Rorschach Ransomware

ransomware ដែលគេស្គាល់ថា Rorschach ឬ BabLock ត្រូវបានរចនាឡើងដើម្បីអ៊ិនគ្រីបឯកសារ និងកំណត់គោលដៅអាជីវកម្មខ្នាតតូច និងមធ្យម ក៏ដូចជាអង្គការឧស្សាហកម្មផងដែរ។ នៅពេលដែល Rorschach ឆ្លងប្រព័ន្ធមួយ វាមិនត្រឹមតែអ៊ិនគ្រីបទិន្នន័យប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបន្ថែមតួអក្សរចៃដន្យមួយ អមដោយលេខពីរខ្ទង់នៅចុងបញ្ចប់នៃឈ្មោះឯកសារ។ គោលបំណងនៃការកែប្រែនេះគឺដើម្បីធ្វើឱ្យជនរងគ្រោះកាន់តែលំបាកក្នុងការកត់សម្គាល់ថាទិន្នន័យរបស់ពួកគេត្រូវបានចាក់សោ។

Rorschach ក៏ទម្លាក់ឯកសារកំណត់ចំណាំតម្លៃលោះដែលហៅថា '_r_e_a_d_m_e.txt' ហើយផ្លាស់ប្តូរផ្ទៃខាងក្រោយផ្ទៃតុបច្ចុប្បន្នដើម្បីបំភិតបំភ័យជនរងគ្រោះបន្ថែមទៀត។ ខ្សែអក្សរបន្ថែមនៃតួអក្សរចៃដន្យ និងលេខពីរខ្ទង់អាចប្រែប្រួលអាស្រ័យលើវ៉ារ្យ៉ង់ជាក់លាក់នៃ ransomware ។

ទិន្នន័យដែលរងផលប៉ះពាល់ដោយ Rorschach Ransomware ក្លាយជាមិនអាចប្រើបាន

កំណត់ចំណាំតម្លៃលោះដែលបានបន្សល់ទុកដោយអ្នកវាយប្រហារនៅលើប្រព័ន្ធមេរោគ បម្រើជាការជូនដំណឹងថាប្រព័ន្ធរបស់ពួកគេត្រូវបានសម្របសម្រួល ទិន្នន័យរបស់ពួកគេត្រូវបានអ៊ិនគ្រីប ហើយការបម្រុងទុករបស់ពួកគេត្រូវបានលុប។ កំណត់សម្គាល់ក៏អាចនិយាយផងដែរថាព័ត៌មានសម្ងាត់ត្រូវបានលួចដោយអ្នកវាយប្រហារ។

កំណត់ចំណាំតម្លៃលោះជាធម្មតាណែនាំជនរងគ្រោះមិនឱ្យទាក់ទងប៉ូលីស FBI ឬអាជ្ញាធរផ្សេងទៀតរហូតដល់ការទូទាត់លោះត្រូវបានធ្វើឡើង។ វាក៏អាចបំបាក់ទឹកចិត្តជនរងគ្រោះពីការទាក់ទងក្រុមហ៊ុនសង្គ្រោះទិន្នន័យ ដោយអះអាងថាពួកគេគឺជាអន្តរការីដែលនឹងគិតប្រាក់យ៉ាងច្រើនដោយមិនផ្តល់ជំនួយណាមួយឡើយ។

កំណត់ចំណាំតម្លៃលោះក៏ព្រមានជនរងគ្រោះកុំឱ្យព្យាយាមឌិគ្រីបឯកសារដោយខ្លួនឯង ឬកែប្រែផ្នែកបន្ថែមឯកសារ ព្រោះនេះអាចធ្វើឱ្យវាមិនអាចយកមកវិញនូវទិន្នន័យដែលបានអ៊ិនគ្រីប។ អ្នកវាយប្រហារផ្តល់អាសយដ្ឋានអ៊ីមែលចំនួនពីរសម្រាប់ជនរងគ្រោះដើម្បីទាក់ទងពួកគេ និងផ្ញើឯកសារមួយចំនួនសម្រាប់ការឌិគ្រីបសាកល្បង - 'wvpater@onionmail.org' និង 'wvpater1@onionmail.org.'

