ធ្វើត្រាប់តាម Ransomware
តារាងពិន្ទុគំរាមកំហែង
តារាងពិន្ទុគំរាមកំហែង EnigmaSoft
EnigmaSoft Threat Scorecards គឺជារបាយការណ៍វាយតម្លៃសម្រាប់ការគំរាមកំហែងមេរោគផ្សេងៗដែលត្រូវបានប្រមូល និងវិភាគដោយក្រុមស្រាវជ្រាវរបស់យើង។ EnigmaSoft Threat Scorecards វាយតំលៃ និងចាត់ថ្នាក់ការគំរាមកំហែងដោយប្រើរង្វាស់ជាច្រើន រួមទាំងកត្តាហានិភ័យសក្តានុពល និន្នាការ ភាពញឹកញាប់ អត្រាប្រេវ៉ាឡង់ និងការបន្ត។ EnigmaSoft Threat Scorecards ត្រូវបានធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់ដោយផ្អែកលើទិន្នន័យស្រាវជ្រាវ និងម៉ែត្ររបស់យើង ហើយមានប្រយោជន៍សម្រាប់អ្នកប្រើប្រាស់កុំព្យូទ័រជាច្រើន ចាប់ពីអ្នកប្រើប្រាស់ចុងក្រោយដែលស្វែងរកដំណោះស្រាយដើម្បីលុបមេរោគចេញពីប្រព័ន្ធរបស់ពួកគេ រហូតដល់អ្នកជំនាញផ្នែកសុវត្ថិភាពវិភាគការគំរាមកំហែង។
EnigmaSoft Threat Scorecards បង្ហាញព័ត៌មានមានប្រយោជន៍ជាច្រើន រួមទាំង៖
ចំណាត់ថ្នាក់៖ ចំណាត់ថ្នាក់នៃការគំរាមកំហែងជាក់លាក់មួយនៅក្នុងមូលដ្ឋានទិន្នន័យគំរាមកំហែងរបស់ EnigmaSoft ។
កម្រិតនៃភាពធ្ងន់ធ្ងរ៖ កម្រិតនៃភាពធ្ងន់ធ្ងរដែលបានកំណត់នៃវត្ថុមួយ តំណាងជាលេខ ដោយផ្អែកលើដំណើរការគំរូហានិភ័យ និងការស្រាវជ្រាវរបស់យើង ដូចដែលបានពន្យល់នៅក្នុង លក្ខណៈវិនិច្ឆ័យការវាយតម្លៃការគំរាមកំហែង របស់យើង។
កុំព្យូទ័រឆ្លងមេរោគ៖ ចំនួនករណីដែលត្រូវបានបញ្ជាក់ និងសង្ស័យនៃការគំរាមកំហែងជាក់លាក់មួយ បានរកឃើញនៅលើកុំព្យូទ័រដែលមានមេរោគ ដូចដែលបានរាយការណ៍ដោយ SpyHunter ។
សូមមើលផងដែរ លក្ខខណ្ឌវាយតម្លៃការគំរាមកំហែង ។
កម្រិតគំរាមកំហែង៖ | 100 % (ខ្ពស់) |
កុំព្យូទ័រដែលមានមេរោគ៖ | 2 |
ឃើញដំបូង៖ | February 8, 2023 |
បានឃើញចុងក្រោយ៖ | March 1, 2023 |
OS(es) រងផលប៉ះពាល់៖ | Windows |
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានចេញផ្សាយព័ត៌មានលម្អិតអំពីមេរោគ ransomware ដែលមិនស្គាល់ពីមុន ដែលទាញយកអត្ថប្រយោជន៍ពី APIs of Everything ដែលជាម៉ាស៊ីនស្វែងរកឈ្មោះឯកសារ Windows ដែលបង្កើតឡើងដោយ Voidtools ។ ransomware នេះដែលត្រូវបានតាមដានថាជា Mimic ត្រូវបានគេប្រទះឃើញជាលើកដំបូងនៅក្នុងព្រៃក្នុងខែមិថុនា ឆ្នាំ 2022 ហើយហាក់ដូចជាកំពុងកំណត់គោលដៅទាំងអ្នកប្រើប្រាស់ដែលនិយាយភាសារុស្សី និងភាសាអង់គ្លេស។
