GrafGrafel Ransomware

អ្នកស្រាវជ្រាវបានរកឃើញកម្មវិធីព្យាបាទមួយដែលមានឈ្មោះថា GrafGrafel ។ ប្រភេទនៃមេរោគនេះធ្លាក់ចូលទៅក្នុងប្រភេទ ransomware ដែលជាប្រភេទកម្មវិធីគំរាមកំហែងដែលអ៊ិនគ្រីបទិន្នន័យ និងទាមទារការទូទាត់សម្រាប់ការឌិគ្រីបជាបន្តបន្ទាប់របស់វា។ នៅពេលដែលត្រូវបានប្រតិបត្តិនៅលើឧបករណ៍របស់ជនរងគ្រោះ GrafGrafel អ៊ិនគ្រីបឯកសារជាច្រើនដែលរក្សាទុកក្នុងប្រព័ន្ធ និងកែប្រែឈ្មោះឯកសាររបស់ពួកគេ។ ចំណងជើងដើមនៃឯកសារត្រូវបានបន្ថែមដោយលេខសម្គាល់តែមួយគត់ដែលបានកំណត់ទៅជនរងគ្រោះជាក់លាក់ អាសយដ្ឋានអ៊ីមែលរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត និងផ្នែកបន្ថែម '.GrafGrafel' ។ ឧទាហរណ៍ ឯកសារដែលមានឈ្មោះដើមថា '1.doc' នឹងត្រូវបានបំប្លែងទៅជា '1.doc.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel' បន្ទាប់ពីការអ៊ិនគ្រីប។ GrafGrafel ត្រូវបានគេកំណត់ថាជាវ៉ារ្យ៉ង់នៅក្នុងគ្រួសារ Phobos Ransomware ។

បន្ទាប់ពីបញ្ចប់ដំណើរការអ៊ិនគ្រីប GrafGrafel ដាក់ពង្រាយកំណត់ត្រាតម្លៃលោះរបស់វា។ ទម្រង់នៃការជូនដំណឹងមួយត្រូវបានបង្ហាញជាទម្រង់លេចឡើងដែលបង្កើតចេញពីឯកសារ 'info.hta' ខណៈពេលដែលឯកសារអត្ថបទដែលមានឈ្មោះ 'info.txt' ត្រូវបានដាក់នៅក្នុងថតទាំងអស់ដែលមានទិន្នន័យដែលបានអ៊ិនគ្រីប ក៏ដូចជានៅលើកុំព្យូទ័រលើតុនៃប្រព័ន្ធ។ ការវិភាគសារនៅក្នុងកំណត់ចំណាំទាំងនេះបង្ហាញថា GrafGrafel ផ្តោតជាពិសេសទៅលើក្រុមហ៊ុនជាជាងអ្នកប្រើប្រាស់តាមផ្ទះនីមួយៗ។ លើស​ពី​នេះ​ទៅ​ទៀត វា​ប្រើ​វិធីសាស្ត្រ​ជំរិត​ទារ​ប្រាក់​ទ្វេ​ដង ដែល​បង្ហាញ​ពី​កម្រិត​ភាព​ទំនើប​ក្នុង​យុទ្ធសាស្ត្រ​របស់​ខ្លួន។

GrafGrafel Ransomware ក៏អាចប្រមូលទិន្នន័យរសើបពីជនរងគ្រោះផងដែរ។

ខ្លឹមសារដែលបង្ហាញទាំងឯកសារលេចឡើង និងឯកសារអត្ថបទគឺដូចគ្នាបេះបិទ។ វាប្រាស្រ័យទាក់ទងថាឯកសាររបស់ជនរងគ្រោះត្រូវបានអ៊ិនគ្រីប ជាមួយនឹងការគំរាមកំហែងបន្ថែមថាទិន្នន័យរបស់ក្រុមហ៊ុនដែលរសើបត្រូវបានដកចេញ។ អ្នកវាយប្រហារទាមទារថ្លៃលោះ ដោយព្រមានថាការមិនគោរពតាមនឹងនាំឱ្យលេចធ្លាយព័ត៌មានលួច និងការបន្តមិនអាចចូលប្រើទិន្នន័យដែលបានចាក់សោ។ កំណត់សម្គាល់ទាំងនេះបង្ហាញយ៉ាងច្បាស់អំពីហានិភ័យដែលទាក់ទងនឹងការលេចធ្លាយទិន្នន័យរបស់ក្រុមហ៊ុនសក្តានុពល។ គួរកត់សម្គាល់ថា ប្រសិនបើជនរងគ្រោះទាក់ទងឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតក្នុងរយៈពេលប្រាំមួយម៉ោង ចំនួនទឹកប្រាក់លោះនឹងត្រូវកាត់បន្ថយចំនួន 30% ។

