មេរោគថ្មីរីករាលដាលយ៉ាងឆាប់រហ័សនៅទូទាំងប្រទេសចិនដែលឆ្លងទៅកុំព្យូទ័រជាង 100.000 គ្រឿង រួចមកហើយក្នុងរយៈពេល 4 ថ្ងៃចុងក្រោយនេះ ដោយសារតែការវាយប្រហារតាមខ្សែ ចង្វាក់ផ្គត់ផ្គង់ ហើយចំនួនអ្នកប៉ះពាល់កំពុងបន្តកើនឡើងឥតឈប់ឈរជារៀងរាល់ម៉ោង។
តើអ្វីទៅដែលគួរឱ្យចាប់អារម្មណ៍? មិនដូចមេរោគ malware ransomware ទេ វីរុសថ្មីមិនទាមទារ ការបង់ប្រាក់លោះនៅក្នុង Bitcoin ទេ។ ផ្ទុយទៅវិញពួកអ្នកវាយប្រហារស្នើសុំឱ្យជនរងគ្រោះ បង់ប្រាក់ 110 យន់ (ជិត 16 ដុល្លាអាមេរិក) ក្នុងតម្លៃលោះតាមរយៈ WeChat Pay ដែលជាការបង់ ប្រាក់ដែលផ្តល់ជូនដោយកម្មវិធីផ្ញើសារដែលពេញនិយមបំផុតរបស់ប្រទេសចិន។
Ransomware + Password Stealer – មិនដូច WannieCry និង NotPetya ransomware ដែល បណ្តាលឱ្យមានភាពវឹកវរទូទាំងពិភពលោកកាលពីឆ្នាំមុននោះទេ កម្មវិធី ransomware ថ្មីរបស់ចិន កំណត់យកតែអ្នកប្រើប្រាស់ចិនតែប៉ុណ្ណោះ។ វាក៏រួមបញ្ចូលផងដែរនូវលទ្ធភាពបន្ថែមដើម្បីលួច យកពាក្យសម្ងាត់គណនីរបស់អ្នកប្រើប្រាស់ពី Alipay, Netease 163 អ៊ីម៉ែល, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang និង QQ វែបសាយផងដែរ។
ការវាយប្រហារតាមខ្សែចង្វាក់ផ្គត់ផ្គង់ – យោងទៅតាមក្រុមហ៊ុនអ៊ីនធឺរណែត និងក្រុមហ៊ុន Velvet Security របស់ចិនឱ្យដឹងថា អ្នកវាយប្រហារបន្ថែមកូដព្យាបាទទៅក្នុងកម្មវិធីសរសេរកម្មវិធី “EasyLanguage” ដែលត្រូវប្រើប្រាស់ដោយអ្នកបង្កើតកម្មវិធីជាច្រើន។ ការសរសេរកម្មវិធីកែប្រែដែលត្រូវបង្កើតឡើងដើម្បីបញ្ចូលកូដ ransomware ទៅគ្រប់កម្មវិធី និង ផលិតផលកម្មវិធីដែលចងក្រងតាមរយៈវា – ឧទាហរណ៍មួយទៀតនៃការវាយតម្លៃខ្សែចង្វាក់ ផ្គត់ផ្គង់ software ត្រូវវាយប្រហារ ហើយមេរោគរាលដាលយ៉ាងឆាប់រហ័ស។អ្នកប្រើប្រាស់ចិនជាង 100.000 នាក់ ដែលដំឡើងកម្មវិធីណាមួយដែលចុះបញ្ជីខាងលើនេះ ប្រព័ន្ធរបស់ពួកគេត្រូវវាយប្រហារ។ ransomware នេះអ៊ិនគ្រីបឯកសារទាំងអស់នៅលើប្រព័ន្ធ មេរោគមួយលើកលែងតែឯកសារដែលមាន gif, exe និង tmp extensions ។
ការប្រើប្រាស់ហត្ថលេខាឌីជីថលដែលលួច – ដើម្បីការពារប្រឆាំងនឹងកម្មវិធីកំចាត់មេរោគអ្នក វាយប្រហារចុះហត្ថលេខាលើកូដមេរោគរបស់ពួកគេដោយមានហត្ថលេខាឌីជីថលដែលជឿទុក ចិត្តពីក្រុមហ៊ុនបច្ចេកវិទ្យា Tencent និងជៀសវាងការអ៊ិនគ្រីបទិន្នន័យនៅក្នុងបញ្ជីជាក់លាក់មួយចំនួន ដូចជា ល្បែង Tencent រឿងនិទាន tmp rtl និងកម្មវិធី។ នៅពេលដែលអ៊ិនគ្រីបនោះ ransomware បង្ហាញកំណត់ត្រាមួយដោយសុំឱ្យអ្នកប្រើបង់ប្រាក់ 110 យ័នចូលទៅគណនី WeChat របស់អ្នកវាយ ប្រហារក្នុងរយៈពេល 3 ថ្ងៃដើម្បីទទួលលេខកូដឌិគ្រីប។
