនធឺរណែតនិយាយថាឯកសារទាំងអស់ត្រូវបានអ៊ិនគ្រីប។ ដើម្បីឌិគ្រីបឯកសារទាំងនោះ ជនរងគ្រោះត្រូវតែទាក់ទងពួកគេតាមរយៈ cadillac.407@aol.com, ottoZimmerman@protonmail.ch ឬអាសយដ្ឋានអ៊ីមែលផ្សេងទៀត ហើយផ្តល់អត្តសញ្ញាណសម្គាល់ដែលបានកំណត់របស់ពួកគេ (“លេខកូដអ៊ីនគ្រីប”) ។ អ្នកអភិវឌ្ឍន៍ Phobos ផ្តល់ជូននូវការឌិគ្រីបឯកសារឥតគិតថ្លៃមួយចំនួនជា“ ភ័ស្តុតាង” ដែលពួកគេអាចទុកចិត្តបាននិងអាចឌិគ្រីបទិន្នន័យ (ពួកគេមានឧបករណ៍បំលែងកូដដែលត្រូវការ) ។ ពួកគេក៏លើកទឹកចិត្តជនរងគ្រោះឱ្យទាក់ទងពួកគេជាបន្ទាន់: ជាក់ស្តែងនៅពេលពួកគេទាក់ទងឧក្រិដ្ឋជនតាមអ៊ិនធឺរណែតកាន់តែលឿន ការចំណាយនៃការឌិគ្រីបក៏កាន់តែតិច។ ពួកគេក៏ព្រមានជនរងគ្រោះដែលប្រើកុំព្យូទ័រដែលមានមេរោគនោះថា មានតែពួកគេទេដែលអាចឌិគ្រីបឯកសាររបស់ពួកគេបាន។ ពួកគេនិយាយថារាល់ការប៉ុនប៉ងប្រើឧបករណ៍ផ្សេងទៀត អាចបំផ្លាញទិន្នន័យជាអចិន្ត្រៃយ៍ (ការបាត់បង់ទិន្នន័យ) ។ ជនរងគ្រោះម្នាក់បានទាក់ទងអ្នកអភិវឌ្ឍន៍ Phobos ហើយទទួលបានការឆ្លើយតបដោយនិយាយថាថ្លៃដើមនៃការឌិគ្រីប (នៅពេលនោះ) គឺ ៣០០០ ដុល្លារហើយវាត្រូវបានគេអះអាងផងដែរថា ប្រសិនបើការទូទាត់នៅតែមិនបានផ្ញើទៅគណនី Bitcoin ក្នុងរយៈពេលប្រាំមួយម៉ោង ការចំណាយនឹងកើនឡើងដល់ $ ២០០០ (ការចំណាយសរុបនៃឧបករណ៍ដោះលេខកូដនឹងមានចំនួន ៥០០០ ដុល្លារ) ។ ជាធម្មតាឧក្រិដ្ឋជនអ៊ិនធើណែតប្រើក្បួនដោះស្រាយការអ៊ិនគ្រីប ដែលបង្កើតកូនសោពិសេសហើយមិនអាចត្រូវបានគេ “crack” ទេ។ លើសពីនេះទៀត អ្នកអភិវឌ្ឍន៍ ransomware រក្សាទុកកូនសោទាំងនេះនៅលើ server ពីចម្ងាយដែលគ្រប់គ្រងដោយពួកគេ។ ការឌិគ្រីបដោយគ្មានការចូលរួមពីឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតជាទូទៅ មិនអាចទៅរួចទេប៉ុន្តែយើងសូមណែនាំឱ្យអ្នកកុំទុកចិត្ត​ ឬទាក់ទងពួកគេ – ពួកគេនឹងព្រងើយកន្តើយនឹងជនរងគ្រោះរបស់ពួកគេបន្ទាប់ពីទទួលបានការទូទាត់ប្រាក់។ ប្រសិនបើកុំព្យូទ័ររបស់អ្នកឆ្លងមេរោគ Phobos នោះដំណោះស្រាយល្អបំផុតគឺត្រូវប្រើ backup ទិន្នន័យដែលមានស្រាប់របស់អ្នក ហើយចម្លងឯកសារចេញពីកន្លែងនោះ។

Globelmposter ransomware បានបង្ហាញខ្លួនជាលើកដំបូងនៅក្នុងខែឧសភា ឆ្នាំ២០១៧។ វាត្រូវបានបញ្ជូនជាចម្បងតាមរយៈអ៊ីម៉ែលបន្លំ។ នៅខែកុម្ភះឆ្នាំ ២០១៨ គំរូ Globelmposterជំនាន់ទី២ បានផ្ទុះឡើងនៅតាមមន្ទីរពេទ្យធំៗ ក្នុងប្រទេសចិន។

មេរោគនេះឆ្លងតាមរយៈវិស្វកម្មសង្គម, ការវាយប្រហារដោយកម្លាំង RDP និងភ្ជាប់ជាមួយកម្មវិធីព្យាបាទដើម្បីអ៊ិនគ្រីបឯកសាររបស់ម៉ាស៊ីនដែលមានមេរោគ បង្កើតកំណត់ចំណាំជំរិតទារប្រាក់ និងទាមទារថ្លៃលោះ។ ក្រុមសន្តិសុខ Sangfor កំពុងយកចិត្តទុកដាក់យ៉ាងខ្លាំងចំពោះការអភិវឌ្ឍនៃបណ្តុំមេរោគ និងបានធ្វើការវិភាគស៊ីជម្រៅលើគំរូបំរែបំរួលដែលបានរកឃើញ។

ដើម្បីឱ្យខ្លួនវាដំណើរការបានត្រឹមត្រូវ មេរោគនេះនឹងបិទប្រព័ន្ធការពារវីនដូ (Windows Defender) ជាមុនសិន។

ក្រោយមកវាបង្កើតកម្មវិធីចាប់ផ្តើមដោយស្វ័យប្រវត្តិដែលមានឈ្មោះថា WindowsUpdateCheck ហើយបន្ទាប់មកប្រតិបត្តិ commands ពីបន្ទាត់ command រួចហើយវាលុបដានព្រឹត្តិការណ័នៅលើ disk ហើយបញ្ឈប់ database ពីការផ្តល់សេវាកម្ម។

Commands ត្រូវបានប្រតិបត្តិម្តងទៀតតាមរយៈបន្ទាត់ command ដើម្បីលុបបរិមាណ disk និងទិន្នន័យភ្ជាប់ desktop ពីចម្ងាយ និងលុបកំណត់ហេតុប្រព័ន្ធ។

ទីបំផុតឯកសារមេរោគត្រូវបានលុបដោយស្វ័យប្រវត្តិ។

DoppelPaymer Ransomware គឺជា Trojan ដែលចាក់សោរឯកសារ រារាំងប្រព័ន្ធផ្សព្វផ្សាយរបស់អ្នក ហើយទុកកំណត់ត្រាទារប្រាក់ ដែលនាំអ្នកទៅផ្ទាំងទូទាត់ប្រាក់សម្រាប់យកកម្មវិធីដោះសោរ។ ទោះបីជាវាជាការធ្វើឱ្យទាន់សម័យនៃកម្មវិធី BitPaymer Ransomware ដែលមានលក្ខណៈប្រហាក់ប្រហែលគ្នាក៏ដោយ ក៏វាប្រើវិធីសាស្ត្រអ៊ិនគ្រីបដាច់ដោយឡែក ហើយតម្រូវឱ្យមានការឌិគ្រីបផ្សេងគ្នាសម្រាប់ការស្តារឯកសារណាមួយ។ សូមអនុញ្ញាតឱ្យផលិតផលកម្ចាត់មេរោគរបស់អ្នកលុប DoppelPaymer Ransomware ភ្លាមៗ នៅពេលដែលពួកគេរកឃើញវា ហើយរក្សាទុកព័ត៌មាន backup ដែលមានសុវត្ថិភាពសម្រាប់ការបំបាត់នូវផលប៉ះពាល់នៃការវាយប្រហាររបស់វា។