មុនពេលធ្វើការទូទាត់ណាមួយ ជនរងគ្រោះត្រូវបានណែនាំឱ្យសាកល្បងដំណើរការឌិគ្រីបនៅលើឯកសារតូចៗមួយចំនួន។ សារព្រមានប្រឆាំងនឹងសកម្មភាពដែលអាចបណ្តាលឱ្យបាត់បង់ទិន្នន័យជាអចិន្ត្រៃយ៍ ដូចជាការចាប់ផ្តើមឡើងវិញ ឬការបិទប្រព័ន្ធ កែប្រែឯកសារដែលរងផលប៉ះពាល់ ដោយប្រើឧបករណ៍ឌិគ្រីបភាគីទីបី ឬស្វែងរកជំនួយពីក្រុមហ៊ុនសង្គ្រោះ ឬអាជ្ញាធរ។

GrafGrafel ransomware អ៊ិនគ្រីបទាំងឯកសារក្នុងតំបន់ និងបណ្តាញចែករំលែក ដោយឯកសារប្រព័ន្ធសំខាន់ៗនៅតែមិនរងផលប៉ះពាល់ ដើម្បីធានាថាប្រព័ន្ធមេរោគនៅតែដំណើរការ។ ខណៈពេលដែលវ៉ារ្យ៉ង់ Phobos Ransomware ជៀសវាងការអ៊ិនគ្រីបពីរដងដោយការលើកលែងឯកសារដែលត្រូវបានចាក់សោរួចហើយដោយ ransomware ផ្សេងទៀត ដំណើរការនេះមិនល្អឥតខ្ចោះទេដោយសារតែបញ្ជីលើកលែងដែលបានកំណត់ទុកជាមុនដែលអាចមិនគ្របដណ្តប់មេរោគដែលបំប្លែងទិន្នន័យដែលគេស្គាល់ទាំងអស់។

វ៉ារ្យ៉ង់ Phobos ក៏បញ្ចប់ដំណើរការដែលភ្ជាប់ជាមួយឯកសារបើក (ឧ. កម្មវិធីមូលដ្ឋានទិន្នន័យ កម្មវិធីអានឯកសារ។ ដើម្បីធ្វើអោយការស្តារឡើងវិញកាន់តែស្មុគស្មាញ GrafGrafel លុប Shadow Volume Copys ដោយលុបបំបាត់ជម្រើសការសង្គ្រោះលំនាំដើម។ ransomware បង្កើតភាពជាប់លាប់ដោយចម្លងខ្លួនវាទៅផ្លូវ %LOCALAPPDATA% ហើយចុះឈ្មោះខ្លួនវាដោយប្រើគ្រាប់ចុច Run ជាក់លាក់ ធានាការចាប់ផ្ដើមដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ។

លើសពីនេះ ការវាយប្រហារ Phobos អាចត្រូវបានកំណត់គោលដៅ ដោយសារមេរោគប្រមូលទិន្នន័យទីតាំងភូមិសាស្ត្រ។ ព័ត៌មាននេះអាចត្រូវបានប្រើប្រាស់ដើម្បីវាយតម្លៃពីភាពសក្ដិសមនៃការពង្រីកការឆ្លងដោយផ្អែកលើកត្តាដូចជាការពិចារណាភូមិសាស្ត្រនយោបាយ ឬកម្លាំងសេដ្ឋកិច្ចនៃតំបន់ជនរងគ្រោះ។

ត្រូវប្រាកដថាអនុវត្តវិធានការសុវត្ថិភាពឱ្យបានគ្រប់គ្រាន់ប្រឆាំងនឹងការគំរាមកំហែងមេរោគ