កំណត់ចំណាំតម្លៃលោះមានការគំរាមកំហែងថា ប្រសិនបើការទូទាត់លោះមិនត្រូវបានធ្វើឡើងទេ អ្នកវាយប្រហារនឹងបើកការវាយប្រហារមួយផ្សេងទៀតប្រឆាំងនឹងប្រព័ន្ធរបស់ជនរងគ្រោះ ហើយលុបទិន្នន័យទាំងអស់ចេញពីបណ្តាញរបស់ពួកគេ។

Rorschach Ransomware អាចឆ្លងប្រព័ន្ធ Windows និង Linux

Rorschach Ransomware គឺជាការគំរាមកំហែងដ៏ស្មុគ្រស្មាញដែលត្រូវបានរចនាឡើងដើម្បីរីករាលដាលដោយស្វ័យប្រវត្តិនៅពេលប្រតិបត្តិលើ Windows Domain Controller (DC)។ នៅពេលដែលត្រូវបានប្រតិបត្តិ ransomware បង្កើតគោលការណ៍ក្រុម ដែលអនុញ្ញាតឱ្យវារីករាលដាលទៅកាន់ម៉ាស៊ីនផ្សេងទៀតនៅក្នុងដែន។ មុខងារនេះពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងប្រភេទ ransomware ផ្សេងទៀតដែលគេស្គាល់ថា LockBit 2.0។

Rorschach Ransomware មានភាពបត់បែនខ្ពស់ និងមានអាគុយម៉ង់ស្រេចចិត្តដែលអាចឱ្យវាសម្របតាមតម្រូវការរបស់ប្រតិបត្តិករ។ វាក៏មានមុខងារពិសេសផងដែរ ដូចជាការប្រើប្រាស់ការហៅតាមប្រព័ន្ធដោយផ្ទាល់ដោយប្រើការណែនាំ "syscall" ។ លក្ខណៈពិសេសទាំងនេះធ្វើឱ្យពិបាកក្នុងការរកឃើញ និងការពារប្រឆាំងនឹង។

លើសពីនេះទៀត ransomware មានជម្រើសដែលភ្ជាប់មកជាមួយជាច្រើន ដែលត្រូវបានលាក់បាំង និងបិទបាំង ដែលធ្វើឱ្យពួកវាអាចចូលប្រើបានតែតាមរយៈការធ្វើវិស្វកម្មបញ្ច្រាសមេរោគប៉ុណ្ណោះ។ នេះអាចមានបំណងសម្រាប់ភាពងាយស្រួលរបស់ប្រតិបត្តិករ។

Rorschach Ransomware ប្រើដំណើរការគ្រីបកូនកាត់ដែលរួមបញ្ចូលគ្នានូវក្បួនដោះស្រាយ curve25519 និង eSTREAM cipher hc-128 ដើម្បីអ៊ិនគ្រីបឯកសាររបស់ជនរងគ្រោះ។ មិនដូច ransomware ផ្សេងទៀតទេ វាគ្រាន់តែអ៊ិនគ្រីបផ្នែកជាក់លាក់នៃមាតិកាឯកសារដើម ជាជាងឯកសារទាំងមូល។ វាធ្វើឱ្យដំណើរការអ៊ិនគ្រីបលឿន និងមានប្រសិទ្ធភាពជាងមុន។

វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថា Rorschach Ransomware កំណត់គោលដៅទាំងប្រព័ន្ធប្រតិបត្តិការ Windows និង Linux ។ វ៉ារ្យ៉ង់លីនុចនៃ Rorschach មានភាពស្រដៀងគ្នាទៅនឹងការគំរាមកំហែង Babuk Ransomware ។

