ISAC Cambodia (InfoSec)
GeneralSecurity News

មេរោគចាប់ជំរិត GermanWiper កំពុងវាយលុកនៅក្នុងអាល្លឺម៉ង់

អស់រយៈពេលមួយសប្តាហ៍កន្លងមកនេះ មេរោគចាប់ជំរិតថ្មីមួយបាននឹងកំពុងបំផ្លាញនៅទូទាំងប្រទេសអាល្លឺម៉ង់។ ដាក់ឈ្មោះថា GermanWiper, គឺមិនបានធ្វើកូដនីយកម្ម (encrypt) ឯកសារនោះឡើយ ក៏ប៉ុន្តែវាបែជាធ្វើការ rewrites content ជាមួយនឹង zeroes ដែលបានកំទេចឯកសាររបស់អ្នកប្រើប្រាស់ទាំងស្រុងតែម្តង។

ជាលទ្ធផល អ្នកប្រើប្រាស់ណាម្នាក់ដែលឆ្លងមេរោគនេះ គួរតែដឹងថាការបង់ថ្លៃលោះនឹងមិនជួយពួកគេក្នុងការរកឯកសាររបស់ពួកគេមកវិញទេ។ លុះត្រាតែអ្នកប្រើប្រាស់មានការធ្វើ backups ទិន្នន័យរបស់ខ្លួនបានត្រឹមត្រូវ បើមិនអញ្ចឹងទេ គឺមិនអាចសង្គ្រោះឯកសារទាំងនោះបានឡើយ។

សំរាប់ពេលនេះ ដំណឹងល្អតែមួយគត់គឺថា មេរោគចាប់ជំរិតនេះ ហាក់ដូចជាត្រូវបានកំណត់រីករាលដាលតែនៅក្នុងប្រទេសដែលនិយាយភាសាអាឡឺម៉ង់តែប៉ុណ្ណោះ ហើយផ្តោតលើប្រទេសអាល្លឺម៉ង់ជាចម្បង។

យុទ្ធនាការរីករាលដាលធំគួរសម (Pretty big distribution campaign)

សញ្ញាដំបូងនៃមេរោគ GermanWiper ត្រូវបានគេរាយការណ៍នៅដើមសប្តាហ៍នេះនៅពេលដែលជនរងគ្រោះបានចាប់ផ្តើមសុំជំនួយនៅក្នុងវេបសាយ Bleeping Computer Forum។របាយការណ៍ដំបូង គឺនៅថ្ងៃអង្គារទី៣០ ខែកក្កដា ហើយចាប់ផ្តើមបន្តកើនឡើងនៅថ្ងៃបន្តបន្ទាប់។

លោក Michael Gillespie ដែលជាអ្នកបង្កើតវេបសាយ ID-Ransomware ដែលជាវេបសាយដែលជនរងគ្រោះនៃមេរោគចាប់ជំរិត អាចធ្វើការបញ្ចូន (upload)​ នូវសំណាកមេរោគ (virus sample) និងកំណត់អត្តសញ្ញាណប្រភេទនៃ ransomware ដែលបានឆ្លងចូលប្រព័ន្ធរបស់ពួកគេ បានប្រាប់ ZDNet ថាបច្ចុប្បន្ននេះ GermanWiper គឺជាមេរោគមួយក្នុងចំណោមមេរោគទាំង៥ ដែលសកម្មបំផុតនៅលើវេបសាយរបស់គាត់។

រីករាលដាលតាមរយៈ​ Spam E-mail

យោងទៅតាមលោក German security researcher Marius Genheimer ដែលជាអ្នកស្រាវជ្រាវសន្តិសុខព័ត៌មានជនជាតិអាលឺ្លម៉ង់ និង CERT-Bund, Germany’s Computer Emergency Response Team បានឱ្យដឹងថាមេរោគ GermanWiper គឺកំពុងតែរីករាលដាល តាមរយៈយុទ្ធនាការ spam e-mail (malspam)។

អីុម៉ែលទាំងនេះអះអាងថា ជាពាក្យសុំធ្វើការពីមនុស្សម្នាក់ដែលមានឈ្មោះថា “Lena Kretschmer” ។ ប្រវត្តិរូបត្រូវបានភ្ជាប់ជាឯកសារ Zip ជាមួយអីុម៉ែលទាំងនេះ ហើយមានផ្ទុកឯកសារ​​ LNK shortcut file។ ឯកសារ LNK គឺជាយន្តការនៃការតំឡើងមេរោគចាប់ជំរិត ​GermanWiper។

When users run this file, the ransomware will rewrite the content of various local files with the 0x00 (zero character), and append a new extension to all files. This extension has a format of five random alpha-numerical characters, such as .08kJA, .AVco3, .OQn1B, .rjzR8, etc..

នៅពេលអ្នកប្រើប្រាស់ដំណើរការឯកសារនេះ មេរោគចាប់ជំរិតនឹងធ្វើការ rewrite content​ ទៅលើឯកសារមួយចំនួនផ្សេងៗគ្នា ជាមួយនឹង ០x០០ (លេខ ០) និងបន្ថែម extension ថ្មីទៅឱ្យឯកសារទាំងអស់នោះ។ Extension ទាំងនោះមានដូចជា .08kJA, .AVco3, .OQn1B, .rjzR8, …។ ល។

បន្ទាប់ពីវាធ្វើកូដនីយកម្ម “encrypt” ទៅលើរាល់ឯកសារគោលដៅទាំងអស់រួចហើយ មេរោគ GermanWiper នឹងបើកនូវឯកសារមួយ (ឯកសារ HTML) នៅខាងក្នុង browser របស់អ្នកប្រើប្រាស់ ដែលមើលទៅដូចខាងក្រោម។ វីដេអូនៃដំណើរការឆ្លងក៏មាននៅទីនេះផងដែរ។

GermanWiper ransom note

ជនរងគ្រោះ ត្រូវបានផ្តល់រយៈពេលចំនួន ៧ថ្ងៃ ដើម្បីធ្វើការបង់ប្រាក់លោះ ។ ជាការសំខាន់ណាស់ ដែលការបង់ប្រាក់លោះគឺមិនបានជួយដល់ការសង្គ្រោះឯកសាររបស់អ្នកត្រលប់មកវិញបានឡើយ៕

ប្រភព៖

https://www.zdnet.com/article/germanwiper-ransomware-hits-germany-hard-destroys-files-asks-for-ransom/

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button