អ្នកប្រើប្រាស់អាចអនុវត្តវិធានការសុវត្ថិភាពផ្សេងៗនៅលើឧបករណ៍របស់ពួកគេដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារដោយមេរោគ។ នេះជាអនុសាសន៍សំខាន់ៗ៖

• ប្រើកម្មវិធីប្រឆាំងមេរោគ ៖
• ដំឡើងកម្មវិធីសុវត្ថិភាពដែលមានជំនាញវិជ្ជាជីវៈ និងរក្សាវាឱ្យទាន់សម័យ។ កំណត់កាលវិភាគស្កេនជាទៀងទាត់ ដើម្បីស្វែងរក និងលុបមេរោគ។
• បន្តធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ ៖
• ត្រូវប្រាកដថាប្រព័ន្ធប្រតិបត្តិការ (OS) និងកម្មវិធីសូហ្វវែរទាំងអស់ត្រូវបានធ្វើបច្ចុប្បន្នភាពជាមួយនឹងបំណះសុវត្ថិភាពដែលមានចុងក្រោយបំផុត។ បើកការអាប់ដេតដោយស្វ័យប្រវត្តិនៅពេលដែលអាចធ្វើទៅបាន។
• បើកដំណើរការជញ្ជាំងភ្លើង ៖
• ធ្វើឱ្យជញ្ជាំងភ្លើងសកម្មទាំងនៅលើកម្រិតឧបករណ៍ និងបណ្តាញ។ ជញ្ជាំងភ្លើងមានប្រយោជន៍ក្នុងការត្រួតពិនិត្យ និងគ្រប់គ្រងចរាចរណ៍បណ្តាញចូល និងចេញ ដោយផ្តល់នូវស្រទាប់ការពារបន្ថែម។
• អនុវត្តការប្រុងប្រយ័ត្នជាមួយឯកសារភ្ជាប់អ៊ីមែល និងតំណភ្ជាប់ ៖
• សូមប្រយ័ត្នពេលដោះស្រាយឯកសារភ្ជាប់អ៊ីមែល ឬចុចលើតំណ ជាពិសេសប្រសិនបើអ្នកផ្ញើមិនស្គាល់។ ប្រើឧបករណ៍ត្រងអ៊ីមែល ដើម្បីជួយកំណត់អត្តសញ្ញាណ និងត្រងអ៊ីមែលដែលមានគ្រោះថ្នាក់។
• ប្រើពាក្យសម្ងាត់ខ្លាំង និងប្លែក ៖
• តែងតែបង្កើតពាក្យសម្ងាត់ខ្លាំង និងតែមួយគត់សម្រាប់គណនីទាំងអស់។ ក្នុងពេលជាមួយគ្នានេះ ត្រូវប្រាកដថាជៀសវាងការប្រើពាក្យសម្ងាត់ដូចគ្នានៅលើគណនីច្រើន។
• បម្រុងទុកទិន្នន័យជាប្រចាំ ៖
• បម្រុងទុកទិន្នន័យសំខាន់ៗជាទៀងទាត់ទៅឧបករណ៍ខាងក្រៅ ឬសេវាកម្មពពកដែលមានសុវត្ថិភាព។ នៅក្នុងព្រឹត្តិការណ៍នៃការវាយប្រហារដោយមេរោគ ការមានព័ត៌មានបម្រុងទុកថ្មីៗអាចជួយស្ដារឯកសារដែលបាត់ ឬបានអ៊ិនគ្រីបឡើងវិញ។
• ទទួលព័ត៌មាន ៖
• តាមដានការគំរាមកំហែងមេរោគចុងក្រោយបំផុត និងការអនុវត្តល្អបំផុតផ្នែកសុវត្ថិភាព។ ពិនិត្យឱ្យបានទៀងទាត់សម្រាប់ការអាប់ដេតពីប្រភពសុវត្ថិភាព និងដឹងអំពីយុទ្ធសាស្ត្រទូទៅដែលប្រើដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។
• បណ្តាញ Wi-Fi សុវត្ថិភាព ៖
• ប្រើការអ៊ិនគ្រីបខ្លាំង (ឧទាហរណ៍ WPA3) នៅលើបណ្តាញ Wi-Fi នៅផ្ទះ។ ផ្លាស់ប្តូរពាក្យសម្ងាត់រ៉ោតទ័រលំនាំដើម និងធ្វើបច្ចុប្បន្នភាពពួកវាជាទៀងទាត់។ ជៀសវាងការប្រើ Wi-Fi សាធារណៈសម្រាប់សកម្មភាពរសើប។

