មេរោគ GetCrypt Ransomware: វីធីសាស្រ្ត និងដំណោះស្រាយ

0

Ransomware ថ្មីមួយនៅក្នុងទីផ្សារងងឹតដែល encrypts ឯកសារទាំងអស់នៅលើឧបករណ៍ និងបញ្ជូន ជនរងគ្រោះបន្តទៅឧបករណ៍ចាប់យក RIG។ វាត្រូវដំឡើងតាមរយៈយុទ្ធនាការ “ការបោស សំអាត”។ ក្រុមអ្នកស្រាវជ្រាវ Securoty រកឃើញវាខណៈពេលដែលវាកំពុងតំឡើងតាមឧបករណ៍  RIG នៅក្នុងយុទ្ធនាការ “Popcash malvertising”។  ជាដំបូងជនរងគ្រោះត្រូវបញ្ជូនបន្តទៅទំព័រ ដែលបង្ហោះកម្មវិធីទាញយក ហើយបន្ទាប់មកស្គ្រីបព្យាបាទនៅលើវានឹងព្យាយាមទាញយកភាពងាយ រងគ្រោះនៅលើឧបករណ៍។ ប្រសិនបើអ្វីៗដំណើរការល្អនោះវានឹងទាញយក និងដំឡើង GetCrypt ទៅក្នុង Windows។

របាយការណ៍បញ្ជាក់ថានៅពេលឧបករណ៍ចាប់យកប្រតិបត្តិការ ransomware ការត្រួតពិនិត្យ GetCrypt ប្រសិនបើភាសា Windows ត្រូវបំលែងទៅជាភាសារុស្ស៊ី អ៊ុយក្រែន កាហ្សាក់ ឬ Belarusian។ ប្រសិនបើដូច្នេះ ransomware បញ្ចប់ភ្លាម និងគ្មានការអ៊ិនគ្រីបកើតឡើង។ ប្រសិនបើ មិនមាន ransomware នឹងពិនិត្យ CPUID របស់កុំព្យូទ័រ។ លេខសម្គាល់ Id នេះត្រូវប្រើដើម្បីបង្កើត ខ្សែតួអក្សរ 4 ដែលត្រូវប្រើជាផ្នែកបន្ថែមសម្រាប់ឯកសារដែលអ៊ីនគ្រិប។

Extension តួអក្សរ៤ ដែលត្រូវបង្កើតឡើង ត្រូវបន្ថែមនៅពេលឯកសារត្រូវអ៊ិនគ្រីប។ ឈ្មោះឯកសារត្រូវ ផ្លាស់ប្តូរបន្ទាប់ពីពួកគេត្រូវអ៊ីនគ្រីប  ក្រោយមកនៅលើច្បាប់ចម្លង Shadow Volume Copies ត្រូវ លុបចោលដោយការរត់ពាក្យបញ្ជា vssadmin.exedeleteshadows / all / quiet។ បន្ទាប់មក ransomware ចាប់ផ្តើមស្កេនកុំព្យូទ័ររកឯកសារដើម្បីអ៊ិនគ្រីប។ មិនមានប្រភេទឯកសារជាក់លាក់ណា ត្រូវកំណត់គោលដៅទេ លើកលែងតែឯកសារដែលមាននៅក្នុង folder ខាងក្រោម៖

: \ $ Recycle.Bin

: \ ProgramData

: \ User \ All Users

: \ Program Files

: \ Local Settings

: \ Windows

: \ Boot

: \ System Volume Information

: \ Recovery

នេះបើយោងតាមប្រភព GetCrypt ធ្វើឱ្យក្បួនដោះស្រាយ Salsa20 និង RSA-4096 ប្រើការអ៊ិនគ្រីប។

GetCrypt ក៏បង្កើតកំណត់សំគាល់ ransom note នៅក្នុងថតនីមួយៗផងដែរ ខណៈពេលដែលវា អ៊ីនគ្រីបឯកសារដែលមានឈ្មោះ #decrypt my files # .txt។ កំណត់សំគាល់ ransom note ខាងលើ បញ្ជាឱ្យជនរងគ្រោះទាក់ទងមក [email protected] ដើម្បីទទួលការណែនាំការបង់ប្រាក់។  GetCrypt ក៏នឹងផ្លាស់ប្តូរផ្ទៃខាងក្រោយ desktop ជនរងគ្រោះទៅរូបភាពដែលមានកំណត់សំគាល់ ransom note ដែលសរសេរនៅលើវាទាំងអស់ដែលត្រូវរក្សាទុកនៅ % LocalAppData%/ Tempdesk.bmp។

ក្រៅពីអ្វីទាំងអស់ដែល GetCrypt ធ្វើវានឹងព្យាយាមដាក់លេខ កូដឯកសារលើបណ្តាញ។ នៅពេលការអ៊ិនគ្រីបវាក៏នឹងព្យាយាមលួចយកព័ត៌មានគណនីផងដែរ។  វានឹងប្រើបញ្ជីឈ្មោះអ្នកប្រើ និងពាក្យសម្ងាត់ដែលបង្កប់ដើម្បីតភ្ជាប់ទៅបណ្តាញចែករំលែក ដោយប្រើប្រាស់មុខងារ WNetEnumResourceW។ វាក៏អាចព្យាយាមយកព័ត៌មានផ្ទាល់ខ្លួន និង មើលវាដោយប្រើមុខងារ WNetAddConnection2W។

អ្វីទាំងអស់ដែលអ្នកត្រូវការដើម្បីទទួលឯកសាររបស់អ្នកដែលឌិគ្រីបដោយឥតគិតថ្លៃគឺជា ឯកសារថតចម្លងដែលមិនអ៊ិនគ្រីបរបស់អ្នក។ គ្រាន់តែទាញយកកម្មវិធី decrypt_GetCrypt.exe ពីតំណដូចខាងក្រោមហើយរក្សាទុកវានៅលើ desktop របស់អ្នក៖ https://www.emsisoft.com/decrypter/getcrypt។

នៅពេលទាញយកដំណើរការឌិគ្រីបហើយជ្រើសឯកសារដែលអ៊ីនគ្រិបដែលអ្នកចង់ឌិគ្រីប និង ជំនាន់ដែលមិនអ៊ិនគ្រីបរបស់វា។ ចុចលើ start button។ ឥឡូវ decyptor នឹងបង្ខំឱ្យកូនសោឌិគ្រីប របស់អ្នក និង VOILA! ឯកសាររបស់អ្នកនឹងត្រូវឌិគ្រីប។

ប្រភព​៖

https://www.ehackingnews.com/2019/05/getcrypt-ransomware-modus-operandi-and.html

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here