DoppelPaymer Ransomware មិនត្រឹមតែជាគម្រោងដែលអាចបង្កើតបញ្ហាហើយបំភ្លេចបានទេ វាក៏មានការផ្លាស់ប្តូរយ៉ាងហោចណាស់ចំនួនប្រាំបីដងនៅក្នុងស្ថានភាពវាយប្រហារនីមួយៗ ដែលមានការកែលម្អលក្ខណៈពិសេសរបស់វាច្រើនជាងមុន។ Trojan ប្រើការអ៊ិនគ្រីប AES – ជាមួយ RSA-2048 សម្រាប់ការអ៊ិនគ្រីបនិងរារាំងការបើកប្រព័ន្ធផ្សព្វផ្សាយឌីជីថល។ អ្នកជំនាញផ្នែកមេរោគ malware របស់យើងក៏បានព្រមានផងដែរថា DoppelPaymer Ransomware អាចចាក់សោឯកសារបានលឿនជាង មេរោគដើមមុនៗរបស់វាដោយសារទម្លាប់នៃការអ៊ិនគ្រីប multi-thread។

តំរូវការជំរិតប្រាក់របស់ DoppelPaymer Ransomware សំរាប់អ្នកដោះសោរគឺអាចបត់បែនបានដូចលេខរបស់វាដែរ។ ទោះបីជាវាតែងតែស្នើសុំ Bitcoins ក៏ដោយក៏ចំនួននេះមានចាប់ពីតិចរហូតដល់ចំនួនច្រើនមួយដែលមិនគួរឱ្យជឿ – លើសពីមួយលានដុល្លារសហរដ្ឋអាមេរិច។ ដូច្នោះហើយអ្នកជំនាញមេរោគរបស់យើងមើលឃើញការវាយប្រហារ ដែលត្រូវគ្នានឹងគោលដៅដែលមានការគាំទ្រផ្នែកហិរញ្ញវត្ថុសំខាន់ៗដូចជា server សម្រាប់រដ្ឋាភិបាលទីក្រុងអាមេរិក និងក្រសួងជាតិអាមេរិកខាងត្បូងជាច្រើន។

ភាគច្រើននៃមេរោគ trojan ដែលចាក់សោរឯកសារ មានកម្រិតការពារប្រឆាំងនឹងផលិតផលប្រឆាំងមេរោគធម្មតា ឬវិធីសាស្ត្ររកឃើញការគំរាមកំហែងរបស់ពួកគេ។ សេវាកម្មប្រឆាំងមេរោគដែលត្រូវបានធ្វើបច្ចុប្បន្នភាពគួរតែលុបចោល DoppelPaymer Ransomware ដែលជាការគំរាមកំហែងភ្លាមៗ នៅពេលវាលុកលុយលើកុំព្យូទ័ររបស់អ្នក។

បើនិយាយអំពីមេរោគ Mamba (ត្រូវបានគេស្គាល់ថាជា HDD Cryptor ransomware) វាពិតជាពិសពុលដូចគ្នានឹងប្រភេទសត្វពស់ ដែលមេរោគនេះត្រូវបានដាក់ឈ្មោះតាមពិសរបស់វាដែរ។ មេរោគដ៏កាចសាហាវនេះបានអនុញ្ញាតឱ្យអ្នករស់នៅសាន់ហ្វ្រាន់ស៊ីស្កូ ធ្វើដំណើរដោយសេរីតាមបណ្តាញរថភ្លើងក្រោមដីតាមទីក្រុង ដោយសារតែការកាន់កាប់កុំព្យូទ័ររបស់ក្រុមហ៊ុន និងទាមទារប្រាក់ ៧៣,០០០ ដុល្លារ។

មេរោគនេះជាកម្មសិទ្ធិរបស់ក្រុមគ្រីបតូ -ransomware- ដែលជាប្រភេទនៃមេរោគដែលបានអ៊ិនគ្រីបឯកសាររបស់អ្នកប្រើ បន្ទាប់មកទាមទារប្រាក់រំលោះ។ មេរោគ Mamba ransomware ត្រូវបានគេរកឃើញថាប្រើការអ៊ិនគ្រីបប្រហាក់ប្រហែលនឹងរបៀបអ៊ិនគ្រីបម៉ូឌែលអ៊ិនគ្រីបនៃមេរោគ Petya ដែរ ។

ដោយមានលក្ខណៈខុសពី Petya កម្មវិធី ransomware នេះវាយប្រហារឯកសារនៅលើ disk ជំនួសឱ្យធាតុចាប់ផ្តើម។ វាប្រើកម្មវិធី DiskCryptor សម្រាប់គោលបំណងនេះ។ មេរោគទុកឯកសារ 152.exe ឬ 141.exe នៅលើកុំព្យូទ័រដែលទទួលខុសត្រូវសម្រាប់ដំណើរការដំណើរការអ៊ិនគ្រីប។ បន្ទាប់ពីការអ៊ិនគ្រីបឯកសាររបស់ជនរងគ្រោះ មេរោគចាប់ផ្តើមដំណើរការកុំព្យូទ័រឡើងវិញ ហើយបន្ទាប់មកបង្ហាញសារដូចខាងក្រោមនៅលើអេក្រង់៖

ជនរងគ្រោះអាចបញ្ចូលពាក្យសម្ងាត់ដើម្បីយកទិន្នន័យនៅទីនោះ។ ទោះយ៉ាងណាក៏ដោយគាត់ត្រូវតែទទួលបានលេខសម្ងាត់នេះជាមុនសិន។ ជាអកុសលមេរោគនេះមិនអាចត្រូវបានគេកម្ចាត់យ៉ាងងាយស្រួលនោះទេ។ អាស័យដ្ឋានអ៊ីម៉ែលដែលបានផ្តល់ត្រូវបានប្រើដើម្បីទាក់ទងអ្នកបង្កើតលេខកូដព្យាបាទ និងទទួលបានការណែនាំពីពួកគេដើម្បីឌិគ្រីបទិន្នន័យ ហើយចូលប្រើឧបករណ៍វិញ។

មេរោគនេះនឹងទាមទារប្រាក់រំលោះ ១ bitcoin ក្នុងមួយកុំព្យូទ័រ។ ប្រាក់គួរតែត្រូវបានផ្ញើទៅគណនី Bitcoin ដែលបានបញ្ជាក់។ ទោះយ៉ាងណាក៏ដោយយើងតែងតែណែនាំអ្នកប្រើ កុំបង់ប្រាក់លោះព្រោះវាមិនធានានូវការឌិគ្រីបឯកសារទេ។

តើមេរោគចម្លងទៅកុំព្យូទ័រយ៉ាងដូចម្តេច?

មេរោគនេះចូលក្នុងកុំព្យូទ័ររបស់ជនរងគ្រោះដោយសម្ងាត់។ វារីករាលដាលដូច Trojans ដូច្នេះអ្នកប្រើអាចតំឡើងវាដោយគិតថាវាជាឯកសារគ្មានគ្រោះថ្នាក់។
ឯកសារបែបនេះអាចជាផ្នែកមួយនៃឯកសារភ្ជាប់ដែលមានគ្រោះថ្នាក់ ឬជាកម្មវត្ថុនៃការធ្វើបច្ចុប្បន្នភាពកម្មវិធី។ សម្រាប់ហេតុផលនេះ វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យនៅឆ្ងាយពីគេហទំព័រ ដែលផ្តល់នូវការទាញយកឯកសារដែលគ្មានសុវត្ថិភាព ឬបង្ហាញ windows ដែលបង្ហាញពីតម្រូវការដំឡើង patches ទៅកម្មវិធីដែលមានស្រាប់។

ការធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយបែបនេះច្រើនតែផ្ទុកមេរោគ។ លើសពីនេះទៀត ransomware ក៏ត្រូវបានរីករាលដាលតាមរយៈការកេងប្រវ័ញ្ចផងដែរ។ ដើម្បីបងា្ករការវាយប្រហារ អ្នកប្រើប្រាស់គួរតែការពារកុំព្យូទ័ររបស់ពួកគេដោយតំឡើងកម្មវិធីប្រឆាំងមេរោគ បម្រុងទុកឯកសារនិងជៀសវាងគេហទំព័រនៅលើបណ្តាញដែលមិនមានលក្ខណៈល្អ។

