មេរោគចាប់ជំរិត Petya Ransomware: ធ្វើឲ្យវីនដូរមិនដំណើរការតែម្តង

អ្នកជំនាញការផ្នែកសន្តិសុខព័ត៌មាន បានធ្វើការព្រមានពីមេរោគចាប់ជំរិតប្រភេទថ្មីមួយទៀត ដែលរីករាលដាលតាមរយៈ Dropbox Links ហើយធ្វើការវាយប្រហារទៅលើ Master Boot Recrod (MBR) នៃប្រព័ន្ធដើម្បីមិនឲ្យអ្នកប្រើប្រាស់ចូលទៅកាន់ប្រព័ន្ធទាំងមូលតែម្តង។

ក្រុមហ៊ុន Trend Micro បានធ្វើការពន្យល់នៅក្នងប្លុករបស់ខ្លួនកាលពីសប្តាហ៍មុនថា មេរោគឈ្មោះ “Petya” គឺស្ថិតនៅក្នុងទម្រង់ជាសារអីុម៉ែលបន្លំ (spoof) ដែលផ្ញើរចេញមកពី “អ្នកដែលស្វែងរកការងារធ្វើ” ទៅកាន់ក្រុមហ៊ុនគោលដៅណាមួយ ដែលនៅក្នុងសារអីុម៉ែលនោះ មាននូវតំណរភ្ជាប់ (link) ទៅកាន់ dropbox ដែលអាចបើកចូលទៅកាន់ CV របស់អ្នកស្វែងរកការងារ។

បើតាមលោក ​Jasen Sumalapao ដែលជាអ្នកវិភាគមេរោគ (malware analyst) បានមានប្រសាសន៍ថា “ជាការពិតណាស់ ឯកសារដែលអ្នកទាញយកមកនោះគឺមិនមែនជា CV នោះឡើយ, ប៉ុន្តែវាគឺជា file self-extracting executable ដែលនឹងធ្វើការបញ្ចូលនូវមេរោគចូលទៅកាន់ ប្រព័ន្ធកុំព្យូទ័រ។ បន្ទាប់មក ​Trojan នោះនឹងធ្វើការបិទមុខងារដំណើរការរបស់កម្មវិធី Antivirus មុនពេលដែលធ្វើការតំឡើងនូវមេរោគ Petya ទៅក្នុងប្រព័ន្ធ។”

បន្ទាប់មកមេរោគ ​Petya នេះបានធ្វើការវាយលុកទៅលើ Master Boot Record (MBR) របស់ Hard Disk​ ទាំងមូល ដែលនឹងធ្វើឲ្យប្រព័ន្ធប្រតិបត្តិការវីនដូរទាំងមូលលែងដំណើរការតែម្តង ដោយវាចេញផ្ទាំងខៀវ។ បើិសិនជាអ្នកប្រើប្រាស់ព្យាយាមក្នុងការ reboot កុំព្យូទ័រ ពួកគេនឹងទទួលបាននូវផ្ទាំងស្វាគមន៍ដែលមានរូបភាពក្បាលខ្មោច ដែលនឹងទាមទារឲ្យអ្នកបង់ប្រាក់ជា ​Bitcoins ឬអាចបាត់បង់ទិន្នន័យទាំងអស់។

លោកបានមានប្រសាសន៍បន្តទៀតថា “បន្ទាប់មកអ្នកប្រើប្រាស់ត្រូវបានណែនាំអំពីវិធីសាស្ត្រក្នុងការបង់ប្រាក់ ដូចគ្នាទៅនឹងមេរោគចាប់ជំរិតមុនៗដែរ។ វេបសាយរបស់ឧក្រិដ្ឋជនគឺមានលក្ខណៈអាជីព និងប្រើប្រាស់ ​TOR browser ដើម្បីបើកចូលទៅកាន់។ ក្នុងពេលនេះ អ្នកត្រូវបង់ប្រាក់ 0.99 Bitcoins (BTC) ដែលស្មើនឹង 431USD ហើយតម្លៃនេះអាចកើនទ្វេរមួយជាពីរ នៅពេលដែលហួសថ្ងៃកំណត់។”

ក្រុមហ៊ុន ​Dropbox បានធ្វើការលុបចោលនូវតំណរភ្ជាប់នោះ និងឯកសារពាក់ព័ន្ធ នៅពេលដែលក្រុមហ៊ុន Trend Micro បានជូនដំណឹងប្រាប់។

តើមេរោគនេះឆ្លងមានដំណាក់កាលយ៉ាងដូចម្តេច?

ដំបូងនៅពេលដែលមេរោគបានឆ្លងហើយនោះ វានឹងធ្វើការវាយប្រហារទៅលើ MBR ដែលធ្វើឲ្យវីនដូរគាំង (Crash) តែម្តង ហើយនៅពេលដែល reboot វានឹងបង្ហាញនូវផ្ទាំង CHKDSK ក្លែងក្លាយដូចខាងក្រោម

បន្ទាប់មកទៀត នឹងមានផ្ទាំងស្វាគមន៍ដូចខាងក្រោម

បន្ទាប់ពីចុចទៅលើ Key ណាមួយហើយនោះ ការណែនាំអំពីមធ្យោបាយក្នុងការបង់ប្រាក់ដើម្បីទទួលបានទិន្នន័យត្រលប់មកវិញត្រូវបានបង្ហាញ

មកដល់ដំណាក់កាលនេះ ជនរងគ្រោះមិនអាចចូលទៅកាន់ប្រព័ន្ធវីនដូររបស់ខ្លួនឡើយ ។ កាលដែល reboot ចូលទៅកាន់ Safe Mode ក៏មិនអាចធ្វើទៅកើតឡើយ ។ ជនរងគ្រោះអាចធ្វើការ reformat កុំព្យូទ័ររបស់ខ្លួន ដែលនឹងត្រូវបាត់បង់ទិន្នន័យទាំងអស់របស់ខ្លួន។

ខាងក្រោមនេះគឺជារូបភាពនៃវេបសាយរបស់ឧក្រិដ្ឋជនដែលត្រូវបានបង្កើតឡើងនៅក្នុងបណ្តាញ TOR ដែលរួមមាននូវការណែនាំនានាដើម្បីធ្វើការបង់ប្រាក់។

ប្រភព៖ InformationSecurity Magazine / ប្រែសម្រួល៖ SecuDemy.com

Exit mobile version