ធ្វើត្រាប់តាម Ransomware

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានចេញផ្សាយព័ត៌មានលម្អិតអំពីមេរោគ ransomware ដែលមិនស្គាល់ពីមុន ដែលទាញយកអត្ថប្រយោជន៍ពី APIs of Everything ដែលជាម៉ាស៊ីនស្វែងរកឈ្មោះឯកសារ Windows ដែលបង្កើតឡើងដោយ Voidtools ។ ransomware នេះដែលត្រូវបានតាមដានថាជា Mimic ត្រូវបានគេប្រទះឃើញជាលើកដំបូងនៅក្នុងព្រៃក្នុងខែមិថុនា ឆ្នាំ 2022 ហើយហាក់ដូចជាកំពុងកំណត់គោលដៅទាំងអ្នកប្រើប្រាស់ដែលនិយាយភាសារុស្សី និងភាសាអង់គ្លេស។

Mimic Ransomware ត្រូវបានបំពាក់ដោយសមត្ថភាពជាច្រើន ដូចជាការលុប Shadow Volume Copys ការបញ្ចប់កម្មវិធី និងសេវាកម្មជាច្រើន និងការបំពានមុខងារ Everything32.dll ដើម្បីសាកសួរឯកសារគោលដៅសម្រាប់ការអ៊ិនគ្រីប។ ការគំរាមកំហែងនេះត្រូវបានគេជឿថាត្រូវបានបង្កើតឡើងយ៉ាងហោចណាស់មួយផ្នែកពីអ្នកបង្កើត Conti Ransomware ដែលត្រូវបានលេចធ្លាយត្រឡប់មកវិញនៅក្នុងខែមីនា ឆ្នាំ 2022។ ព័ត៌មានអំពីការគំរាមកំហែងនេះត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ដែលចេញផ្សាយដោយអ្នកជំនាញ infosec ។

ធ្វើត្រាប់តាមខ្សែសង្វាក់ឆ្លងមេរោគរបស់ Ransomware

ការគំរាមកំហែង Mimic ត្រូវបានដាក់ពង្រាយនៅលើឧបករណ៍ដែលបំពានជាឯកសារដែលអាចប្រតិបត្តិបាន ដែលបន្ទាប់មកទម្លាក់ប្រព័ន្ធគោលពីរជាច្រើន រួមទាំងបណ្ណសារការពារដោយពាក្យសម្ងាត់ដែលក្លែងខ្លួនជា Everything64.dll ។ បណ្ណសារនេះមានផ្ទុកមេរោគ ransomware ។ វាក៏រួមបញ្ចូលផងដែរនូវឧបករណ៍សម្រាប់បិទ Windows Defender និង sdel binaries ស្របច្បាប់។

នៅពេលដែល Mimic Ransomware ត្រូវបានប្រតិបត្តិ វានឹងទម្លាក់សមាសធាតុរបស់វាទៅថត %Temp%/7zipSfx ហើយស្រង់ចេញ Everything64.dll ដែលការពារដោយពាក្យសម្ងាត់ទៅកាន់ថតដូចគ្នាដោយប្រើ 7za.exe ជាមួយនឹងពាក្យបញ្ជា៖ %Temp%\7ZipSfx.000\7za ។

បន្ទាប់មក Mimic Ransomware នឹងចម្លងឯកសារដែលបានទម្លាក់ទាំងអស់ទៅ '%LocalAppData%{Random GUID}\' មុនពេលប្តូរឈ្មោះខ្លួនវាទៅជា 'bestplacetolive.exe' និងលុបឯកសារដើមពី %Temp%។

សមត្ថភាពគំរាមកំហែងនៃ Mimic Ransomware

Mimic Ransomware ប្រើប្រាស់ Threads ជាច្រើន និងមុខងារ CreateThread ដើម្បីអ៊ិនគ្រីបឯកសារយ៉ាងរហ័ស ដែលធ្វើអោយអ្នកស្រាវជ្រាវសន្តិសុខពិបាកវិភាគ។ វាមានសមត្ថភាពជាច្រើនដូចជា ប្រមូលព័ត៌មានប្រព័ន្ធ បង្កើតភាពជាប់លាប់តាមរយៈ RUN key ឆ្លងកាត់ការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ (UAC) បិទ Windows Defender និង telemetry ធ្វើឱ្យសកម្មវិធានការប្រឆាំងនឹងការបិទ បញ្ចប់ដំណើរការ និងសេវាកម្ម រំខាន។ ការងើបឡើងវិញប្រព័ន្ធ និងច្រើនទៀត។

