LukaLocker Ransomware

តួអង្គ ransomware ថ្មីដែលប្រើវិធីសាស្ត្រជំរិតទារប្រាក់ពីរដងបានលេចឡើងជាមួយនឹងការវាយប្រហារជាបន្តបន្ទាប់ក្នុងរយៈពេលដ៏ខ្លី។ អង្គភាពនេះណែនាំមេរោគ locker ប្រកបដោយភាពច្នៃប្រឌិតដែលត្រូវបានគេហៅថា LukaLocker Ransomware ដែលបំពាក់ដោយបច្ចេកទេសគេចវេសផ្សេងៗ ដើម្បីធ្វើឲ្យរំខានដល់ប្រតិបត្តិការរបស់វា និងរារាំងការស៊ើបអង្កេតផ្នែកកោសល្យវិច្ច័យ។ កំណត់អត្តសញ្ញាណដោយក្រុមអ្នកស្រាវជ្រាវថាជា 'Volcano Demon' ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានទាក់ទាញការយកចិត្តទុកដាក់ចំពោះការប្រើប្រាស់ប្រលោមលោករបស់ខ្លួននៃ LukaLocker ដែលជាមេរោគដែលមើលមិនឃើញពីមុនមក។ ឯកសារដែលបានអ៊ិនគ្រីបដោយការគំរាមកំហែងនេះត្រូវបានបន្ថែមដោយផ្នែកបន្ថែម '.nba' ។

កលល្បិចសង្កេតឃើញនៅក្នុងការវាយប្រហាររបស់បិសាចភ្នំភ្លើង

អ្នកវាយប្រហារប្រើវិធីសាស្ត្រគេចវេសដ៏ទំនើប ដូចជាការដាក់ពង្រាយការកាប់ឈើជនរងគ្រោះ និងដំណោះស្រាយតាមដានមុនពេលចាប់ផ្តើមការវាយប្រហារ។ លើសពីនេះទៀត ពួកគេប្រើប្រាស់ការហៅទូរសព្ទ 'គំរាមកំហែង' ពីលេខ 'No Caller ID' ដើម្បីបង្ខិតបង្ខំជនរងគ្រោះឱ្យបង់ប្រាក់លោះ ឬលក្ខខណ្ឌចរចា។

មុនពេលការកេងប្រវ័ញ្ច កំណត់ហេតុត្រូវបានសម្អាតជាប្រព័ន្ធ ដែលរារាំងការវិភាគផ្នែកកោសល្យវិច្ច័យដ៏ទូលំទូលាយនៅក្នុងឧប្បត្តិហេតុដែលបានរកឃើញ។ ក្រុមដែលគេស្គាល់ថា Volcano Demon បដិសេធមិនរក្សាកន្លែងលេចធ្លាយ បើទោះបីជាប្រើវិធីសាស្ត្រជំរិតទារប្រាក់ពីរដងក្នុងអំឡុងពេលប្រតិបត្តិការរបស់ខ្លួនក៏ដោយ។

ក្នុងអំឡុងពេលនៃការវាយលុករបស់ពួកគេ Volcano Demon ប្រើប្រាស់ព័ត៌មានសម្ងាត់រដ្ឋបាលដែលត្រូវបានសម្របសម្រួលដែលទទួលបានពីបណ្តាញជនរងគ្រោះ ដើម្បីណែនាំកំណែ Linux របស់ LukaLocker ។ មេរោគនេះមានប្រសិទ្ធភាពអ៊ិនគ្រីបទាំងស្ថានីយការងារ និងម៉ាស៊ីនមេរបស់វីនដូ។ មុនពេលដាក់ពង្រាយ ransomware អ្នកវាយប្រហារទាញយកទិន្នន័យទៅម៉ាស៊ីនមេ Command-and-Control (C2) របស់ពួកគេ ដោយបង្កើនអានុភាពរបស់ពួកគេនៅក្នុងសេណារីយ៉ូការជំរិតពីរដង។

ជនរងគ្រោះត្រូវបានណែនាំឱ្យទំនាក់ទំនងតាមរយៈកម្មវិធីផ្ញើសារ qTox ហើយរង់ចាំការហៅត្រឡប់មកវិញសម្រាប់ការគាំទ្រផ្នែកបច្ចេកទេស ដែលធ្វើអោយស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងក្នុងការតាមដានទំនាក់ទំនងរវាងអ្នកវាយប្រហារ និងជនរងគ្រោះ។