Mimic Ransomware ត្រូវបានបំពាក់ដោយសមត្ថភាពជាច្រើន ដូចជាការលុប Shadow Volume Copys ការបញ្ចប់កម្មវិធី និងសេវាកម្មជាច្រើន និងការបំពានមុខងារ Everything32.dll ដើម្បីសាកសួរឯកសារគោលដៅសម្រាប់ការអ៊ិនគ្រីប។ ការគំរាមកំហែងនេះត្រូវបានគេជឿថាត្រូវបានបង្កើតឡើងយ៉ាងហោចណាស់មួយផ្នែកពីអ្នកបង្កើត Conti Ransomware ដែលត្រូវបានលេចធ្លាយត្រឡប់មកវិញនៅក្នុងខែមីនា ឆ្នាំ 2022។ ព័ត៌មានអំពីការគំរាមកំហែងនេះត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍ដែលចេញផ្សាយដោយអ្នកជំនាញ infosec ។
តារាងមាតិកា
ធ្វើត្រាប់តាមខ្សែសង្វាក់ឆ្លងមេរោគរបស់ Ransomware
ការគំរាមកំហែង Mimic ត្រូវបានដាក់ពង្រាយនៅលើឧបករណ៍ដែលបំពានជាឯកសារដែលអាចប្រតិបត្តិបាន ដែលបន្ទាប់មកទម្លាក់ប្រព័ន្ធគោលពីរជាច្រើន រួមទាំងបណ្ណសារការពារដោយពាក្យសម្ងាត់ដែលក្លែងខ្លួនជា Everything64.dll ។ បណ្ណសារនេះមានផ្ទុកមេរោគ ransomware ។ វាក៏រួមបញ្ចូលផងដែរនូវឧបករណ៍សម្រាប់បិទ Windows Defender និង sdel binaries ស្របច្បាប់។
នៅពេលដែល Mimic Ransomware ត្រូវបានប្រតិបត្តិ វានឹងទម្លាក់សមាសធាតុរបស់វាទៅថត %Temp%/7zipSfx ហើយស្រង់ចេញ Everything64.dll ដែលការពារដោយពាក្យសម្ងាត់ទៅកាន់ថតដូចគ្នាដោយប្រើ 7za.exe ជាមួយនឹងពាក្យបញ្ជា៖ %Temp%\7ZipSfx.000\7za ។
បន្ទាប់មក Mimic Ransomware នឹងចម្លងឯកសារដែលបានទម្លាក់ទាំងអស់ទៅ '%LocalAppData%{Random GUID}\' មុនពេលប្តូរឈ្មោះខ្លួនវាទៅជា 'bestplacetolive.exe' និងលុបឯកសារដើមពី %Temp%។
សមត្ថភាពគំរាមកំហែងនៃ Mimic Ransomware
Mimic Ransomware ប្រើប្រាស់ Threads ជាច្រើន និងមុខងារ CreateThread ដើម្បីអ៊ិនគ្រីបឯកសារយ៉ាងរហ័ស ដែលធ្វើអោយអ្នកស្រាវជ្រាវសន្តិសុខពិបាកវិភាគ។ វាមានសមត្ថភាពជាច្រើនដូចជា ប្រមូលព័ត៌មានប្រព័ន្ធ បង្កើតភាពជាប់លាប់តាមរយៈ RUN key ឆ្លងកាត់ការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ (UAC) បិទ Windows Defender និង telemetry ធ្វើឱ្យសកម្មវិធានការប្រឆាំងនឹងការបិទ បញ្ចប់ដំណើរការ និងសេវាកម្ម រំខាន។ ការងើបឡើងវិញប្រព័ន្ធ និងច្រើនទៀត។
ដើម្បីសម្រេចបាននូវគោលដៅនៃការអ៊ិនគ្រីបរបស់វា Mimic Ransomware បំពានលើ Everything32.dll ដែលជាម៉ាស៊ីនស្វែងរកឈ្មោះឯកសារ Windows ស្របច្បាប់ ដើម្បីសាកសួរផ្នែកបន្ថែមឯកសារ និងឈ្មោះឯកសារមួយចំនួន ដើម្បីទាញយកផ្លូវរបស់ពួកគេ ទាំងសម្រាប់ការអ៊ិនគ្រីប ឬដើម្បីដកពួកវាចេញពីដំណើរការអ៊ិនគ្រីប។ បន្ទាប់ពីការអ៊ិនគ្រីបឯកសារគោលដៅ ការគំរាមកំហែងនឹងបន្ថែមផ្នែកបន្ថែម '.QUIETPLACE' ទៅឈ្មោះរបស់ពួកគេ។ ការគំរាមកំហែងបង្ហាញសារដែលទាមទារតម្លៃលោះជាច្រើន - មួយក្នុងអំឡុងពេលដំណើរការចាប់ផ្តើម មួយជាឯកសារអត្ថបទដែលមានឈ្មោះថា 'Decrypt_me.txt' និងមួយទៀតដែលត្រូវបានបង្ហាញនៅក្នុងបង្អួចលេចឡើងនៅលើអេក្រង់របស់ឧបករណ៍។