ការលុបមេរោគ Mamba ransomware

ដើម្បីលុបមេរោគ Mamba ដូចដែលយើងបាននិយាយរួចមកហើយ វាមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការប្រើកម្មវិធីកម្ចាត់មេរោគ។ យើងសូមណែនាំឱ្យប្រើវា ព្រោះវាត្រូវបានបង្កើតឡើងដោយអ្នកឯកទេសដែលវិភាគមេរោគនីមួយៗដាច់ដោយឡែកពីគ្នា និងបង្កើតក្បួនដោះស្រាយដើម្បីស្វែងរកនិងយកឯកសារដែលឆ្លងដោយមេរោគចេញ។

ប្រសិនបើអ្នកមិនមានបទពិសោធន៍ក្នុងការកំចាត់មេរោគបែបនេះ សូមកុំព្យាយាមលុបវាចោលដោយខ្លួនឯង – មានន័យថាអ្នកអាចប្រថុយនឹងការលុបឯកសារទាំងនេះ ទុកឯកសារជាប់មេរោគនៅសល់ និងសមាសធាតុមិនចាំបាច់ផ្សេងទៀតនៅលើប្រព័ន្ធ។ ខណៈពេលនោះ កម្មវិធី Mamba decrptor ឥតគិតថ្លៃមិនមានទេ។ សម្រាប់ហេតុផលនេះ មានវិធីតែមួយគត់ដើម្បីសង្គ្រោះឯកសារ គឺត្រូវរក្សាបម្រុងទុកឯកសារទាំងនោះពីកន្លែងផ្ទុកទិន្នន័យខាងក្រៅ។

Snatch គឺជាប្រភេទ ransomware ថ្មីមានដំណើរប្រតិបត្តិបង្ខំឲ្យ ឧបករណ៍វីនដូចាប់ផ្តើមឡើងវិញទៅ Safe Mode សូម្បីតែមុនពេលការអ៊ិនគ្រីបចាប់ផ្តើមនៅក្នុងការដេញថ្លៃ ដើម្បីជៀសវាងការការពារ endpoint ដែលជារឿយៗមិនដំណើរការនៅក្នុងរបៀបនេះឡើយ។

ប្រភេទថ្មីនៃ ransomare នេះប្រើវិធីសាស្រ្តឆ្លងពិសេសមួយ ដែលអនុវត្តការអ៊ិនគ្រីប AES ដ៏ទំនើប ដូច្នេះអ្នកប្រើប្រាស់ដែលមានម៉ាស៊ីនចម្លងដោយមេរោគនេះ មិនអាចចូលប្រើឯកសាររបស់ពួកគេបានទេ។

Snatch ransomware ត្រូវបានសម្គាល់ជាលើកដំបូងនៅក្នុងខែមេសា ឆ្នាំ២០១៩ ប៉ុន្តែវាត្រូវបានចេញផ្សាយនៅចុងឆ្នាំ ២០១៨ ។ ទោះជាយ៉ាងណាក៏ដោយការកើនឡើងនៃឯកសារដែលបានអ៊ិនគ្រីប និងកំណត់ចំណាំជំរិតទារប្រាក់បាននាំឱ្យមានការរកឃើញរបស់វា ហើយតាមដានដោយក្រុមអ្នកស្រាវជ្រាវនៅ Sophos។

ទម្រង់គ្រីបតូមេរោគបស់វា វាយប្រហារគោលដៅល្បីល្បាញសំខាន់ៗ ប៉ុន្តែសំពាធថ្មីនេះបង្កើតឡើងដោយប្រើកម្មវិធី Google Go មានឧបករណ៍ជាច្រើនដែលរួមមានទាំងអ្នកលួចទិន្នន័យ និងមុខងារ ransomware ។ លើសពីនេះទៅទៀតវាមានប្រព័ន្ធវាយប្រហារ  Cobalt Strike ត្រឡប់មកវិញ និងឧបករណ៍ផ្សេងទៀតដែលត្រូវបានប្រើដោយអ្នកសាកល្បងជ្រៀតចូល និង administrator។

របៀបដែល Snatch ដំណើរការ

ដោយវាជាមេរោគចាក់សោឯកសារ Snatch ransomware មិនមានទំនាក់ទំនងជាមួយបណ្តាញខ្សែស្រឡាយមេរោគដទៃទៀតទេ។ ទោះយ៉ាងណាអ្នកអភិវឌ្ឍន៍របស់វាបានចេញផ្សាយការគំរាមកំហែងចំនួនប្រាំបួនប្រភេទ ដែលបន្ថែម extension ផ្សេងៗគ្នាបន្ទាប់ពីទិន្នន័យត្រូវបានអ៊ិនគ្រីបជាមួយ AES cipher។

តិចនិចរបស់វវានោះគឺបើកម៉ាស៊ីនឡើងវិញចូលទៅក្នុង Safe Mode ហើយបន្ទាប់មកកម្មវិធី ransomware រឹតត្បិតការចូលប្រើទិន្នន័យរបស់អ្នក ដោយការអ៊ិនគ្រីបឯកសាររបស់អ្នក។ បន្ទាប់ពីនោះពួក Hacker ព្យាយាមជំរិតទារយកប្រាក់ពីអ្នកដោយស្នើសុំការលោះតាមទំរង់ Bitcoin ជាថ្នូរនឹងការដោះសោឯកសាររបស់អ្នក និងផ្តល់ទិន្នន័យមកវិញ។

វាមានហេតុផលសមរម្យមួយ ដែលល្បិចរបស់វាអាចដំណើរកាបានរ។ កម្មវិធីកំចាត់មេរោគមួយចំនួនមិនចាប់ផ្តើមនៅក្នុង Safe Mode ទេ ហើយអ្នកអភិវឌ្ឍន៍បានរកឃើញថាពួកគេអាចកែប្រែ Windows registry key យ៉ាងងាយស្រួល ហើយគ្រាន់តែចាប់ផ្ដើមម៉ាស៊ីនរបស់អ្នកចូលទៅ Safe Mode។ ដូច្នេះ ransomware ដំណើរការយ៉ាងរលូន ដែលកម្មវិធីសុវត្ថិភាពរបស់អ្នករកមិនឃើញ។

នៅពេលលើកដំបូងដែលបានតំឡើងនៅលើឧបករណ៍របស់អ្នក វាកើតឡើងតាមរយៈ SuperBackupMan ដែលជាសេវាកម្មវីនដូ ហើយតំឡើងមុនពេលកុំព្យូទ័ររបស់អ្នកចាប់ផ្តើមដំណើរការឡើងវិញ ដូច្នេះអ្នកមិនអាចបញ្ឈប់វាបានទាន់ពេលវេលាទេ។

នៅពេលដំឡើងរួច អ្នកវាយប្រហារប្រើសិទ្ធិគ្រប់គ្រងដើម្បីដំណើរការ BCDEDIT ដែលជាឧបករណ៍ Windows command-line ដើម្បីបង្ខំកុំព្យូទ័ររបស់អ្នកឱ្យដំណើរការឡើងវិញនៅក្នុង Safe Mode ភ្លាមៗ។

បន្ទាប់មកវាបង្កើតឈ្មោះមិនស្គាល់មួយ ដែលអាចប្រតិបត្តិបាននៅក្នុង % AppData% ឬ% LocalAppData% របស់អ្នក ដែលនឹងត្រូវបើកដំណើរការហើយចាប់ផ្តើមស្កេនអក្សរដ្រាយកុំព្យូទ័ររបស់អ្នក ដើម្បីរកឯកសារធ្វើការអ៊ិនគ្រីប។