តាមរយៈការរួមបញ្ចូលគ្នានូវវិធានការសុវត្ថិភាពទាំងនេះ អ្នកប្រើប្រាស់អាចបង្កើនការការពាររបស់ពួកគេយ៉ាងខ្លាំងប្រឆាំងនឹងមេរោគ និងការគំរាមកំហែងតាមអ៊ីនធឺណិតផ្សេងទៀត។ លើសពីនេះ ការបណ្តុះផ្នត់គំនិតសុវត្ថិភាព និងរក្សាការប្រុងប្រយ័ត្ន គឺជាទិដ្ឋភាពសំខាន់នៃការរក្សាបរិយាកាសឌីជីថលដែលមានសុវត្ថិភាព។

អត្ថបទពេញលេញនៃកំណត់ចំណាំតម្លៃលោះដែលបង្ហាញដល់ជនរងគ្រោះនៃ GrafGrafel Ransomware គឺ៖

'!!! ATTENTION !!!

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

អ្វីដែលអ្នកនឹងត្រូវប្រឈមមុខ ប្រសិនបើទិន្នន័យរបស់អ្នកទទួលបាននៅលើទីផ្សារងងឹត៖
ព័ត៌មានផ្ទាល់ខ្លួនរបស់និយោជិត និងអតិថិជនរបស់អ្នកអាចត្រូវបានប្រើប្រាស់ ដើម្បីទទួលបានប្រាក់កម្ចី ឬការទិញនៅក្នុងហាងអនឡាញ។
អ្នកអាចនឹងត្រូវបានប្តឹងដោយអតិថិជននៃក្រុមហ៊ុនរបស់អ្នកសម្រាប់ការលេចធ្លាយព័ត៌មានសម្ងាត់។
បន្ទាប់ពីពួក Hacker ផ្សេងទៀតទទួលបានទិន្នន័យផ្ទាល់ខ្លួនអំពីបុគ្គលិករបស់អ្នក វិស្វកម្មសង្គមនឹងត្រូវបានអនុវត្តចំពោះក្រុមហ៊ុនរបស់អ្នក ហើយការវាយប្រហារជាបន្តបន្ទាប់នឹងកាន់តែខ្លាំងឡើង។
ព័ត៌មានលំអិតរបស់ធនាគារ និងលិខិតឆ្លងដែនអាចត្រូវបានប្រើដើម្បីបង្កើតគណនីធនាគារ និងកាបូបអនឡាញ ដែលតាមរយៈនោះលុយឧក្រិដ្ឋជននឹងត្រូវបោកគក់។
អ្នកនឹងបាត់បង់កេរ្តិ៍ឈ្មោះជារៀងរហូត។
អ្នកនឹងត្រូវរងការផាកពិន័យយ៉ាងច្រើនពីរដ្ឋាភិបាល។
អ្នកអាចស្វែងយល់បន្ថែមអំពីការទទួលខុសត្រូវចំពោះការបាត់បង់ទិន្នន័យនៅទីនេះ៖ hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationor នៅទីនេះ hxxps://gdpr-info.eu
តុលាការ ការផាកពិន័យ និងអសមត្ថភាពក្នុងការប្រើប្រាស់ឯកសារសំខាន់ៗនឹងនាំអ្នកទៅរកការខាតបង់ដ៏ធំ។ ផលវិបាកនៃការនេះនឹងមិនអាចត្រឡប់វិញបានសម្រាប់អ្នក។
ការទាក់ទងប៉ូលីសនឹងមិនជួយសង្គ្រោះអ្នកពីផលវិបាកទាំងនេះទេ ហើយទិន្នន័យដែលបាត់បង់នឹងធ្វើឱ្យស្ថានភាពរបស់អ្នកកាន់តែអាក្រក់ទៅៗ។