អត្ថបទពេញលេញនៃការទាមទាររបស់ Mimic Ransomware ដែលបានរកឃើញនៅក្នុងបង្អួចលេចឡើង និងឯកសារអត្ថបទគឺ៖
'ឯកសារទាំងអស់របស់អ្នកត្រូវបានអ៊ិនគ្រីបជាមួយមេរោគរបស់យើង។
លេខសម្គាល់តែមួយគត់របស់អ្នក៖អ្នកអាចទិញការឌិគ្រីបឯកសាររបស់អ្នកយ៉ាងពេញលេញ
ប៉ុន្តែមុនពេលអ្នកបង់ប្រាក់ អ្នកអាចប្រាកដថា យើងអាចឌិគ្រីបឯកសារណាមួយរបស់អ្នកបានយ៉ាងពិតប្រាកដ។
សោអ៊ិនគ្រីប និងលេខសម្គាល់គឺមានតែមួយគត់សម្រាប់កុំព្យូទ័ររបស់អ្នក ដូច្នេះអ្នកត្រូវបានធានាថាអាចត្រឡប់ឯកសាររបស់អ្នកវិញ។ដើម្បីធ្វើដូចនេះ៖
1) ផ្ញើលេខសម្គាល់តែមួយគត់របស់អ្នក - និងឯកសារអតិបរមា 3 សម្រាប់ការឌិគ្រីបសាកល្បង
ទំនាក់ទំនងរបស់យើង។
1.1) អ្នកនាំសារ TOX (លឿន និងអនាមិក)
hxxps://tox.chat/download.html
ដំឡើង qtox
ចុចច្រៀងឡើង
បង្កើតឈ្មោះផ្ទាល់ខ្លួនរបស់អ្នក។
ចុចបូក
ដាក់លេខសម្គាល់ជាតិពុលរបស់ខ្ញុំនៅទីនោះ
95CC6600931403C55E64134375095128F18EDA09B4A74B9F1906C1A4124FE82E4428D42A6C65
ហើយបន្ថែមខ្ញុំ / សរសេរសារ
1.2) ICQ Messenger
ការជជែកផ្ទាល់ ICQ ដែលដំណើរការ 24/7 - @mcdonaldsdebtzhlob
ដំឡើងកម្មវិធី ICQ នៅលើកុំព្យូទ័ររបស់អ្នកនៅទីនេះ hxxps://icq.com/windows/ ឬនៅលើស្មាតហ្វូនរបស់អ្នកស្វែងរក "ICQ" នៅក្នុង Appstore / Google market
សរសេរទៅកាន់ ICQ របស់យើង @pedrolloanisimka hxxps://icq.im/mcdonaldsdebtzhlob
1.3) Skype
MCDONALDSDEBTZHLOB DECRYPTION
4) សំបុត្រ (សរសេរតែក្នុងស្ថានភាពធ្ងន់ធ្ងរ bcs អ៊ីមែលរបស់អ្នកអាចមិនត្រូវបានបញ្ជូន ឬទទួលបាននៅក្នុងសារឥតបានការ) mcdonaldsdebtzhlob@onionmail.orgនៅក្នុងបន្ទាត់ប្រធានបទ សូមសរសេរលេខសម្គាល់ការឌិគ្រីបរបស់អ្នក៖ -
បន្ទាប់ពីការឌិគ្រីប យើងនឹងផ្ញើឱ្យអ្នកនូវឯកសារដែលបានឌិគ្រីប និងកាបូប bitcoin តែមួយគត់សម្រាប់ការទូទាត់។
បន្ទាប់ពីការទូទាត់ថ្លៃលោះសម្រាប់ Bitcoin យើងនឹងផ្ញើជូនអ្នកនូវកម្មវិធីឌិគ្រីប និងការណែនាំ។ ប្រសិនបើយើងអាចឌិគ្រីបឯកសាររបស់អ្នកបាន យើងគ្មានហេតុផលដើម្បីបញ្ឆោតអ្នកបន្ទាប់ពីការទូទាត់ប្រាក់ទេ។សំណួរគេសួរញឹកញាប់៖
តើខ្ញុំអាចទទួលបានការបញ្ចុះតម្លៃបានទេ?