Dharma គឺជាការផ្លាស់ប្តូរថ្មីនៃ Crysis – ដែលជាមេរោគមួយប្រភេទបង្ករហានិភ័យខ្ពស់។ បន្ទាប់ពីការជ្រៀតចូលដោយជោគជ័យ Dharma បានអ៊ិនគ្រីបឯកសារដែលផ្ទុកនៅក្នុងកុំព្យូទ័ររបស់អ្នក ដោយប្រើការអ៊ិនគ្រីប asymmetric ។ លើសពីនេះទៀត វាបន្ថែម extension “. [Bitcoin143@india.com] .dharma” ទៅលើឯកសារដែលបានអ៊ិនគ្រីបនីមួយៗ។ ឧទាហរណ៍ “sample.jpg” ត្រូវបានប្តូរទៅជា “sample.jpg ។ [Bitcoin143@india.com] .dharma”) ។ ប្រភេទផ្សេងទៀតប្រើ extension “។ [Worm01@india.com] .dharma” ។ ដោយវាមិនដូចកំណែមុន Dharma មិនផ្លាស់ប្តូរផ្ទៃខាងក្រោយ desktop ទេ ប៉ុន្តែវាបង្កើតឯកសារអត្ថបទ (“README.txt”) ហើយដាក់វានៅក្នុង folder ទាំងអស់ដែលផ្ទុកឯកសារឆ្លងមេរោគ។

ឯកសារអត្ថបទ Dharma នេះមានសារខ្លីមួយដែលបញ្ជាក់ថា កុំព្យូទ័ររបស់ជនរងគ្រោះមិនមានសុវត្ថិភាព ហើយអ្នកអភិវឌ្ឍន៍អាចដោះស្រាយបញ្ហានេះ និងស្តារឯកសារដែលបានអ៊ិនគ្រីបឡើងវិញ។ ដើម្បីទទួលបានជំនួយជនរងគ្រោះត្រូវទាក់ទងអ្នកបង្កើត Dharma តាមរយៈអាស័យដ្ឋានអ៊ីម៉ែលដែលបានផ្តល់ (bitcoin143@india.com) ។ ការណែនាំបន្ថែមទៀតត្រូវបានផ្តល់ជូន។ ដូចដែលបានបញ្ជាក់រួចមកហើយ Dharma អ៊ិនគ្រីបឯកសារដោយប្រើក្បួនកូដ algorithm មិនត្រូវគ្នាមួយ ដូច្នេះក្នុងកំឡុងពេលអ៊ិនគ្រីប លេខកូដសាធារណៈ (ការអ៊ិនគ្រីប) និងលេខកូដឯកជន (ការឌិគ្រីប) ត្រូវបានបង្កើត។

ទោះជាយ៉ាងណាក៏ដោយ សូមចងចាំថាឧក្រិដ្ឋជនអ៊ិនធឺរណែត ជារឿយៗមិនអើពើនឹងជនរងគ្រោះទោះបី ជាមានការបង់ប្រាក់ក៏ដោយ។ នោះហើយជាមូលហេតុដែលអ្នកមិនគួរព្យាយាមទាក់ទងពួកមនុស្សទាំងនេះ ឬបង់ប្រាក់រំលោះ។ វាមានប្រូបាបខ្ពស់ណាស់ ដែលអ្នកនឹងត្រូវចាញ់បោក។ ការស្ដារឡើងវិញនូវឯកសារដែលបានអ៊ិនគ្រីបដោយខ្លួនឯង នឹងមិនអាចធ្វើទៅបានទេ (គ្មានឧបករណ៍ដែលមានសមត្ថភាពអនុវត្តមុខងារនេះបានទេ) ។ ដូច្នេះដំណោះស្រាយតែមួយគត់ គឺត្រូវស្តារឯកសារ / ប្រព័ន្ធពី backup។

HiddenTear គឺជាគម្រោង open-source ransomware មួយដែលត្រូវបានបង្កើតឡើងដំបូង សម្រាប់គោលបំណងអប់រំកាលពីឆ្នាំ២០១៥ ដោយអ្នកស្រាវជ្រាវជនជាតិតួគីម្នាក់ឈ្មោះ Utku Sen ។ ទោះយ៉ាងណាឧក្រិដ្ឋជនអ៊ិនធឺរណែតដូចជាក្រុម Magic ransomware មិនរង់ចាំយូរដើម្បីសម្របទៅនឹងលេខកូដទេ ហើយប្រើវាសម្រាប់គោលបំណងជំរិតទារយកប្រាក់ ដោយការអ៊ិនគ្រីបឯកសារជាមួយ AES-256 ។

ការ​ចម្លង

មេរោគ Hidden Tear នេះត្រូវបានគេចែកចាញដោយលាក់ខ្លួននៅក្រោមកម្មវិធី Skype ក្លែងក្លាយហៅថា“ skypetool.exe” ។ ឧបករណ៏នេះបានចែកចាយនៅលើគេហទំព័រដែលមានគំនិតអាក្រក់ក្លែងធ្វើជា ការធ្វើបច្ចុប្បន្នភាពកម្មវិធី ការប្រកាសឈ្នះឆ្នោត ឬប៊ូតុងទាញយក។ ឯកសារព្យាបាទក៏អាចចូលប្រើប្រព័ន្ធរបស់អ្នកតាមរយៈ ឯកសារភ្ជាប់អ៊ីម៉ែលបោកបញ្ឆោតដែលវាអាចត្រូវបានបង្ហាញ ជាផ្នែកនៃព័ត៌មានវិក័យប័ត្រ សំបុត្រផាកពិន័យហួសល្បឿន ឬឯកសារសំខាន់ៗផ្សេងទៀត។

Infection

វាជ្រៀតចូលប្រព័ន្ធដែលក្លែងបន្លំជា កម្មវិធីស្របច្បាប់នៅក្នុងជំនាន់ដើម វាត្រូវបានក្លែងបន្លំជាឯកសារ Adobe PDF ហើយរារាំងការចូលប្រើឯកសាររបស់អ្នកប្រើដោយការអ៊ិនគ្រីបឯកសារនោះ។ នៅពេលដែលវាដំណើរការ កម្មវិធី Hidden Tear នឹងបង្កើតជាលំដាប់នៃតួអក្សរចំនួន ១៥តួ ប្រើជាលេខកូដ ដោយប្រើប្រភេទគ្មានអ៊ិនគ្រីបសុវត្ថិភាពមិនជាក់លាក់មួយ។ លំដាប់តួអក្សរត្រូវបានបញ្ជូនទៅ C&C ដែលមានឈ្មោះកុំព្យូទ័រ។ Hidden Tear ដើមនឹងស្វែងរក folder សាកល្បងនៅក្នុង desktop និងអ៊ិនគ្រីបរាល់ឯកសារទាំងអស់នៅក្នុងនោះ។

សម្រាប់រាល់ឯកសារទាំងអស់ លេខកូដសកលត្រូវបានបង្វែរទៅជាលំដាប់ SHA256 byte។ វាត្រូវបានបង្កើតជាលេខមិនជាក់លាក់ ដោយប្រើ salt byte ហើយបន្ទាប់មកបានប្រែទៅជាលំដាប់ byte ទាំងពីរដែលតំណាងឱ្យលេខកូដ AES-256 និង IV ម្រាប់ប្រភេទ AES-256 ដែល Hidden Tear ប្រើប្រភេទ RiijndaelManaged ។ ឯកសារត្រូវបានអ៊ិនគ្រីបទាំងមូល។

Flaws

Hidden Tear គឺជា ransomware មានលក្ខណៈអន់ខាងផ្នែករចនាកូដ ដែលវាគ្រាន់តែជាការបង្ហាញប៉ុណ្ណោះ។

Hidden Tear មិនប្រើ CSPRNG ដែលជាកម្មវិធីបង្កើតលេខសុវត្ថិភាពមិនជាក់លាក់ដូចជា RNGCryptoServiceProvider ដើម្បីបង្កើតលេខកូដទេ ផ្ទុយទៅវិញវាប្រើថ្នាក់ Random បង្កើតលំដាប់ ដែលអាចព្យាករណ៍បានយ៉ាងងាយស្រួល។ ដូចគ្នានេះផងដែរ វាប្រើបញ្ជីថេរនៃ byte ដែល ransomware អាចទាញយកបានជាលេខកូដ AES-256 អក្ខរក្រម និងតួអក្សរពិសេសមួយចំនួន នៅពេលលេខកូដសុវត្ថិភាពគ្រីបតូក្រាហ្វិក ប្រើ byte ដែលអាចប្រើបានទាំងអស់។ ដូច្ន្រះវាធ្វើការវាយប្រហារដោយកម្លាំងកើតឡើងបាន។

