សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង Ransomware RDAT Ransomware

RDAT Ransomware

ដោយ Mezo ក្នុង Ransomware
បកប្រែទៅ៖

Ransomware នៅតែជាការគំរាមកំហែងដ៏រំខានបំផុតមួយដែលកំពុងប្រឈមមុខនឹងអ្នកប្រើប្រាស់តាមផ្ទះ និងអង្គការនានា។ ការឈ្លានពានតែមួយអាចបំបែកឯកសារ រូបថត និងទិន្នន័យអាជីវកម្មក្នុងរយៈពេលប៉ុន្មាននាទី បន្ទាប់មកជំរិតជនរងគ្រោះឱ្យចូលប្រើប្រាស់។ RDAT Ransomware ដែលជាបណ្តុំនៃគ្រួសារព្រះធម៌ដ៏សំបូរបែប បង្ហាញពីមូលហេតុដែលការការពារជាស្រទាប់ និងការរៀបចំផែនការស្តារឡើងវិញប្រកបដោយវិន័យមានសារៈសំខាន់។

កម្រងព័ត៌មានគំរាមកំហែង៖ RDAT ភ្លាមៗ

អ្នកស្រាវជ្រាវ Infosec បានកំណត់អត្តសញ្ញាណ RDAT កំឡុងពេលពិនិត្យយ៉ាងទូលំទូលាយអំពីមេរោគដែលកំពុងលេចឡើង។ វាគឺជាគោលបំណងបំរែបំរួលព្រះធម៌ ដែលបង្កើតឡើងសម្រាប់ការជំរិតយកទិន្នន័យ៖ វាអ៊ិនគ្រីបឯកសារ និងដាក់សម្ពាធឱ្យជនរងគ្រោះបង់ប្រាក់សម្រាប់ការឌិគ្រីប។ RDAT កំណត់គោលដៅទាំងដ្រាយក្នុងតំបន់ និងការចែករំលែកបណ្តាញ ដោយចេតនាជៀសវាងឯកសារប្រព័ន្ធសំខាន់ៗ ដូច្នេះឧបករណ៍អាចដំណើរការបាន ហើយជនរងគ្រោះអាចអានកំណត់ចំណាំតម្លៃលោះបាន។

អ្វីដែលជនរងគ្រោះឃើញ

នៅពេលដែល RDAT ប្រតិបត្តិ វាអ៊ិនគ្រីបប្រភេទឯកសារជាច្រើនប្រភេទ។ ឈ្មោះឯកសារត្រូវបានផ្លាស់ប្តូរដើម្បីរួមបញ្ចូលអត្តសញ្ញាណជនរងគ្រោះតែមួយគត់ អ៊ីមែលរបស់អ្នកវាយប្រហារ និងផ្នែកបន្ថែម '.RDAT' ជាឧទាហរណ៍៖
1.png ក្លាយជា 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

កំណត់ចំណាំតម្លៃលោះចំនួនពីរដូចខាងក្រោម៖ បង្អួចលេចឡើងដែលបញ្ជាក់ថាឯកសារត្រូវបានអ៊ិនគ្រីប និងឯកសារអត្ថបទដែលមានឈ្មោះថា 'DAT_INFO.txt' ជាមួយនឹងការណែនាំទំនាក់ទំនង។ ការផ្តល់ជូនរបស់ប្រតិបត្តិករដើម្បីឌិគ្រីបឯកសាររហូតដល់បី (អាស្រ័យលើទំហំ/ទ្រង់ទ្រាយកំណត់) ជាភ័ស្តុតាង ខណៈពេលដែលព្រមានថាការប្រើឧបករណ៍ភាគីទីបី ឬការកែប្រែទិន្នន័យដែលបានអ៊ិនគ្រីបអាចបណ្តាលឱ្យបាត់បង់ជាអចិន្ត្រៃយ៍។ យុទ្ធសាស្ត្រទាំងនេះត្រូវបានរចនាឡើងដើម្បីកសាងភាពជឿជាក់ និងភាពបន្ទាន់ មិនមែនដើម្បីជួយអ្នកទេ។