អត្ថបទពេញលេញនៃកំណត់ចំណាំតម្លៃលោះដែលផ្តល់ដោយ Rorschach Ransomware គឺ៖

'លេខសម្គាល់ការឌិគ្រីប៖

សួស្តី ចាប់តាំងពីអ្នកកំពុងអានវាមានន័យថាអ្នកត្រូវបានគេលួចចូល។
បន្ថែមពីលើការអ៊ិនគ្រីបប្រព័ន្ធទាំងអស់របស់អ្នក ការលុបការបម្រុងទុក យើងក៏បានទាញយកព័ត៌មានសម្ងាត់របស់អ្នកផងដែរ។
នេះជាអ្វីដែលអ្នកមិនគួរធ្វើ៖
1) ទាក់ទងប៉ូលីស fbi ឬអាជ្ញាធរផ្សេងទៀតមុនពេលបញ្ចប់កិច្ចព្រមព្រៀងរបស់យើង។
2) ទាក់ទងក្រុមហ៊ុនសង្គ្រោះ ដើម្បីឲ្យពួកគេធ្វើការសន្ទនាជាមួយយើង។ (វា​អាច​ពន្យឺត​ការ​ស្តារ​ឡើងវិញ ហើយ​ធ្វើ​ឱ្យ​ទំនាក់ទំនង​របស់​យើង​មិន​ដំណើរការ)។ កុំទៅក្រុមហ៊ុនសង្គ្រោះអី ពួកគេគ្រាន់តែជាឈ្មួញកណ្តាលដែលនឹងរកលុយពីអ្នក ហើយបោកប្រាស់អ្នក។ យើងដឹងយ៉ាងច្បាស់អំពីករណីដែលក្រុមហ៊ុនសង្គ្រោះប្រាប់អ្នកថាតម្លៃលោះគឺ 5 លានដុល្លារ ប៉ុន្តែការពិតពួកគេចរចាដោយសម្ងាត់ជាមួយ យើង ១ លានដុល្លារ ដូច្នេះគេរកបាន ៤ លានដុល្លារពីអ្នក។ ប្រសិនបើអ្នកមករកយើងដោយផ្ទាល់ដោយគ្មានអន្តរការី អ្នកនឹងបង់ប្រាក់តិចជាង 5 ដង នោះគឺ 1 លានដុល្លារ។
៣) កុំ​ព្យាយាម​ឌិគ្រីប​ឯកសារ​ដោយ​ខ្លួន​ឯង ព្រម​ទាំង​កុំ​ប្ដូរ​កន្ទុយ​ឯកសារ​ដោយ​ខ្លួន​ឯង!!! នេះអាចនាំឱ្យមានភាពមិនអាចទៅរួចនៃការឌិគ្រីបរបស់ពួកគេ។

នេះជាអ្វីដែលអ្នកគួរធ្វើភ្លាមៗបន្ទាប់ពីអានវា៖
1) ប្រសិនបើអ្នកជាបុគ្គលិកធម្មតា សូមផ្ញើសាររបស់យើងទៅកាន់ CEO របស់ក្រុមហ៊ុន ក៏ដូចជាទៅកាន់ផ្នែក IT ។
2) ប្រសិនបើអ្នកជានាយកប្រតិបត្តិ ឬអ្នកជំនាញផ្នែកព័ត៌មានវិទ្យា ឬអ្នកផ្សេងទៀតដែលមានទម្ងន់នៅក្នុងក្រុមហ៊ុន អ្នកគួរតែទាក់ទងមកយើងក្នុងរយៈពេល 24 ម៉ោងតាមអ៊ីមែល។

ប្រសិនបើអ្នកមិនបង់ថ្លៃលោះទេ យើងនឹងវាយប្រហារក្រុមហ៊ុនរបស់អ្នកម្តងទៀតនៅពេលអនាគត។ ក្នុងរយៈពេលពីរបីសប្តាហ៍ យើងនឹងវាយប្រហារម្តងទៀត ហើយលុបទិន្នន័យរបស់អ្នកទាំងអស់ចេញពីបណ្តាញរបស់អ្នក ដែលនឹងនាំទៅដល់ភាពមិនអាចប្រើបានរបស់ពួកគេ!

ជាការធានាថាយើងអាចឌិគ្រីបឯកសារបាន យើងស្នើឱ្យអ្នកផ្ញើឯកសារជាច្រើនសម្រាប់ការឌិគ្រីបដោយឥតគិតថ្លៃ។
សំបុត្រដើម្បីទាក់ទងមកយើង (សរសេរលេខសម្គាល់ការឌិគ្រីបនៅក្នុងចំណងជើងនៃសាររបស់អ្នក)៖
១) wvpater@onionmail.org
២) wvpater1@onionmail.org'