Hidden Tear ពិតជាប្រើថ្នាក់ Rfc2898DeriveBytes ដែលជាថ្នាក់ដែលមានលំដាប់អសន្ដិសុខ ប៉ុន្តែវាទាមទារទាំងចំនួនចៃដន្យនៃការលេចឡើងវិញ និង salt value ចៃដន្យ។ Hidden Tear ដំណើរការដោយប្រើ salt value ថេរ និងចំនួនថេរនៃការលេចឡើងវិញ។ លេខកូដគឺមិនត្រូវបានបង្កើតដោយចៃដន្យទេក្នុងជំហាននេះ មិនដែលត្រូវបានទាញចេញជាលេខកូដសុវត្ថិភាពគ្រីបតូក្រាហ្វិកទេ ហើយវាមានលក្ខណៈដូចគ្នាកើតឡើងជាមួយ IV។ ដូច្នេះ Hidden Tear ប្រើលំដាប់ byte ដែលអាចព្យាករណ៍បានដូចគ្នាសម្រាប់លេខកូច IV និងលេខកូដសុវត្ថិភាពគ្រីបតូក្រាហ្វិក។ ថ្នាក់នោះត្រូវបានប្រើសម្រាប់វិធីសាស្រ្ត GetBytes ដែលត្រឡប់ចំនួនថេរនៃ byte ។ ការប្រើ IV ដដែលម្តងទៀត គឺដោយសារតែវិធីសាស្រ្តនៃការធ្វើការនេះ ជាកំហុសដ៏ធំមួយសម្រាប់ CBC mode ដែល Hidden Tear ប្រើតំណភ្ជាប់ទៅទំព័រ CWECWE។

មានមេរោគ ransomware រាប់សិប ហើយទោះបីជាមិនមែនទាំងអស់សុទ្ធតែផ្អែកលើ Hidden Tear ក៏ដោយ ក៏វានៅតែមានភាពស្រដៀងគ្នាខ្លាំងណាស់។ ស្ទើតែចំនួនទាំងអស់នៃមេរោគនីមួយៗអ៊ីនគ្រីបទិន្នន័យនិងទាមទារប្រាក់រំលោះ។ ក្នុងករណីភាគច្រើន ភាពខុសគ្នាសំខាន់តែមួយគត់គឺក្បួនដោះស្រាយការអ៊ិនគ្រីបនិងចំនួនទឹកប្រាក់រំលោះ។ ជាអកុសលមេរោគទាំងនេះភាគច្រើនប្រើការអ៊ិនគ្រីប (ឧទាហរណ៍ៈ RSA, AES និងផ្សេងៗទៀត) ដែលបង្កើតលេខកូដអ៊ិនគ្រីបពិសេសជាច្រើន។

Estemani ransomware គឺជាកម្មវិធីដែលមានមិនមានលក្ខណៈសម្គាល់ ត្រូវបានរចនាឡើងដើម្បីការពារជនរងគ្រោះពីការចូលមើលឯកសាររបស់ពួកគេ ដោយការអ៊ិនគ្រីបឯកសារជាមួយនឹងក្បួន cryptographic algorithm។ បន្ទាប់មកជនរងគ្រោះត្រូវបានលើកទឹកចិត្ត ឱ្យទិញឧបករណ៍ឌិគ្រីប ដោយសារគ្មានកម្មវិធីណាផ្សេងទៀតអាចឌិគ្រីបឯកសារដែលបានអ៊ិនគ្រីបដោយឧបករណ៍រំលោះនេះទេ។ លើសពីនេះទៀត Estemani បង្កើតសារទារប្រាក់រំលោះមួយនៅក្នុងឯកសារ “@_READ_TO_RECOVER_FILES _ @.txt” ។ ដោយមិនដូចកម្មវិធីប្រភេទ ransomware ភាគច្រើនទេ Estemani មិនបន្ថែម extension ទៅឯកសារដែលបានអ៊ិនគ្រីបទេ។

ដើម្បីដោះសោរឯកសារ (ឌិគ្រីប) ជនរងគ្រោះត្រូវបានស្នើសុំឱ្យបង់ថ្លៃរំលោះ ១.៥ Bitcoins ។ ការណែនាំបន្ថែមទាំងអស់ គួរតែត្រូវបានផ្តល់ជូនបន្ទាប់ពីទាក់ទងទៅអ្នកអភិវឌ្ឍន៍ Estemani តាមរយៈអាសយដ្ឋានអ៊ីម៉ែល x280@protonmail.com ។ សារនេះត្រូវតែមានលេខសម្គាល់ HOST និង LOCK ដែលត្រូវបានផ្តល់ជូននៅក្នុងសាររំលោះ។

វិធីសាស្រ្តចែកចាយជាទូទៅៈ ឯកសារភ្ជាប់អ៊ីម៉ែលដែលមានមេរោគ (ម៉ាក្រូ) វេបសាយ torrent ការផ្សាយពាណិជ្ជកម្មដែលមានគ្រោះថ្នាក់។

ការខូចខាតៈ រាល់ឯកសារទាំងអស់ត្រូវបានអ៊ិនគ្រីប ហើយមិនអាចបើកបានទេ ដោយគ្មានការបង់ប្រាក់រំលោះទេ។ មេរោគ trojans ដែលលួចយកលេខសំងាត់បន្ថែម និងការចម្លងមេរោគ malware អាចត្រូវបានតំឡើងរួមគ្នាជាមួយនឹងការចម្លងមេរោគ ransomware។

Rapid ransomware មេរោគព្យាបាទគ្រីបតូ ដែលសាយភាយរីករាលដាលពាសពេញអ៊ីនធឺរណែតចាប់តាំងពីខែមករាឆ្នាំ ២០១៨ ។ ក្នុងកំឡុងពេល ៧ខែនៃវត្តមានវា មេរោគនេះបានផ្លាស់ប្តូរ ៤ដង។ មេរោគនេះអ៊ិនគ្រីបឯកសារដោយប្រើក្បួនដោះស្រាយការអ៊ិនគ្រីប AES ។

វាភ្ជាប់ .RPD file extension ហើយបញ្ចូលឯកសារកំណត់សំគាល់ How Recovery File.txt ដែលណែនាំជនរងគ្រោះអំពីវិធីទាក់ទងឧក្រិដ្ឋជន ហើយផ្ញើប្រាក់ដែលបានស្នើសុំ។ ចំនួនទឹកប្រាក់នៃការរំលោះមានភាពខុសគ្នា ហើយភាគច្រើនត្រូវបានជ្រើសរើសអាស្រ័យលើចំនួនឯកសារដែលត្រូវបានអ៊ិនគ្រីប និងរយៈពេលដែលជនរងគ្រោះទាក់ទងទៅដល់អ្នកអភិវឌ្ឍន៍មេរោគ។

Rapid ransomware ទំនងជាជ្រៀតចូលប្រព័ន្ធដោយមានជំនួយពី វិស្វកម្មសង្គមនិងសារអ៊ីម៉ែលឥតបានការ។ ខណៈពេលនោះមេរោគបានរាលដាលជាលើកដំបូង ឈ្មោះសេវាកម្មប្រាក់ចំណូលផ្ទៃក្នុង (IRS) ត្រូវបានប្រើជាការក្លែងបន្លំនៅក្នុងអក្សរអ៊ីម៉ែល។