របៀបដែល RDAT ស្នាក់នៅនិងរីករាលដាល

RDAT ទទួលមរតកការតស៊ូរបស់ព្រះធម៌ និងសៀវភៅលេងប្រឆាំងនឹងការងើបឡើងវិញ។ មេរោគចម្លងខ្លួនវាទៅក្នុង %LOCALAPPDATA% ចុះឈ្មោះធាតុដំណើរការដោយស្វ័យប្រវត្តិតាមរយៈគ្រាប់ចុចរត់ជាក់លាក់ ហើយដំណើរការឡើងវិញបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ។ ដើម្បីទប់ស្កាត់ការស្ដារឡើងវិញរហ័ស វាលុប Volume Shadow Copys។ មុនពេលការអ៊ិនគ្រីប វាបញ្ចប់ដំណើរការដែលអាចរក្សាឯកសារបើក (មូលដ្ឋានទិន្នន័យ កម្មវិធីអានឯកសារ និងស្រដៀងគ្នា) ដែលធានាបាននូវការគ្របដណ្តប់អតិបរមា។ វាក៏ព្យាយាមជៀសវាងទិន្នន័យ 'ការអ៊ិនគ្រីបទ្វេរដង' ដែលត្រូវបានវាយប្រហារដោយ ransomware ផ្សេងទៀតរួចហើយ ដោយពិនិត្យមើលបញ្ជីដែលគេស្គាល់ ការត្រួតពិនិត្យសុវត្ថិភាពមិនល្អឥតខ្ចោះ។

ការជ្រើសរើសគោលដៅ និង Geofencing

មេរោគប្រមូលទិន្នន័យទីតាំងភូមិសាស្ត្រដើម្បីវាស់ថាតើជនរងគ្រោះទំនងជាបង់ប្រាក់ឬអត់។ ប្រសិនបើតំបន់នេះហាក់ដូចជាមិនអំណោយផល សេដ្ឋកិច្ច ឬសម្រាប់ហេតុផលភូមិសាស្ត្រនយោបាយ វាអាចនឹងរំលងការអ៊ិនគ្រីបទាំងស្រុង។ អាកប្បកិរិយានេះគឺសុទ្ធសាធអំពីការបង្កើនទិន្នផលតម្លៃលោះ។

ហេតុអ្វីបានជាការបង់ប្រាក់គឺជាការភ្នាល់ចាញ់

ការឌិគ្រីបបន្ទាប់ពីការវាយប្រហារ ransomware ជាធម្មតាមិនអាចទៅរួចទេបើគ្មានកូនសោរបស់អ្នកវាយប្រហារ លុះត្រាតែមានកំហុសធ្ងន់ធ្ងរ។ ទោះបីជាពេលនោះក៏ដោយ ការបង់ប្រាក់គឺមានគ្រោះថ្នាក់៖ ជនរងគ្រោះជាច្រើនមិនដែលទទួលបានឧបករណ៍ឌិគ្រីបដែលធ្វើការនោះទេ។ ការទូទាត់ក៏ផ្តល់មូលនិធិដល់ការវាយប្រហារកាន់តែច្រើនផងដែរ។ ផ្លូវដែលមានទំនួលខុសត្រូវគឺដើម្បីលុបបំបាត់មេរោគ បង្កើតឡើងវិញពីការបម្រុងទុកដែលគួរឱ្យទុកចិត្ត និងពង្រឹងប្រព័ន្ធដើម្បីការពារកុំឱ្យកើតមានឧបទ្ទវហេតុកើតឡើងម្តងទៀត។