ប្រសិនបើមិនបង់ក្នុងរយៈពេលដែលបង្ហាញនោះមេរោគនឹងគំរាមលុបកូនសោអ៊ិនគ្រីបពី ម៉ាស៊ីនមេបញ្ជា និងបញ្ជាពីចម្ងាយដោយស្វ័យប្រវត្តិ។ ក្រៅពីការអ៊ិនគ្រីបឯកសារអ្នកប្រើក៏ជាការលួចបន្លំចូលគណនីអ្នកប្រើប្រាស់ដើម្បីចូលគេហទំព័រចិន និងគណនីប្រព័ន្ធផ្សព្វផ្សាយសង្គម ហើយបញ្ជូនពួកគេទៅម៉ាស៊ីនមេ។ វាក៏ប្រមូលពត៌មានប្រព័ន្ធរួមទាំង CPU model, screen resolution ព័ត៌មានបណ្តាញ និងបញ្ជីកម្មវិធី ដែលដំឡើង។
អ្នកស្រាវជ្រាវInternetរបស់ចិនរកឃើញថាការលួចចម្លងនេះមិនត្រូវគេសរសេរកម្មវិធី និងអ្នកវាយប្រហារនិយាយកុហកអំពីដំណើរការអ៊ីនគ្រីប។ចំណាំ ransomware និយាយថាឯកសារអ្នកប្រើត្រូវអ៊ិនគ្រីបដោយប្រើក្បួនអ៊ិនគ្រីប DES ប៉ុន្តែ ការពិតវាអ៊ិនគ្រីបទិន្នន័យដោយប្រើលេខកូដសម្ងាត់ XOR ដែលមានសុវត្ថិភាព និងរក្សាទុកច្បាប់ ចម្លងនៃកូនសោអ៊ិនគ្រីបនៅលើប្រព័ន្ធរបស់ជនរងគ្រោះដោយខ្លួនឯងនៅក្នុង folder នៅទីតាំងដូច ខាងក្រោម:ដោយប្រើប្រាស់ព័ត៌មាននេះក្រុមការងារសន្តិសុខ Velvet បង្កើត និងបញ្ចេញឧបករណ៍decryption ransomware ដោយឥតគិតថ្លៃ ដែលអាចដោះសោឯកសារ ដែលអ៊ិនគ្រីបយ៉ាងងាយស្រួល សម្រាប់ជនរងគ្រោះដោយមិនតម្រូវឱ្យពួកគេបង់ថ្លៃលោះ។ ក្រុមអ្នកស្រាវជ្រាវក៏crackនិងត្រួតពិនិត្យពាក្យបញ្ជានិងបញ្ជារបស់អ្នកវាយប្រហារនិងម៉ាស៊ីន MySQL database servers ហើយរកឃើញពត៌មានអត្តសញ្ញាណរាប់ពាន់ដែលត្រូវគេលួច។
តើនរណាជាអ្នកនៅពីក្រោយការវាយលុកនេះ? – ដោយប្រើព័ត៌មានដែលអាចរកជាសាធារណៈ អ្នកស្រាវជ្រាវរកឃើញជនសង្ស័យម្នាក់ឈ្មោះ “Luo” ដែលជាអ្នកសរសេរកម្មវិធីដោយវិជ្ជាជីវៈ និង បង្កើតកម្មវិធីដូចជា “ជំនួយការធនធាន lsy” និង “LSY v1.1″។លេខគណនី Lua’s QQ របស់លេខទូរស័ព្ទ លេខកូដទូរស័ព្ទ Alipay ID និងអ៊ីម៉ែលត្រូវគ្នាជាមួយនឹង អ្នកស្រាវជ្រាវព័ត៌មានដែលប្រមូលដោយតាមដានគណនី WeChat របស់អ្នកវាយប្រហារ។ បន្ទាប់ ពីត្រូវជូនដំណឹងអំពីការគំរាមកំហែងនេះផងដែរ WeChat ក៏ផ្អាកគណនីអ្នកវាយប្រហារលើ សេវាកម្មរបស់ខ្លួនដែលកំពុងត្រូវប្រើដើម្បីទទួលការទូទាត់ប្រាក់សំណង។ អ្នកស្រាវជ្រាវVelvetក៏ជូនដំណឹងដល់ភ្នាក់ងារអនុវត្តច្បាប់របស់ប្រទេសចិននូវព័ត៌មានដែលអាច រកសម្រាប់ការស៊ើបអង្កេតបន្ថែម៕
ប្រភព៖
https://thehackernews.com/2018/12/china-ransomware-wechat.html
