អស់រយៈពេលមួយសប្តាហ៍កន្លងមកនេះ មេរោគចាប់ជំរិតថ្មីមួយបាននឹងកំពុងបំផ្លាញនៅទូទាំងប្រទេសអាល្លឺម៉ង់។ ដាក់ឈ្មោះថា GermanWiper, គឺមិនបានធ្វើកូដនីយកម្ម (encrypt) ឯកសារនោះឡើយ ក៏ប៉ុន្តែវាបែជាធ្វើការ rewrites content ជាមួយនឹង zeroes ដែលបានកំទេចឯកសាររបស់អ្នកប្រើប្រាស់ទាំងស្រុងតែម្តង។
ជាលទ្ធផល អ្នកប្រើប្រាស់ណាម្នាក់ដែលឆ្លងមេរោគនេះ គួរតែដឹងថាការបង់ថ្លៃលោះនឹងមិនជួយពួកគេក្នុងការរកឯកសាររបស់ពួកគេមកវិញទេ។ លុះត្រាតែអ្នកប្រើប្រាស់មានការធ្វើ backups ទិន្នន័យរបស់ខ្លួនបានត្រឹមត្រូវ បើមិនអញ្ចឹងទេ គឺមិនអាចសង្គ្រោះឯកសារទាំងនោះបានឡើយ។
សំរាប់ពេលនេះ ដំណឹងល្អតែមួយគត់គឺថា មេរោគចាប់ជំរិតនេះ ហាក់ដូចជាត្រូវបានកំណត់រីករាលដាលតែនៅក្នុងប្រទេសដែលនិយាយភាសាអាឡឺម៉ង់តែប៉ុណ្ណោះ ហើយផ្តោតលើប្រទេសអាល្លឺម៉ង់ជាចម្បង។
យុទ្ធនាការរីករាលដាលធំគួរសម (Pretty big distribution campaign)
សញ្ញាដំបូងនៃមេរោគ GermanWiper ត្រូវបានគេរាយការណ៍នៅដើមសប្តាហ៍នេះនៅពេលដែលជនរងគ្រោះបានចាប់ផ្តើមសុំជំនួយនៅក្នុងវេបសាយ Bleeping Computer Forum។របាយការណ៍ដំបូង គឺនៅថ្ងៃអង្គារទី៣០ ខែកក្កដា ហើយចាប់ផ្តើមបន្តកើនឡើងនៅថ្ងៃបន្តបន្ទាប់។
លោក Michael Gillespie ដែលជាអ្នកបង្កើតវេបសាយ ID-Ransomware ដែលជាវេបសាយដែលជនរងគ្រោះនៃមេរោគចាប់ជំរិត អាចធ្វើការបញ្ចូន (upload) នូវសំណាកមេរោគ (virus sample) និងកំណត់អត្តសញ្ញាណប្រភេទនៃ ransomware ដែលបានឆ្លងចូលប្រព័ន្ធរបស់ពួកគេ បានប្រាប់ ZDNet ថាបច្ចុប្បន្ននេះ GermanWiper គឺជាមេរោគមួយក្នុងចំណោមមេរោគទាំង៥ ដែលសកម្មបំផុតនៅលើវេបសាយរបស់គាត់។
រីករាលដាលតាមរយៈ Spam E-mail
យោងទៅតាមលោក German security researcher Marius Genheimer ដែលជាអ្នកស្រាវជ្រាវសន្តិសុខព័ត៌មានជនជាតិអាលឺ្លម៉ង់ និង CERT-Bund, Germany’s Computer Emergency Response Team បានឱ្យដឹងថាមេរោគ GermanWiper គឺកំពុងតែរីករាលដាល តាមរយៈយុទ្ធនាការ spam e-mail (malspam)។
អីុម៉ែលទាំងនេះអះអាងថា ជាពាក្យសុំធ្វើការពីមនុស្សម្នាក់ដែលមានឈ្មោះថា “Lena Kretschmer” ។ ប្រវត្តិរូបត្រូវបានភ្ជាប់ជាឯកសារ Zip ជាមួយអីុម៉ែលទាំងនេះ ហើយមានផ្ទុកឯកសារ LNK shortcut file។ ឯកសារ LNK គឺជាយន្តការនៃការតំឡើងមេរោគចាប់ជំរិត GermanWiper។
When users run this file, the ransomware will rewrite the content of various local files with the 0x00 (zero character), and append a new extension to all files. This extension has a format of five random alpha-numerical characters, such as .08kJA, .AVco3, .OQn1B, .rjzR8, etc..
នៅពេលអ្នកប្រើប្រាស់ដំណើរការឯកសារនេះ មេរោគចាប់ជំរិតនឹងធ្វើការ rewrite content ទៅលើឯកសារមួយចំនួនផ្សេងៗគ្នា ជាមួយនឹង ០x០០ (លេខ ០) និងបន្ថែម extension ថ្មីទៅឱ្យឯកសារទាំងអស់នោះ។ Extension ទាំងនោះមានដូចជា .08kJA, .AVco3, .OQn1B, .rjzR8, …។ ល។
បន្ទាប់ពីវាធ្វើកូដនីយកម្ម “encrypt” ទៅលើរាល់ឯកសារគោលដៅទាំងអស់រួចហើយ មេរោគ GermanWiper នឹងបើកនូវឯកសារមួយ (ឯកសារ HTML) នៅខាងក្នុង browser របស់អ្នកប្រើប្រាស់ ដែលមើលទៅដូចខាងក្រោម។ វីដេអូនៃដំណើរការឆ្លងក៏មាននៅទីនេះផងដែរ។
ជនរងគ្រោះ ត្រូវបានផ្តល់រយៈពេលចំនួន ៧ថ្ងៃ ដើម្បីធ្វើការបង់ប្រាក់លោះ ។ ជាការសំខាន់ណាស់ ដែលការបង់ប្រាក់លោះគឺមិនបានជួយដល់ការសង្គ្រោះឯកសាររបស់អ្នកត្រលប់មកវិញបានឡើយ៕
ប្រភព៖