ទេ។ ចំនួនទឹកប្រាក់លោះត្រូវបានគណនាដោយផ្អែកលើចំនួនឯកសារការិយាល័យដែលបានអ៊ិនគ្រីប ហើយការបញ្ចុះតម្លៃមិនត្រូវបានផ្តល់ឱ្យទេ។ សារបែបនេះទាំងអស់នឹងត្រូវបានមិនអើពើដោយស្វ័យប្រវត្តិ។ ប្រសិនបើអ្នកពិតជាចង់បានតែឯកសារមួយចំនួន សូម zip ពួកវា ហើយផ្ទុកវាឡើងនៅកន្លែងណាមួយ។ យើងនឹងឌិកូដពួកវាសម្រាប់តម្លៃ 1 ឯកសារ = 1$ ។
តើ Bitcoin ជាអ្វី?
អាន bitcoin.org
កន្លែងដែលត្រូវទិញ bitcoins?
hxxps://www.alfa.cash/buy-crypto-with-credit-card (វិធីលឿនបំផុត)
buy.coingate.com
hxxps://bitcoin.org/en/buy
hxxps://buy.moonpay.io
binance.com
ឬប្រើ google.com ដើម្បីស្វែងរកព័ត៌មានកន្លែងដែលត្រូវទិញវា។
តើការធានាថាខ្ញុំនឹងទទួលឯកសាររបស់ខ្ញុំមកវិញនៅឯណា?
ការពិតដែលយើងអាចឌិគ្រីបឯកសារចៃដន្យរបស់អ្នកគឺជាការធានា។ វាគ្មានន័យសម្រាប់ពួកយើងក្នុងការបញ្ឆោតអ្នកទេ។
តើខ្ញុំនឹងទទួលបានសោរ និងកម្មវិធីឌិគ្រីបលឿនប៉ុណ្ណាបន្ទាប់ពីការទូទាត់?
តាមក្បួនមួយក្នុងអំឡុងពេល 15 នាទី។
តើកម្មវិធីឌិគ្រីបដំណើរការយ៉ាងដូចម្តេច?
វាសាមញ្ញ។ អ្នកត្រូវដំណើរការកម្មវិធីរបស់យើង។ កម្មវិធីនឹងឌិគ្រីបឯកសារដែលបានអ៊ិនគ្រីបទាំងអស់ដោយស្វ័យប្រវត្តិនៅលើ HDD របស់អ្នក។'
ព័ត៌មានលម្អិតអំពីប្រព័ន្ធឯកសារ
# | ឈ្មោះឯកសារ | MD5 |
ការរកឃើញ
ការរកឃើញ៖ ចំនួនករណីដែលត្រូវបានបញ្ជាក់ និងសង្ស័យនៃការគំរាមកំហែងជាក់លាក់មួយ ដែលបានរកឃើញនៅលើកុំព្យូទ័រដែលមានមេរោគ ដូចដែលបានរាយការណ៍ដោយ SpyHunter ។
|
---|---|---|---|
1. | file.exe | 46138d264ab20df0d0d92f3046fad199 | 1 |