ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

មេរោគចាប់ជំរិត Petya Ransomware: ធ្វើឲ្យវីនដូរមិនដំណើរការតែម្តង

អ្នកជំនាញការផ្នែកសន្តិសុខព័ត៌មាន បានធ្វើការព្រមានពីមេរោគចាប់ជំរិតប្រភេទថ្មីមួយទៀត ដែលរីករាលដាលតាមរយៈ Dropbox Links ហើយធ្វើការវាយប្រហារទៅលើ Master Boot Recrod (MBR) នៃប្រព័ន្ធដើម្បីមិនឲ្យអ្នកប្រើប្រាស់ចូលទៅកាន់ប្រព័ន្ធទាំងមូលតែម្តង។

ក្រុមហ៊ុន Trend Micro បានធ្វើការពន្យល់នៅក្នងប្លុករបស់ខ្លួនកាលពីសប្តាហ៍មុនថា មេរោគឈ្មោះ “Petya” គឺស្ថិតនៅក្នុងទម្រង់ជាសារអីុម៉ែលបន្លំ (spoof) ដែលផ្ញើរចេញមកពី “អ្នកដែលស្វែងរកការងារធ្វើ” ទៅកាន់ក្រុមហ៊ុនគោលដៅណាមួយ ដែលនៅក្នុងសារអីុម៉ែលនោះ មាននូវតំណរភ្ជាប់ (link) ទៅកាន់ dropbox ដែលអាចបើកចូលទៅកាន់ CV របស់អ្នកស្វែងរកការងារ។

បើតាមលោក ​Jasen Sumalapao ដែលជាអ្នកវិភាគមេរោគ (malware analyst) បានមានប្រសាសន៍ថា “ជាការពិតណាស់ ឯកសារដែលអ្នកទាញយកមកនោះគឺមិនមែនជា CV នោះឡើយ, ប៉ុន្តែវាគឺជា file self-extracting executable ដែលនឹងធ្វើការបញ្ចូលនូវមេរោគចូលទៅកាន់ ប្រព័ន្ធកុំព្យូទ័រ។ បន្ទាប់មក ​Trojan នោះនឹងធ្វើការបិទមុខងារដំណើរការរបស់កម្មវិធី Antivirus មុនពេលដែលធ្វើការតំឡើងនូវមេរោគ Petya ទៅក្នុងប្រព័ន្ធ។”

petya-ransomware-uses-dos-level-lock-screen-prevents-os-boot-up-502166-4

បន្ទាប់មកមេរោគ ​Petya នេះបានធ្វើការវាយលុកទៅលើ Master Boot Record (MBR) របស់ Hard Disk​ ទាំងមូល ដែលនឹងធ្វើឲ្យប្រព័ន្ធប្រតិបត្តិការវីនដូរទាំងមូលលែងដំណើរការតែម្តង ដោយវាចេញផ្ទាំងខៀវ។ បើិសិនជាអ្នកប្រើប្រាស់ព្យាយាមក្នុងការ reboot កុំព្យូទ័រ ពួកគេនឹងទទួលបាននូវផ្ទាំងស្វាគមន៍ដែលមានរូបភាពក្បាលខ្មោច ដែលនឹងទាមទារឲ្យអ្នកបង់ប្រាក់ជា ​Bitcoins ឬអាចបាត់បង់ទិន្នន័យទាំងអស់។

លោកបានមានប្រសាសន៍បន្តទៀតថា “បន្ទាប់មកអ្នកប្រើប្រាស់ត្រូវបានណែនាំអំពីវិធីសាស្ត្រក្នុងការបង់ប្រាក់ ដូចគ្នាទៅនឹងមេរោគចាប់ជំរិតមុនៗដែរ។ វេបសាយរបស់ឧក្រិដ្ឋជនគឺមានលក្ខណៈអាជីព និងប្រើប្រាស់ ​TOR browser ដើម្បីបើកចូលទៅកាន់។ ក្នុងពេលនេះ អ្នកត្រូវបង់ប្រាក់ 0.99 Bitcoins (BTC) ដែលស្មើនឹង 431USD ហើយតម្លៃនេះអាចកើនទ្វេរមួយជាពីរ នៅពេលដែលហួសថ្ងៃកំណត់។”

ក្រុមហ៊ុន ​Dropbox បានធ្វើការលុបចោលនូវតំណរភ្ជាប់នោះ និងឯកសារពាក់ព័ន្ធ នៅពេលដែលក្រុមហ៊ុន Trend Micro បានជូនដំណឹងប្រាប់។

តើមេរោគនេះឆ្លងមានដំណាក់កាលយ៉ាងដូចម្តេច?

ដំបូងនៅពេលដែលមេរោគបានឆ្លងហើយនោះ វានឹងធ្វើការវាយប្រហារទៅលើ MBR ដែលធ្វើឲ្យវីនដូរគាំង (Crash) តែម្តង ហើយនៅពេលដែល reboot វានឹងបង្ហាញនូវផ្ទាំង CHKDSK ក្លែងក្លាយដូចខាងក្រោម

petyahchkdsk

បន្ទាប់មកទៀត នឹងមានផ្ទាំងស្វាគមន៍ដូចខាងក្រោម

petyaskull

បន្ទាប់ពីចុចទៅលើ Key ណាមួយហើយនោះ ការណែនាំអំពីមធ្យោបាយក្នុងការបង់ប្រាក់ដើម្បីទទួលបានទិន្នន័យត្រលប់មកវិញត្រូវបានបង្ហាញ

petyainstruct

មកដល់ដំណាក់កាលនេះ ជនរងគ្រោះមិនអាចចូលទៅកាន់ប្រព័ន្ធវីនដូររបស់ខ្លួនឡើយ ។ កាលដែល reboot ចូលទៅកាន់ Safe Mode ក៏មិនអាចធ្វើទៅកើតឡើយ ។ ជនរងគ្រោះអាចធ្វើការ reformat កុំព្យូទ័ររបស់ខ្លួន ដែលនឹងត្រូវបាត់បង់ទិន្នន័យទាំងអស់របស់ខ្លួន។

ខាងក្រោមនេះគឺជារូបភាពនៃវេបសាយរបស់ឧក្រិដ្ឋជនដែលត្រូវបានបង្កើតឡើងនៅក្នុងបណ្តាញ TOR ដែលរួមមាននូវការណែនាំនានាដើម្បីធ្វើការបង់ប្រាក់។

petyastep1

petyastep2

petyastep3

petyastep4

ប្រភព៖ InformationSecurity Magazine / ប្រែសម្រួល៖ SecuDemy.com

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button