LukaLocker Ransomware បញ្ចប់កម្មវិធីសុវត្ថិភាព និងចាក់សោទិន្នន័យ

LukaLocker Ransomware ត្រូវបានរកឃើញនៅក្នុងខែមិថុនា ឆ្នាំ 2024 ជា x64 PE binary ដែលត្រូវបានបង្កើតឡើងនៅក្នុង C++ ។ យោងតាមក្រុមអ្នកស្រាវជ្រាវ វាប្រើប្រាស់ API obfuscation និងដំណោះស្រាយ API ថាមវន្ត ដើម្បីបិទបាំងប្រតិបត្តិការដ៏ឈឺចាប់របស់វា គេចពីការរកឃើញ ការវិភាគ និងវិស្វកម្មបញ្ច្រាស។ ransomware ប្រើលេខកូដ Chacha8 សម្រាប់ការអ៊ិនគ្រីបទិន្នន័យជាដុំៗ។ វាបង្កើតកូនសោ Chacha8 ចៃដន្យ ហើយប្រើក្បួនដោះស្រាយកិច្ចព្រមព្រៀងគន្លឹះ Elliptic-curve Diffie-Hellman (ECDH) លើ Curve25519។ ឯកសារអាចត្រូវបានអ៊ិនគ្រីបទាំងស្រុង ឬក្នុងភាគរយផ្សេងៗគ្នា ដូចជា 50%, 20%, ឬ 10% ។

នៅពេលប្រតិបត្តិ លុះត្រាតែ '--sd-killer-off' ត្រូវបានបញ្ជាក់ LukaLocker បញ្ឈប់សេវាកម្មសុវត្ថិភាព និងការត្រួតពិនិត្យសំខាន់ៗមួយចំនួនភ្លាមៗនៅទូទាំងបណ្តាញ។ ទាំងនេះរួមមានឧបករណ៍ប្រឆាំងមេរោគ និងឧបករណ៍ការពារចំណុចបញ្ចប់ ដំណោះស្រាយបម្រុងទុក និងសង្គ្រោះ កម្មវិធីមូលដ្ឋានទិន្នន័យពី Microsoft, IBM និង Oracle, Microsoft Exchange Server កម្មវិធីនិម្មិត និងឧបករណ៍ត្រួតពិនិត្យ និងចូលប្រើពីចម្ងាយ។ វាក៏បញ្ចប់ដំណើរការដែលទាក់ទងនឹងកម្មវិធីរុករកតាមអ៊ីនធឺណិត Microsoft Office និងកម្មវិធី cloud និងពីចម្ងាយផ្សេងៗផងដែរ។

តើធ្វើដូចម្តេចដើម្បីការពារទិន្នន័យ និងឧបករណ៍របស់អ្នកឱ្យកាន់តែប្រសើរឡើងពីការគំរាមកំហែងពី Ransomware?

ដើម្បីការពារទិន្នន័យ និងឧបករណ៍របស់អ្នកឱ្យកាន់តែប្រសើរឡើងពីការគំរាមកំហែង ransomware និង malware សូមពិចារណាអនុវត្តការអនុវត្តដូចខាងក្រោម៖