Rapid ransomware versions

Rapid 2.0 បានចេញនៅខែមីនា ឆ្នាំ២០១៨ ។ ប្រភេទមេរោគនេះមិនរាប់បញ្ចូលបណ្តាប្រទេសដែលនិយាយភាសារុស្ស៊ី ពីតំបន់វាយប្រហារ និងមិនអ៊ិនគ្រីបឯកសាររបស់ប្រជាជនដែលរស់នៅទីនេះទេ។ លើសពីនេះទៀតមេរោគកំពុងបន្ថែមលេខចៃដន្យចំនួន ៨ ទៅ extension នៃឯកសារដែលបានអ៊ិនគ្រីប ហើយជាធម្មតាប្រើ SHA-256 chipper ដើម្បីដាក់លេខកូដពួកវា។ សារទារប្រាក់រំលោះនៃមេរោគនេះត្រូវបានបង្ហាញនៅក្នុងឯកសារ DECRYPT.[5-random-characters].txt file ។ អ្នកប្រើត្រូវបានគេណែនាំអោយទាក់ទងទៅអ្នកអភិវឌ្ឍន៍តាមរយៈ supp1decr@cock.li ឬអាសយដ្ឋានអ៊ីម៉ែល supp2decr@cock.li ។ សូមមេត្តាកុំប្រើពួកអាសយដ្ឋាននេះ ដើម្បីទាក់ទងនឹងពួក Hacker ដែលកំពុងលាក់ខ្លួននៅពីក្រោយ ransomware នេះ ។ អ្នកគួរតែដំណើរការស្កេនប្រព័ន្ធពេញលេញជាមួយនឹងការប្រឆាំងនឹង spyware ដែលបានធ្វើបច្ចុប្បន្នភាពជាមុន ហើយបន្ទាប់មកពឹងផ្អែកលើជម្រើសនៃការសង្គ្រោះទិន្នន័យរបស់យើង។

Rapid 3.0 ត្រូវបានគេរកឃើញនៅខែឧសភាឆ្នាំ ២០១៨ ។ មេរោគមួយនេះផ្តោតលើអ្នកប្រើប្រាស់ភាសាអង់គ្លេស នៅសហរដ្ឋអាមេរិកនិងអឺរ៉ុប។ ឈ្មោះជំនួសនៃមេរោគនេះគឺ Rapid ransomware v3 ។ងឆាប់រហ័ស v3 ។ នៅពេលដែលវាបញ្ចប់ការកែប្រែលើឯកសារដែលវាយប្រហារ ransomware បន្ថែម [random_numbers].EZYMN file extension ។ នៅពេលនេះចំនួនទឹកប្រាក់រំលោះត្រូវបានកំណត់ទៅ ០.៧ BTC ។ ជនរងគ្រោះត្រូវបានគេផ្តល់នូវអាសយដ្ឋានអ៊ីម៉ែលនេះ ដើម្បីទាក់ទងអ្នកអភិវឌ្ឍន៍មេរោគ: demonslay335@rape.lol ។

RPD ransomware គឺជាវ៉ារ្យ៉ង់ថ្មីបំផុតដែលបានបង្ហាញខ្លួននៅខែមិថុនា ឆ្នាំ២០១៨ ។ វាផ្ទុក .RPD file extension និងផ្តល់ជូនជនរងគ្រោះនូវអ៊ីមែលទំនាក់ទំនងពីរគឺ anonimus852@tutanota.com, anonimus852@cock.li ។ ransomware នេះបង្កើតលេខកូដសម្គាល់អត្តសញ្ញាណតែមួយគត់សម្រាប់ជនរងគ្រោះម្នាក់ៗ ហើយបញ្ចូលឯកសារ How Recovery File.txt ដើម្បីទាមទារចំនួនទឹកប្រាក់រំលោះនៅក្នុង bitcoin ។

ការបង្ហាញខ្លួនរបស់ Cryptolocker ក្នុងឆ្នាំ 2013 បានកត់សម្គាល់ពីការផ្លាស់ប្តូរបច្ចេកទេសដោយឧក្រិដ្ឋជន។ វាគឺជាឧទាហរណ៍ដំបូងនៃ ransomware ដែលបានដើរតាមគន្លងនៃការអ៊ិនគ្រីបទិន្នន័យរបស់អ្នកប្រើប្រាស់ ដែលមានលេខកូដចស៊ីមេទ្រីដែលបានបង្កើតដោយចៃដន្យសម្រាប់ឯកសារនីមួយៗ។ លេខកូដស៊ីមេទ្រីនេះត្រូវបានអ៊ិនគ្រីបជាមួយលេខកូដសាធារណៈមិនត្រូវគ្នាហើយបន្ថែមទៅឯកសារ។ នៅពេលដែលឯកសារទាំងអស់ប្រហែល ៧០ ប្រភេទទូទៅត្រូវបានអ៊ិនគ្រីប កម្មវិធី ransomware បង្ហាញសារលោះទាមទារការបង់ប្រាក់ជាថ្នូរនឹងកូនសោរ asymmetric ឯកជនដែលត្រូវការ ដើម្បីឌិគ្រីបលេខកូដស៊ីមេទ្រីសម្រាប់ឯកសារដែលបានអ៊ិនគ្រីបនីមួយៗ។ វាព្រមានថាប្រសិនបើការទូទាត់មិនត្រូវបានធ្វើឡើងតាមពេលវេលាកំណត់ទេ នោះកូនសោស៊ីមេទ្រីនឹងត្រូវបានលុបដែលធ្វើឱ្យការស្តារទិន្នន័យមិនអាចធ្វើបាន។ វាក៏ព្រមានផងដែរថារាល់ការប៉ុនប៉ង ដើម្បីយកចេញនឹងបណ្តាលឱ្យកូនសោ asymmetric ត្រូវបានលុបចោល។

Cryptolocker ត្រូវបានបិទនៅក្នុងឆ្នាំ ២០១៤ នៅពេលដែល Gameover Zeus botnet ដែលវាពឹងផ្អែកសម្រាប់ការឃោសនា ត្រូវបានដកដោយនាយកដ្ឋានយុត្តិធម៌សហរដ្ឋអាមេរិក។

CryptoWall បានបង្ហាញខ្លួនជាលើកដំបូងនៅក្នុងឆ្នាំ ២០១៤ ហើយចាប់តាំងពីពេលនោះមកវាបានបង្ហាញខ្លួននៅក្នុងកំណែខុសគ្នាបន្តិចបន្តួច ដែលមានឈ្មោះរួមមាន CryptoDefense, CryptorBit, CryptoWall 2.0, CryptoWall 3.0 និង CryptoWall 4.0 ។ លក្ខណៈពិសេសគួរឱ្យកត់សំគាល់មួយនៃ ransomwareនេះ គឺថាអ្នកនិពន្ធផ្តល់ជូននូវសេវាអ៊ិនគ្រីបប្រើដោយមិនគិតថ្លៃ សម្រាប់ឯកសារតែមួយប៉ុណ្ណោះ ជាក់ស្តែងដើម្បីបង្ហាញដល់ជនរងគ្រោះរបស់ពួកគេថាពួកគេពិតជាកាន់កូនសោអ៊ិនគ្រីបពិតមែន។

CrytpoWall ៤.០ ដែលបានចេញផ្សាយនៅចុងឆ្នាំ ២០១៥ បានណែនាំអំពី“ លក្ខណៈពិសេសថ្មី”៖ វាបំលែងឈ្មោះឯកសារដែលវាបានអ៊ិនគ្រីប ដើម្បីធ្វើឱ្យជនរងគ្រោះពិបាកដឹងអំពីអ្វីដែលត្រូវបានអ៊ិនគ្រីប។ ransomware នេះត្រូវបានផ្សព្វផ្សាយតាមវិធីផ្សេងៗគ្នា រួមទាំងឯកសារភ្ជាប់ក្នុងអ៊ីមែលដែលអះអាងថាបានមកពីស្ថាប័នហិរញ្ញវត្ថុធ្វើអាជីវកម្ម ឧបករណ៍ដែលកេងចំណេញពីភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីរបស់អ្នកប្រើប្រាស់នៅពេលពួកគេចូលមើលគេហទំព័រដែលមានមេរោគ និងគេហទំព័រដែលបង្ហាញការផ្សាយពាណិជ្ជកម្មដែលមានមេរោគ។