បណ្តាញចែកចាយដែលបានបញ្ជាក់

ការលុកលុយក្នុងគ្រួសារព្រះធម៌ តែងតែចាប់ផ្តើមជាមួយនឹងពិធីការផ្ទៃតុពីចម្ងាយ (RDP) ដែលត្រូវបានប៉ះពាល់ ឬការពារខ្សោយ។ អ្នកវាយប្រហារពឹងផ្អែកលើ brute-force និងការវាយប្រហារវចនានុក្រម ហើយនៅពេលចូល អាចបិទជញ្ជាំងភ្លើងរបស់ម៉ាស៊ីន។ លើសពី RDP ប្រព័ន្ធអេកូឡូស៊ីប្រើការក្លែងបន្លំ និងវិស្វកម្មសង្គម ការផ្សាយពាណិជ្ជកម្មមិនត្រឹមត្រូវ ប្រភពកម្មវិធីដែលមិនគួរឱ្យទុកចិត្ត ឯកសារភ្ជាប់សារឥតបានការ និងកម្មវិធីផ្ទុកទិន្នន័យ / backdoor Trojans ។ បន្ទុកព្យាបាទត្រូវបានដឹកជញ្ជូនជាទូទៅជាបណ្ណសារ (RAR/ZIP) ដែលអាចប្រតិបត្តិបាន ស្គ្រីប (រួមទាំង JavaScript) និងឯកសារ (PDF, Office, OneNote)។ គ្រួសារមួយចំនួនក៏ផ្សព្វផ្សាយតាមរយៈបណ្តាញក្នុងស្រុក និងប្រព័ន្ធផ្សព្វផ្សាយដែលអាចដកចេញបានផងដែរ។

ការទប់ស្កាត់ និងការស្តារឡើងវិញ

លុបបំបាត់ ransomware ដើម្បីបញ្ឈប់ការអ៊ិនគ្រីបបន្ថែមទៀត ប៉ុន្តែត្រូវយល់ថាការដកចេញមិនស្ដារឯកសារដែលបានចាក់សោទេ។ ការស្តារឡើងវិញតម្រូវឱ្យមានការបម្រុងទុកដែលមានកំណែស្អាត។ ស្តង់ដារមាសគឺដើម្បីរក្សាច្បាប់ចម្លងនៅក្នុងទីតាំងជាច្រើន និងប្រភេទមេឌៀ រួមទាំងការផ្ទុកក្រៅបណ្តាញដែលមេរោគមិនអាចប៉ះបាន។

វ៉ិចទ័រការចូលប្រើ និងចែកចាយទូទៅសម្រាប់ការគំរាមកំហែង ransomware រួមមាន:

  • សេវា RDP ដែលលាតត្រដាង/ខ្សោយ ការបញ្ចូលព័ត៌មានសម្ងាត់ និងការចូលដោយបង្ខំ
  • អ៊ីមែលបន្លំ ការបោកបញ្ឆោតផ្នែកវិស្វកម្មសង្គម ឯកសារភ្ជាប់សារឥតបានការ និងតំណភ្ជាប់ ការផ្សាយពាណិជ្ជកម្មមិនប្រក្រតី ការទាញយកដោយ Trojanized ការទាញយកដោយអ្នកបើកបរ កម្មវិធីលួចចម្លង កម្មវិធីលួចចម្លង និង 'ការបំបែក' កម្មវិធីធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយ និងការឆ្លងមេរោគក្នុងកម្មវិធីផ្ទុកទិន្នន័យ / backdoor; ការរីករាលដាលនៅពេលក្រោយតាមរយៈ LAN និងឧបករណ៍ផ្ទុក USB/ឧបករណ៍ផ្ទុកដែលអាចដកចេញបាន។

បន្ទាត់ខាងក្រោម

RDAT Ransomware គឺជាវ៉ារ្យ៉ង់នៃព្រះធម៌ដែលជំរុញដោយប្រាក់ចំណេញ៖ វានៅតែបន្តដំណើរការឡើងវិញ លុបចំណុចស្ដារឡើងវិញ កំណត់គោលដៅទាំងទិន្នន័យក្នុងស្រុក និងទិន្នន័យដែលបានចែករំលែក និងប្រើយុទ្ធសាស្ត្រដាក់សម្ពាធដើម្បីទាញយកការទូទាត់។ ផ្លូវដែលអាចទុកចិត្តបានបំផុតចំពោះភាពធន់គឺការពង្រឹងសកម្ម បូកនឹងការបម្រុងទុកដ៏រឹងមាំ សមត្ថភាពក្រៅបណ្តាញ និងការស្តារឡើងវិញដែលបានហាត់សម។ មិនបង់ប្រាក់; លុបបំបាត់ ស្តារ និងរឹតបន្តឹងការការពារ ដើម្បីទប់ស្កាត់ការប៉ុនប៉ងលើកក្រោយ។