ដើម្បីសម្រេចបាននូវគោលដៅនៃការអ៊ិនគ្រីបរបស់វា Mimic Ransomware បំពានលើ Everything32.dll ដែលជាម៉ាស៊ីនស្វែងរកឈ្មោះឯកសារ Windows ស្របច្បាប់ ដើម្បីសាកសួរផ្នែកបន្ថែមឯកសារ និងឈ្មោះឯកសារមួយចំនួន ដើម្បីទាញយកផ្លូវរបស់ពួកគេ ទាំងសម្រាប់ការអ៊ិនគ្រីប ឬដើម្បីដកពួកវាចេញពីដំណើរការអ៊ិនគ្រីប។ បន្ទាប់ពីការអ៊ិនគ្រីបឯកសារគោលដៅ ការគំរាមកំហែងនឹងបន្ថែមផ្នែកបន្ថែម '.QUIETPLACE' ទៅឈ្មោះរបស់ពួកគេ។ ការគំរាមកំហែងបង្ហាញសារដែលទាមទារតម្លៃលោះជាច្រើន - មួយក្នុងអំឡុងពេលដំណើរការចាប់ផ្តើម មួយជាឯកសារអត្ថបទដែលមានឈ្មោះថា 'Decrypt_me.txt' និងមួយទៀតដែលត្រូវបានបង្ហាញនៅក្នុងបង្អួចលេចឡើងនៅលើអេក្រង់របស់ឧបករណ៍។

អត្ថបទពេញលេញនៃការទាមទាររបស់ Mimic Ransomware ដែលបានរកឃើញនៅក្នុងបង្អួចលេចឡើង និងឯកសារអត្ថបទគឺ៖

'ឯកសារទាំងអស់របស់អ្នកត្រូវបានអ៊ិនគ្រីបជាមួយមេរោគរបស់យើង។
លេខសម្គាល់តែមួយគត់របស់អ្នក៖

អ្នកអាចទិញការឌិគ្រីបឯកសាររបស់អ្នកយ៉ាងពេញលេញ
ប៉ុន្តែមុនពេលអ្នកបង់ប្រាក់ អ្នកអាចប្រាកដថា យើងអាចឌិគ្រីបឯកសារណាមួយរបស់អ្នកបានយ៉ាងពិតប្រាកដ។
សោអ៊ិនគ្រីប និងលេខសម្គាល់គឺមានតែមួយគត់សម្រាប់កុំព្យូទ័ររបស់អ្នក ដូច្នេះអ្នកត្រូវបានធានាថាអាចត្រឡប់ឯកសាររបស់អ្នកវិញ។

ដើម្បីធ្វើដូចនេះ៖
1) ផ្ញើលេខសម្គាល់តែមួយគត់របស់អ្នក - និងឯកសារអតិបរមា 3 សម្រាប់ការឌិគ្រីបសាកល្បង
ទំនាក់ទំនងរបស់យើង។
1.1) អ្នកនាំសារ TOX (លឿន និងអនាមិក)
hxxps://tox.chat/download.html
ដំឡើង qtox
ចុចច្រៀងឡើង
បង្កើតឈ្មោះផ្ទាល់ខ្លួនរបស់អ្នក។
ចុចបូក
ដាក់លេខសម្គាល់ជាតិពុលរបស់ខ្ញុំនៅទីនោះ
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
ហើយបន្ថែមខ្ញុំ / សរសេរសារ
1.2) ICQ Messenger
ការជជែកផ្ទាល់ ICQ ដែលដំណើរការ 24/7 - @mcdonaldsdebtzhlob
ដំឡើងកម្មវិធី ICQ នៅលើកុំព្យូទ័ររបស់អ្នកនៅទីនេះ hxxps://icq.com/windows/ ឬនៅលើស្មាតហ្វូនរបស់អ្នកស្វែងរក "ICQ" នៅក្នុង Appstore / Google market
សរសេរទៅកាន់ ICQ របស់យើង @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DECRYPTION
4) សំបុត្រ (សរសេរតែក្នុងស្ថានភាពធ្ងន់ធ្ងរ bcs អ៊ីមែលរបស់អ្នកអាចមិនត្រូវបានបញ្ជូន ឬទទួលបាននៅក្នុងសារឥតបានការ) mcdonaldsdebtzhlob@onionmail.org