CTB-Locker ចាប់ផ្តើមពីពាក់កណ្តាលឆ្នាំ ២០១៤ ហើយអ្នកនិពន្ធរបស់វាប្រើកម្មវិធីសម្ព័ន្ធ ដើម្បីធានាថា ransomware មានការលូតលាស់យ៉ាងទូលំទូលាយ។ អ្នកនិពន្ធដំណើរការ និងចាត់ចែងកម្មវិធី ransomware និង command និងប្រព័ន្ធគ្រប់គ្រងរបស់វា ខណៈពេលដែលអ្នកប្រើត្រូវបង់ថ្លៃសេវាប្រចាំខែដើម្បីចូលប្រើ ransomware ទទួលខុសត្រូវក្នុងការស្វែងរកជនរងគ្រោះតាមរយៈយុទ្ធនាការអ៊ីម៉ែលសារឥតបានការផ្ទាល់ខ្លួនរបស់ពួកគេ ឬដោយបើកគេហទំព័រដែលមានគំនិតអាក្រក់ភ្ជាប់ទៅនឹងឧបករណ៍កេងប្រវ័ញ្ច។ ឈ្មោះ CTB-Locker កើតចេញពី Curve-Tor-Bitcoin-Locker ដែលសំដៅទៅលើការអ៊ិនគ្រីបបែប Eliptic Curve ដែល ransomware ប្រើប្រាស់ ការប្រើបណ្តាញលាក់អត្តសញ្ញាណសម្រាប់ការទំនាក់ទំនង និងការទូទាត់ដែលទាមទារនៅ Bitcoins។ កំណត់សម្គាល់ទារប្រាក់រំលោះរបស់ CTB-Locker បង្ហាញរូបតំណាងទង់ជាតិជាច្រើននៅជ្រុងខាងស្តាំផ្នែកខាងលើ ដូច្នេះជនរងគ្រោះអាចអានកំណត់ត្រានោះជាភាសាអឺរ៉ុបផ្សេងៗគ្នា។

TorrentLocker បានចាប់ផ្តើមលេចមុខក្នុងឆ្នាំ ២០១៤ ហើយត្រូវបានផ្សព្វផ្សាយជាសំខាន់តាមរយៈសារអ៊ីម៉ែលឥតបានការ។ បន្ថែមលើនីតិវិធីស្តង់ដារនៃការអ៊ិនគ្រីបឯកសារនៃប្រភេទជាច្រើន និងទាមទារប្រាក់លោះនៅក្នុង Bitcoin, ransomware នេះក៏ប្រមូលបានអាស័យដ្ឋានអ៊ីម៉ែលដែលរកឃើញនៅលើម៉ាស៊ីន និងប្រើឯកសារទាំងនេះដើម្បីផ្ញើសារអ៊ីមែលឥតបានការបន្ថែមទៀតទៅបញ្ជីទំនាក់ទំនងរបស់ជនរងគ្រោះ ក្នុងគោលបំណងដើម្បីផ្សព្វផ្សាយបន្ថែមទៀត។

TorrentLocker ព្យាយាមលុបច្បាប់ចម្លងនៃដានព្រឹត្តិការណ៍របស់វីនដូ (ដែលអាចត្រូវបានប្រើដើម្បីស្តារឯកសារចាស់ៗដែលបានអ៊ិនគ្រីបទុកមុន) ដើម្បីធ្វើឱ្យអ្នកប្រើស្ទើតែមិនអាចស្តារឯកសាររបស់ពួកគេឡើងវិញដោយមិនចាំបាច់បង់ថ្លៃលោះ។ ជាធម្មតាវាត្រូវបានកំណត់ប្រហែល ៥០០ ដុល្លារប្រសិន​ បើបានបង់ប្រាក់ក្នុងរយៈពេលបីថ្ងៃ ដែលអាចទូទាត់ជា Bitcoin ទៅអាសយដ្ឋានដែលខុសគ្នាសម្រាប់ជនរងគ្រោះម្នាក់ៗ។

មេរោគ ransomware ទាំងពីរនេះបានឆ្លងលើម៉ាស៊ីនរាប់ពាន់គ្រឿង មុនពេលអ្នកបង្កើតពីរនាក់ត្រូវបានចោទប្រកាន់ និងបានចាប់ខ្លួននៅក្នុងប្រទេសហូឡង់ក្នុងឆ្នាំ ២០១៥ ។ នៅក្នុងការស៊ើបអង្កេត ក្រុមហ៊ុនសន្តិសុខរុស្ស៊ី Kaspersky អាចទទួលបានលេខកូដឌីគ្រិបចំនួន ១៤,០០០ កូដដែលត្រូវបានគេត្រូវការដើម្បីឌីគ្រិបឯកសារជនរងគ្រោះ។ ក្រោយមក Kaspersky បានបង្កើតឧបករណ៍មួយដែលអាចទាញយកបានដោយឥតគិតថ្លៃ ដើម្បីទាញយកឯកសារដែលខូចខាចដោយ Bitcryptor និង CoinVault។

TeslaCrypt បានបង្ហាញខ្លួននៅក្នុងឆ្នាំ ២០១៥ ហើយដំបូងត្រូវបានកំណត់គោលដៅ និងអ៊ិនគ្រីបទិន្នន័យដែលបានរក្សាទុក និងឯកសារផ្សេងទៀតដែលបង្កើតដោយហ្គេមកុំព្យូទ័រដូចជា Call of Duty និង World of Warcraft ដោយពួកគេអាចបង់ថ្លៃចំនួន ៥០០ ដុល្លារនៅក្នុង Bitcoins ។ ជំនាន់ទី១ បានប្រើលេខកូដអ៊ិនគ្រីប symmetric និងឧបករណ៍ឌីគ្រីប ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវសន្តិសុខសុវត្ថិភាព។ កំណែជាបន្តបន្ទាប់ប្រើការអ៊ិនគ្រីបទំនើប ដែលមិនអាចឌីគ្រិបដោយឧបករណ៍នេះបានទេ។

នៅឆ្នាំ ២០១៦ ក្រុមឧក្រិដ្ឋជននៅពីក្រោយ TeslaCrypt បានចេញនូវកូដឌីគ្រិប សម្រាប់មេរោគ ransomware ហើយបញ្ឈប់ការចែកចាយមេរោគនេះ។

Locky បានបង្ហាញខ្លួនជាលើកដំបូងនៅឆ្នាំ 2016 ហើយជាឧទាហរណ៍មួយដែលមានលក្ខណៈស្មុគស្មាញនៃមេរោគ ransomware។ ជារឿយៗវាឆ្លងដល់អ្នកប្រើប្រាស់តា​មរយៈឯកសារភ្ជាប់របស់ Microsoft Office ដែលមានមេរោគទៅកាន់អ៊ីមែល។ នៅពេលចុចលើឯកសារ Office ឯកសារអាចជម្រុញអ្នកប្រើប្រាស់ឱ្យបើកដំណើរការ Office macro ដើម្បីធានាថាឯកសារបង្ហាញត្រឹមត្រូវ ប៉ុន្តែការពិតវាអនុញ្ញាតឱ្យមេរោគដំណើរការ។ បន្ទាប់ពីការអ៊ិនគ្រិប ឯកសាររបស់អ្នកប្រើ Locky បង្ហាញកំណត់ចំណាំដែលត្រូវបានកំណត់ជាផ្ទាំងរូបភាព desktop ​របស់អ្នកប្រើ។ ផ្ទាំងនេះណែនាំអ្នកប្រើឱ្យទាញយក Tor Browser ហើយចូលទៅកាន់តំណភ្ជាប់ដែលបានបញ្ជាក់ នៅក្នុងកំណត់ត្រាដើម្បីបង់ថ្លៃជាការដោះដូរ។

ជំនាន់ក្រោយនៃ Locky ត្រូវបានឆ្លងលើអ្នកប្រើតាមរយៈឯកសារភ្ជាប់ JavaScript ដែលដំណើរការដោយស្វ័យប្រវត្តិដោយ Windows Script Host នៅលើម៉ាស៊ីន Windows ភាគច្រើននៅពេលចុច ដោយមិនចាំបាច់ប្រើ Office macros។

WannaCry បានឆ្លងចូលកុំព្យូទ័រច្រើនជាង ១០០,០០០គ្រឿង ក្នុងខែឧសភាឆ្នាំ ២០១៧ ដោយទាញយកអត្ថប្រយោជន៍ពីចន្លោះប្រហោងសុវត្ថិភាពរបស់ Microsoft Windows (MS17-010) ។