សារ

សារខាងក្រោមដែលទាក់ទងនឹង RDAT Ransomware ត្រូវបានរកឃើញ៖

All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: datret@tuta.com YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:dat@mailum.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

TELEGRAM

write to us by telegram:
@returndat

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note presented as a text file:
all your data has been locked us

You want to return?

write email dat@mailum.com or datret@tuta.com or @returndat

ប្រកាសដែលពាក់ព័ន្ធ

មេរោគ HackBrowserData Infostealer

អ្នកលួច
តួអង្គគម្រាមកំហែងដែលមិនស្គាល់បានដឹកនាំការយកចិត្តទុកដាក់របស់ពួកគេចំពោះអង្គភាពរដ្ឋាភិបាល និងក្រុមហ៊ុនថាមពលរបស់ឥណ្ឌា ដោយប្រើប្រាស់បំរែបំរួលបំរែបំរួលនៃមេរោគដែលលួចព័ត៌មានប្រភពបើកចំហរដែលមានឈ្មោះថា HackBrowserData ។ គោលបំណងរបស់ពួកគេពាក់ព័ន្ធនឹងការដកយកទិន្នន័យរសើប ដោយមាន Slack ជាយន្តការ Command-and-Control (C2) នៅក្នុងករណីមួយចំនួន។ មេរោគនេះត្រូវបានផ្សព្វផ្សាយតាមរយៈអ៊ីមែលបន្លំ...

Cleardating.top

Adware
Cleardating.top គឺជាគ្រោងការណ៍ផ្អែកលើកម្មវិធីរុករកដែលមានគោលបំណងចម្បងរបស់វាដើម្បីធ្វើឱ្យអ្នកប្រើប្រាស់ជាវការជូនដំណឹងជំរុញរបស់វា។ ប្រសិនបើ Cleardating.top អាចសម្រេចបាននូវកិច្ចការនេះ...

Secureyourdatabase.live

គេហទំព័រក្លែងក្លាយ, Adware
Secureyourdatabase.live អាចស្តាប់ទៅដូចជាគេហទំព័រដ៏មានប្រយោជន៍ដែលផ្តល់ឱ្យអ្នកទស្សនារបស់ខ្លួននូវគន្លឹះសំខាន់ៗអំពីរបៀបការពារព័ត៌មានរបស់ពួកគេ ប៉ុន្តែតាមពិតទៅ ការពិតផ្ទុយស្រឡះពីការពិត។...

និន្នាការ

Marmose.app

មេរោគ Mac, Adware, កម្មវិធីដែលមិនចង់បានសក្តានុពល
នៅក្នុងទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិតដែលកំពុងវិវត្ត អ្នកប្រើប្រាស់ Mac មិនមានភាពស៊ាំនឹងយុទ្ធសាស្ត្ររបស់អ្នកឈ្លានពានឌីជីថលទេ។ កម្មវិធីដែលមិនចង់បានដែលអាចកើតមាន (PUPs)...

Germantopsuper.pw

គេហទំព័រក្លែងក្លាយ, Adware
Germantopsuper.pw គឺជាគេហទំព័រដែលមិនគួរឱ្យទុកចិត្តដែលមានរបៀបវារៈបោកប្រាស់។ គោលបំណងចម្បងរបស់វាគឺដើម្បីផ្សព្វផ្សាយយុទ្ធសាស្ត្រ និងបង្កើតការជូនដំណឹងអំពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត spammy ។ លើសពីនេះទៀត...

មេរោគ SparkKitty Mobile

ម៉ាលវែរចល័ត, អ្នកលួច
ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលកំពុងរីករាលដាលកំពុងកំណត់គោលដៅអ្នកប្រើប្រាស់ TikTok Shop ទូទាំងពិភពលោក ដោយប្រើការរួមបញ្ចូលគ្នាដ៏ខ្លាំងក្លានៃយុទ្ធសាស្ត្របន្លំ និងកម្មវិធីបង្កប់មេរោគ។...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
36,006
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...
កំពុង​ផ្ទុក...