• កម្មវិធី KeeYour Applications Updated ៖ ធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងកម្មវិធីសុវត្ថិភាពរបស់អ្នកជាប្រចាំ ដើម្បីជួសជុលភាពងាយរងគ្រោះដែលអាចត្រូវបានកេងប្រវ័ញ្ចដោយមេរោគ។
• ប្រើពាក្យសម្ងាត់ខ្លាំង និងប្លែក ៖ ប្រើពាក្យសម្ងាត់ស្មុគស្មាញ និងផ្លាស់ប្តូរពួកវាឱ្យបានញឹកញាប់។ ពិចារណាស្វែងរកអ្នកគ្រប់គ្រងពាក្យសម្ងាត់ដើម្បីតាមដានពួកគេដោយសុវត្ថិភាព។
• បើកដំណើរការការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ៖ បន្ថែមស្រទាប់សុវត្ថិភាពបន្ថែមដោយបើកដំណើរការ MFA នៅលើគណនីដែលគាំទ្រវា ដែលធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់អ្នកវាយប្រហារដើម្បីទទួលបានការចូលដោយគ្មានការអនុញ្ញាត។
• បម្រុងទុកទិន្នន័យជាទៀងទាត់ ៖ បង្កើត និងរក្សាការបម្រុងទុកជាទៀងទាត់នៃឯកសារសំខាន់ៗ។ រក្សាទុកការបម្រុងទុកនៅក្នុងទីតាំងដាច់ដោយឡែក ទាំងក្រៅបណ្តាញ ឬក្នុងពពក ដើម្បីធានាសុវត្ថិភាពរបស់ពួកគេ បើទោះបីជាប្រព័ន្ធចម្បងរបស់អ្នកត្រូវបានសម្របសម្រួលក៏ដោយ។
• ប្រយ័ត្នប្រយែងជាមួយអ៊ីមែល និងតំណភ្ជាប់ ៖ ជៀសវាងការបើកឯកសារភ្ជាប់ ឬតាមតំណភ្ជាប់ពីប្រភពដែលមិនស្គាល់ ឬគួរឱ្យសង្ស័យ។ ផ្ទៀងផ្ទាត់អត្តសញ្ញាណរបស់អ្នកផ្ញើ មុនពេលធ្វើអន្តរកម្មជាមួយអ៊ីមែលដែលមិនបានរំពឹងទុក។
• ដំឡើង និងថែទាំកម្មវិធីសុវត្ថិភាព ៖ ប្រើកម្មវិធីប្រឆាំងមេរោគល្បីឈ្មោះ ហើយរក្សាវាឱ្យទាន់សម័យ។ បើកការការពារក្នុងពេលជាក់ស្តែង និងដំណើរការការស្កេនជាប្រចាំ។
• សុវត្ថិភាពបណ្តាញរបស់អ្នក ៖ ប្រើពាក្យសម្ងាត់ Wi-Fi ដ៏រឹងមាំ និងតែមួយគត់ ហើយបើកការអ៊ិនគ្រីប WPA3 ។ ពិចារណាបង្កើតបណ្តាញភ្ញៀវសម្រាប់អ្នកទស្សនា ដើម្បីរក្សាបណ្តាញចម្បងរបស់អ្នកឱ្យមានសុវត្ថិភាព។
• បិទម៉ាក្រូក្នុងឯកសារការិយាល័យ ៖ បិទម៉ាក្រូក្នុងឯកសារ Microsoft Office លុះត្រាតែអ្នកត្រូវការវាជាពិសេស។ Macros គឺជាវិធីសាស្រ្តទូទៅមួយសម្រាប់ការរីករាលដាលមេរោគ។
• អប់រំខ្លួនអ្នក និងអ្នកដទៃ ៖ ទទួលបានព័ត៌មានអំពីការគំរាមកំហែងសុវត្ថិភាពតាមអ៊ីនធឺណិតចុងក្រោយបំផុត និងការអនុវត្តល្អបំផុត។ អប់រំសមាជិកគ្រួសារ ឬសហសេវិកអំពីយុទ្ធសាស្ត្របន្លំ និងអាកប្បកិរិយាសុវត្ថិភាពលើអ៊ីនធឺណិត។
• ប្រើជញ្ជាំងភ្លើង ៖ បើកដំណើរការជញ្ជាំងភ្លើងនៅលើឧបករណ៍ និងបណ្តាញរបស់អ្នក ដើម្បីទប់ស្កាត់ការចូលប្រើដោយគ្មានការអនុញ្ញាត និងតាមដានចរាចរណ៍ចូល និងចេញសម្រាប់សកម្មភាពគួរឱ្យសង្ស័យ។

តាមរយៈការរួមបញ្ចូលគ្នានៃយុទ្ធសាស្រ្តទាំងនេះ ហានិភ័យនៃការធ្លាក់ខ្លួនជាជនរងគ្រោះនៃមេរោគ ransomware និងការគំរាមកំហែងមេរោគផ្សេងទៀតអាចត្រូវបានកាត់បន្ថយយ៉ាងខ្លាំង។