នៅក្នុងបន្ទាត់ប្រធានបទ សូមសរសេរលេខសម្គាល់ការឌិគ្រីបរបស់អ្នក៖ -

បន្ទាប់ពីការឌិគ្រីប យើងនឹងផ្ញើឱ្យអ្នកនូវឯកសារដែលបានឌិគ្រីប និងកាបូប bitcoin តែមួយគត់សម្រាប់ការទូទាត់។
បន្ទាប់ពីការទូទាត់ថ្លៃលោះសម្រាប់ Bitcoin យើងនឹងផ្ញើជូនអ្នកនូវកម្មវិធីឌិគ្រីប និងការណែនាំ។ ប្រសិនបើ​យើង​អាច​ឌិគ្រីប​ឯកសារ​របស់​អ្នក​បាន យើង​គ្មាន​ហេតុផល​ដើម្បី​បញ្ឆោត​អ្នក​បន្ទាប់​ពី​ការ​ទូទាត់​ប្រាក់​ទេ។

សំណួរគេសួរញឹកញាប់៖
តើខ្ញុំអាចទទួលបានការបញ្ចុះតម្លៃបានទេ?
ទេ។ ចំនួនទឹកប្រាក់លោះត្រូវបានគណនាដោយផ្អែកលើចំនួនឯកសារការិយាល័យដែលបានអ៊ិនគ្រីប ហើយការបញ្ចុះតម្លៃមិនត្រូវបានផ្តល់ឱ្យទេ។ សារបែបនេះទាំងអស់នឹងត្រូវបានមិនអើពើដោយស្វ័យប្រវត្តិ។ ប្រសិនបើអ្នកពិតជាចង់បានតែឯកសារមួយចំនួន សូម zip ពួកវា ហើយផ្ទុកវាឡើងនៅកន្លែងណាមួយ។ យើងនឹងឌិកូដពួកវាសម្រាប់តម្លៃ 1 ឯកសារ = 1$ ។
តើ Bitcoin ជាអ្វី?
អាន bitcoin.org
កន្លែងដែលត្រូវទិញ bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (វិធីលឿនបំផុត)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ឬប្រើ google.com ដើម្បីស្វែងរកព័ត៌មានកន្លែងដែលត្រូវទិញវា។
តើ​ការ​ធានា​ថា​ខ្ញុំ​នឹង​ទទួល​ឯកសារ​របស់​ខ្ញុំ​មក​វិញ​នៅ​ឯណា?
ការពិតដែលយើងអាចឌិគ្រីបឯកសារចៃដន្យរបស់អ្នកគឺជាការធានា។ វាគ្មានន័យសម្រាប់ពួកយើងក្នុងការបញ្ឆោតអ្នកទេ។
តើ​ខ្ញុំ​នឹង​ទទួល​បាន​សោរ និង​កម្មវិធី​ឌិគ្រីប​លឿន​ប៉ុណ្ណា​បន្ទាប់​ពី​ការ​ទូទាត់?
តាមក្បួនមួយក្នុងអំឡុងពេល 15 នាទី។
តើកម្មវិធីឌិគ្រីបដំណើរការយ៉ាងដូចម្តេច?
វាសាមញ្ញ។ អ្នកត្រូវដំណើរការកម្មវិធីរបស់យើង។ កម្មវិធីនឹងឌិគ្រីបឯកសារដែលបានអ៊ិនគ្រីបទាំងអស់ដោយស្វ័យប្រវត្តិនៅលើ HDD របស់អ្នក។'