Ransomware ថ្មីមួយនៅក្នុងទីផ្សារងងឹតដែល encrypts ឯកសារទាំងអស់នៅលើឧបករណ៍ និងបញ្ជូន ជនរងគ្រោះបន្តទៅឧបករណ៍ចាប់យក RIG។ វាត្រូវដំឡើងតាមរយៈយុទ្ធនាការ “ការបោស សំអាត”។ ក្រុមអ្នកស្រាវជ្រាវ Securoty រកឃើញវាខណៈពេលដែលវាកំពុងតំឡើងតាមឧបករណ៍ RIG នៅក្នុងយុទ្ធនាការ “Popcash malvertising”។ ជាដំបូងជនរងគ្រោះត្រូវបញ្ជូនបន្តទៅទំព័រ ដែលបង្ហោះកម្មវិធីទាញយក ហើយបន្ទាប់មកស្គ្រីបព្យាបាទនៅលើវានឹងព្យាយាមទាញយកភាពងាយ រងគ្រោះនៅលើឧបករណ៍។ ប្រសិនបើអ្វីៗដំណើរការល្អនោះវានឹងទាញយក និងដំឡើង GetCrypt ទៅក្នុង Windows។
របាយការណ៍បញ្ជាក់ថានៅពេលឧបករណ៍ចាប់យកប្រតិបត្តិការ ransomware ការត្រួតពិនិត្យ GetCrypt ប្រសិនបើភាសា Windows ត្រូវបំលែងទៅជាភាសារុស្ស៊ី អ៊ុយក្រែន កាហ្សាក់ ឬ Belarusian។ ប្រសិនបើដូច្នេះ ransomware បញ្ចប់ភ្លាម និងគ្មានការអ៊ិនគ្រីបកើតឡើង។ ប្រសិនបើ មិនមាន ransomware នឹងពិនិត្យ CPUID របស់កុំព្យូទ័រ។ លេខសម្គាល់ Id នេះត្រូវប្រើដើម្បីបង្កើត ខ្សែតួអក្សរ 4 ដែលត្រូវប្រើជាផ្នែកបន្ថែមសម្រាប់ឯកសារដែលអ៊ីនគ្រិប។
Extension តួអក្សរ៤ ដែលត្រូវបង្កើតឡើង ត្រូវបន្ថែមនៅពេលឯកសារត្រូវអ៊ិនគ្រីប។ ឈ្មោះឯកសារត្រូវ ផ្លាស់ប្តូរបន្ទាប់ពីពួកគេត្រូវអ៊ីនគ្រីប ក្រោយមកនៅលើច្បាប់ចម្លង Shadow Volume Copies ត្រូវ លុបចោលដោយការរត់ពាក្យបញ្ជា vssadmin.exedeleteshadows / all / quiet។ បន្ទាប់មក ransomware ចាប់ផ្តើមស្កេនកុំព្យូទ័ររកឯកសារដើម្បីអ៊ិនគ្រីប។ មិនមានប្រភេទឯកសារជាក់លាក់ណា ត្រូវកំណត់គោលដៅទេ លើកលែងតែឯកសារដែលមាននៅក្នុង folder ខាងក្រោម៖
: \ $ Recycle.Bin
: \ ProgramData
: \ User \ All Users
: \ Program Files
: \ Local Settings
: \ Windows
: \ Boot
: \ System Volume Information
: \ Recovery
នេះបើយោងតាមប្រភព GetCrypt ធ្វើឱ្យក្បួនដោះស្រាយ Salsa20 និង RSA-4096 ប្រើការអ៊ិនគ្រីប។
GetCrypt ក៏បង្កើតកំណត់សំគាល់ ransom note នៅក្នុងថតនីមួយៗផងដែរ ខណៈពេលដែលវា អ៊ីនគ្រីបឯកសារដែលមានឈ្មោះ #decrypt my files # .txt។ កំណត់សំគាល់ ransom note ខាងលើ បញ្ជាឱ្យជនរងគ្រោះទាក់ទងមក [email protected] ដើម្បីទទួលការណែនាំការបង់ប្រាក់។ GetCrypt ក៏នឹងផ្លាស់ប្តូរផ្ទៃខាងក្រោយ desktop ជនរងគ្រោះទៅរូបភាពដែលមានកំណត់សំគាល់ ransom note ដែលសរសេរនៅលើវាទាំងអស់ដែលត្រូវរក្សាទុកនៅ % LocalAppData%/ Tempdesk.bmp។
ក្រៅពីអ្វីទាំងអស់ដែល GetCrypt ធ្វើវានឹងព្យាយាមដាក់លេខ កូដឯកសារលើបណ្តាញ។ នៅពេលការអ៊ិនគ្រីបវាក៏នឹងព្យាយាមលួចយកព័ត៌មានគណនីផងដែរ។ វានឹងប្រើបញ្ជីឈ្មោះអ្នកប្រើ និងពាក្យសម្ងាត់ដែលបង្កប់ដើម្បីតភ្ជាប់ទៅបណ្តាញចែករំលែក ដោយប្រើប្រាស់មុខងារ WNetEnumResourceW។ វាក៏អាចព្យាយាមយកព័ត៌មានផ្ទាល់ខ្លួន និង មើលវាដោយប្រើមុខងារ WNetAddConnection2W។
អ្វីទាំងអស់ដែលអ្នកត្រូវការដើម្បីទទួលឯកសាររបស់អ្នកដែលឌិគ្រីបដោយឥតគិតថ្លៃគឺជា ឯកសារថតចម្លងដែលមិនអ៊ិនគ្រីបរបស់អ្នក។ គ្រាន់តែទាញយកកម្មវិធី decrypt_GetCrypt.exe ពីតំណដូចខាងក្រោមហើយរក្សាទុកវានៅលើ desktop របស់អ្នក៖ https://www.emsisoft.com/decrypter/getcrypt។
នៅពេលទាញយកដំណើរការឌិគ្រីបហើយជ្រើសឯកសារដែលអ៊ីនគ្រិបដែលអ្នកចង់ឌិគ្រីប និង ជំនាន់ដែលមិនអ៊ិនគ្រីបរបស់វា។ ចុចលើ start button។ ឥឡូវ decyptor នឹងបង្ខំឱ្យកូនសោឌិគ្រីប របស់អ្នក និង VOILA! ឯកសាររបស់អ្នកនឹងត្រូវឌិគ្រីប។
ប្រភព៖
https://www.ehackingnews.com/2019/05/getcrypt-ransomware-modus-operandi-and.html