WannaCry (ឬ WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) អ៊ិនគ្រិបឯកសាររបស់អ្នកហើយផ្ទុកឯកសារទាំងនោះ និងតម្រូវអោយអ្នកបង់ថ្លៃដើម្បីទទួលបានឯកសារនោះវិញ។ អស់រយៈពេលជាច្រើនថ្ងៃតម្លៃដែលត្រូវបង់គឺប្រហែល BTC ០.១៧ (៣០០ ដុល្លារ) បន្ទាប់មកតម្លៃលោះនឹងត្រូវបង្កើនឡើង។ បន្ទាប់ពីមួយសប្តាហ៍ឯកសារនឹងត្រូវបានលុប ឯកសារដែលបានអ៊ិនគ្រីបនឹងមាន WCRY extension ។ វាត្រូវបានគេរកឃើញថាមេរោគនេះបានពិពណ៌នាអំពី“ មុខងារ kill switch” ។ ហើយវាក៏មានកំណែថ្មីនៃ​ Wannacry ដែលត្រូវបានគេមើលឃើញកាលពីថ្ងៃអាទិត្យ ជាមួយនឹង kill switch domain ​ថ្មី។

របៀបដែលវារីករាលដាល

វារីករាលដាលតាមរយៈ SMB protocol ដែលជាទូទៅត្រូវបានប្រើដោយម៉ាស៊ីន windows ដើម្បីធ្វើការទាក់ទង។ ជំនាន់ទី១ នៃ protocol គឺចន្លោះប្រហោងសុវត្ថិភាពដូចបានរៀបរាប់នៅក្នុង MS17-010 ។ នៅពេលដែលមានការឆ្លងមេរោគនៅក្នុងបណ្តាញ​ មេរោគ worm នឹងស្វែងរកម៉ាស៊ីនដែលអាចមានចន្លោះប្រហោងដទៃទៀត ហើយចម្លងមេរោគទៅកាន់វាផងដែរ។

vector ឆ្លងដំបូងមួយកំពុងត្រូវបានពិភាក្សានៅក្នុងសហគមន៍។ SMB ជាធម្មតាមិនមាន internet facing ដូច្នេះមនុស្សជាច្រើនគិតថាយុទ្ធនាការចាប់ផ្តើមដោយអ៊ីម៉ែលឆបោក ឬវិធីសាស្ត្រស្រដៀងគ្នា។ គេសង្កេតឃើញមានរបាយការណ៍ផ្ញើសារបន្លំមួយ ក្រុមអ្នកស្រាវជ្រាវជាច្រើនទៀតមិនទាន់បានឃើញនោះទេ។

ផលប៉ះពាល់

Europol បានលើកឡើងកាលពីថ្ងៃអាទិត្យថាមានម៉ាស៊ីនឆ្លងជាង ២០០,០០០គ្រឿង នៅក្នុងប្រទេសចំនួន ១៥០ ។ មួយថ្ងៃមុននេះមានមនុស្សប្រមាណ ៧៥,០០០នាក់ត្រូវបានគេរាយការណ៍ ហើយការឆ្លងបានផ្តោតលើប្រទេសរុស្ស៊ី។ មន្ទីរពេទ្យជាច្រើនបានរា​យការណ៍ ពីការកើនឡើងហានិភ័យសម្រាប់អ្នកជំងឺតាមរយៈព្រឹត្តិការណ៍ដូចជា ប្រតិបត្តិការត្រូវបានលុបចោល។ ជាមួយនឹងកំណែថ្មីដែលត្រូវបានគេមើលឃើញនៅថ្ងៃអាទិត្យ អ្នកជំនាញផ្នែកព័ត៌មានវិទ្យានិង infosec ត្រៀមខ្លួនសម្រាប់មេរោគមកថ្មីនៅព្រឹកថ្ងៃច័ន្ទ។

ក្រុមអ្នកស៊ើបអង្កេតបានរកឃើញថាមានអាសយដ្ឋាន bitcoin ចំនួន៣ ដែលជាកម្មសិទ្ធិរបស់ឧក្រិដ្ឋជន ហើយបានរាប់ចូលជាការរកប្រាក់ចំណូលរបស់ឧក្រិដ្ឋជន។ ទាំងនេះមានចំនួនជាង ៣៥,០០០ ដុល្លារកាលពីថ្ងៃអាទិត្យ។ សូមស្វែងយល់នៅទីនេះថាតើឧក្រិដ្ឋជនដែលបានធ្វើកន្លងមករកបានប្រាក់ចំណូលចំនួនប៉ុន្មាន៖ https://twitter.com/actual_ransom ។

Wannacry វាមិនមែនជាការគំរាមកំហែងធំបំផុតនោះទេ ប៉ុន្តែ (ការប្រើចន្លោះប្រហោងសុវត្ថិភាព windows ថ្មីៗ) វាផ្តោតលើក្រុមហ៊ុន ដែលបានកំណត់អាទិភាពទាប សម្រាប់សន្តិសុខព័ត៌មានវិទ្យាដូចជាមន្ទីរពេទ្យ។ តាមប្រវត្តិសាស្ត្រ មានតែជនរងគ្រោះមួយចំនួនតូចប៉ុណ្ណោះ ដែលបានបង់ប្រាក់។ ការខូចខាតភាគច្រើនគឺនៅក្នុងផលិតភាព ឬសូម្បីតែបាត់បង់ប្រាក់ចំណូលដោយសារអតិថិជន ប្រឈមនឹងដំណើរការដែលខូចខាត។

ជាក់ស្តែង ប្រសិនបើអ្នកឆ្លងមេរោគហើយមិនមានកម្រិត patch ទាន់សម័យនោះហានិភ័យរបស់អ្នកនឹងខ្ពស់។

GandCrab ransomware គឺជាបណ្តុំមេរោគគ្រីបតូ ដែលត្រូវបានគេណែនាំដំបូងនៅដើមឆ្នាំ ២០១៨ ។ ក្នុងរយៈពេលមួយឆ្នាំ វាទទួលបានឈ្មោះថាជាផ្នែកមួយនៃការឆ្លងមេរោគតាមអ៊ីនធឺណិតដែលគ្រោះថ្នាក់បំផុតនៅលើពិភពលោក។

បណ្តុំមេរោគមានបំរែបំរួលជាច្រើនដូចជា GDCB, KRAB, មេរោគ CRAB, GandCrab 2, GandCrab 3, GandCrab 4, និង GandCrab 5 ជំនាន់ទាំងអស់នេះកំពុងប្រើ RSA 2048 និង AES 256 ក្បួនដោះស្រាយដើម្បីអ៊ិនគ្រីបទិន្នន័យ និងកំពុងបន្ថែមដោយចៃដន្យ និង file extension ដើម្បីសម្គាល់ទិន្នន័យរបស់ជនរងគ្រោះដែលត្រូវបំផ្លាញ។ ក្នុងពេលនៃការសរសេរ កំណែដែលសាហាវជាងគេ គឺ Gandcrab 5.0.4 និង GandCrab 5.1 ។ មេរោគ ransomware បានប្រើប្រាស់វិធីសាស្រ្តចែកចាយផ្សេងៗគ្នាជាច្រើនរួមមាន RIG, GradSoft, Magnitude និង Fallout exploit kits, cracks, keygens, និង fake updates។ ខណៈពេលដែលមេរោគនេះគឺ ជាផ្នែកមួយនៃការគំរាមកំហែងដ៏សាហាវបំផុតនាពេលបច្ចុប្បន្ននេះ ក្រុមស្រាវជ្រាវ Bitdefender ខណៈពេលកំពុងធ្វើការជាមួយប៉ូលីសអឺរ៉ូប៉ូល និងរ៉ូម៉ានីបានបង្កើតអោយមាន 3rd GandCrab decryptor ដែលដំណើរការសម្រាប់កំណែ ១ ៤ ៤.០.១.១ ដល់ ៥.១ ។

ក្នុងករណីដែលអ្នកត្រូវការ decryptor សូមស្វែងរកនៅទីនេះ