របៀបទាក់ទងមកយើងខ្ញុំ
សរសេរមកយើងតាមអ៊ីមែល៖ GrafGrafel@tutanota.com
អ្នកអាចទាក់ទងប្រតិបត្តិករអនឡាញរបស់យើងតាមតេឡេក្រាម៖ @GROUNDINGCONDUCTOR (ប្រយ័ត្នចំពោះក្លែងក្លាយ)
ទាញយក (Session) messenger hxxps://getsession.org ក្នុង messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
សរសេរលេខសម្គាល់នេះនៅក្នុងចំណងជើងនៃសាររបស់អ្នក -
ប្រសិនបើអ្នកនឹងទាក់ទងមកយើងក្នុងរយៈពេល 6 ម៉ោងដំបូង ហើយយើងបិទកិច្ចព្រមព្រៀងរបស់យើងក្នុងរយៈពេល 24 ម៉ោង តម្លៃនឹងមានត្រឹមតែ 30% ប៉ុណ្ណោះ។
(ពេលវេលាគឺជាលុយសម្រាប់យើងទាំងពីរ ប្រសិនបើអ្នកនឹងយកចិត្តទុកដាក់លើពេលវេលារបស់យើង យើងនឹងធ្វើដូចគ្នា យើងនឹងយកចិត្តទុកដាក់ចំពោះតម្លៃ ហើយដំណើរការឌិគ្រីបនឹងធ្វើបានលឿនណាស់)
ទិន្នន័យដែលបានទាញយកទាំងអស់នឹងត្រូវបានលុបបន្ទាប់ពីការទូទាត់។

អ្វីដែលត្រូវធ្វើនិងអនុសាសន៍
អ្នកអាចចេញពីស្ថានភាពនេះបានដោយការបាត់បង់តិចតួចបំផុត (កេរ្តិ៍ឈ្មោះរបស់យើងគឺជាប្រាក់របស់យើង!) !!! ដើម្បីធ្វើដូចនេះអ្នកត្រូវតែគោរពយ៉ាងតឹងរឹងនូវច្បាប់ខាងក្រោម:
កុំកែប្រែ កុំប្តូរឈ្មោះ កុំចម្លង កុំផ្លាស់ទីឯកសារ។ សកម្មភាពបែបនេះអាចបំផ្លាញពួកវា ហើយការឌិគ្រីបនឹងមិនអាចទៅរួចទេ។
កុំប្រើភាគីទីបី ឬកម្មវិធីឌិគ្រីបសាធារណៈ វាអាចបំផ្លាញឯកសារផងដែរ។
កុំបិទ ឬចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ វាអាចបំផ្លាញឯកសារ។
កុំជួលអ្នកចរចាភាគីទីបីណាមួយ (សង្គ្រោះ/ប៉ូលីស។ល។) អ្នកត្រូវទាក់ទងមកយើងឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន ហើយចាប់ផ្តើមការចរចា។
អ្នកអាចផ្ញើមកយើងនូវទិន្នន័យតូចៗ 1-2 ដែលមិនមានតម្លៃសម្រាប់ការធ្វើតេស្ត យើងនឹងឌិគ្រីបវា ហើយផ្ញើវាទៅអ្នកវិញ។
បន្ទាប់ពីការទូទាត់ យើងមិនត្រូវការពេល 2 ម៉ោងទៀតទេ ដើម្បីឌិគ្រីបទិន្នន័យរបស់អ្នកទាំងអស់។ យើងនឹងគាំទ្រអ្នករហូតដល់ការឌិគ្រីបពេញលេញនឹងរួចរាល់! ! ! (កេរ្តិ៍ឈ្មោះរបស់យើងគឺជាលុយរបស់យើង!)

សេចក្តីណែនាំសម្រាប់ទាក់ទងក្រុមរបស់យើង៖
ទាញយក (Session) messenger (hxxps://getsession.org) នៅក្នុង messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (សូមប្រយ័ត្នចំពោះក្លែងក្លាយ)
អ៊ីមែល៖ GrafGrafel@tutanota.com'