មេរោគចាប់ជំរិតថ្មី សម្រាប់ដើមឆ្នាំ២០១៦ – Ransom32
មេរោគចាប់ជំរិតចេញថ្មីបំផុតសម្រាប់ដើមឆ្នាំ២០១៦ ដែលត្រូវបានដាក់ឈ្មោះថា Ransom32 ត្រូវបានគេរកឃើញដំបូងដោយប្រើប្រាស់កូដ JavaScript ក្នុងការចម្លងទៅកាន់ Mac, Windows ក៏ដូចជា Linux ផងដែរ។
Ransom32 អាចឲ្យមានការរីករាលដាលយ៉ាងលឿន ហើយងាយស្រួល។ វាមាននូវផ្ទាំង dashboard ដែលអាចឲ្យអ្នកបង្កើតវាធ្វើការកំណត់អស័យដ្ឋាន Bitcoin ទៅនឹងមេរោគដែលត្រូវបញ្ជូនទៅកាន់ជនរងគ្រោះ។ វាក័មានបង្ហាញផងដែរនូវចំនួន Bitcoin ដែលរកបានផងដែរ។
មេរោគ Ransom32 នេះត្រូវបានវិភាគដំបូងដោយ Emsisoft ដែលប្រើប្រាស់នូវ NW.js សម្រាប់ជ្រៀតចូលទៅកាន់កុំព្យូទ័រជនរងគ្រោះ ហើយបន្ទាប់មកធ្វើការគ្រប់គ្រងឯកសារនានា (files) ដោយការធ្វើកូដនីយកម្ម (encrypt) ជាមួយនឹងកូដនីយកម្ម 128-bit AES។
តើហេតុអ្វីបានជាត្រូវការប្រើប្រាស់ NW.js Framework?
NW.js ដែលត្រូវបានគេស្គាល់ថា Node-Webkit គឺជា JavaScript Framework ប្រើប្រាស់សម្រាប់ធ្វើការអភិវឌ្ឍកម្មវិធីផ្អែកលើ Node.js និង Chromium។ NW.js អាចអនុញ្ញាតឲ្យមានការគ្រប់គ្រង និងធ្វើសកម្មភាពជាមួយនឹងស្រទាប់ប្រព័ន្ធប្រតិបត្តិការ (OS) ដែលជាហេតុធ្វើឲ្យ JavaScript ស្ទើរតែធ្វើអ្វីៗបានទាំងអស់ដូចគ្នាទៅនឹង C++ ឬ Delphi អាចធ្វើបាននោះដែរ។
NW.js Framework មិនត្រឹមតែអនុញ្ញាតឲ្យដំណើរការនៅប្រព័ន្ធជាច្រើននោះទេ ប៉ុន្តែថែមទាំងមានការលំបាកក្នុងការចាប់បានផងដែរ ពីព្រោះតែវាគឺជា framework ដែលត្រឹមត្រូវ (legitimate) ។ Ransom32 វាស្រដៀងគ្នាទៅនឹង CryptoLocker ដែលជាមេរោគបានឆ្លងនៅលើកុំព្យូទ័ររាប់លាន គ្រឿងជុំវិញពិភពលោក។
Ransom32 ត្រូវបានចរាចរនៅក្នុងទីផ្សារងងឹត (dark web) ដែលអ្នកដែលបង្កើតវាឡើងទាមទារនូវ ២៥ភាគរយនូវរាល់ការបង់ប្រាក់ពីជនរងគ្រោះ។
តើ Ransom32 នេះដំណើរការយ៉ាងដូចម្តេច?
ឧក្រិដ្ឋជនបានដាក់នូវឯកសារមានផ្ទុកមេរោគនៅក្នុងអីុម៉ែល រួចធ្វើការបញ្ជូនទៅកាន់ជនរងគ្រោះ។ នៅពេលដែលវាដំណើរការ មេរោគ Ransom32 នឹងធ្វើការភ្ជាប់ទៅកាន់ម៉ាសីុនមេ command-and-control (C&C) នៅលើបណ្តាញ TOR Network ហើយបង្ហាញនូវផ្ទាំងព័ត៌មានទារប្រាក់ពីជនរងគ្រោះ។
ក្នុងពេលនេះ Windows គឺជាប្រព័ន្ធប្រតិបត្តិមួយដែលឆ្លងមេរោគ Ransom32 ប៉ុន្តែ NW.js framework អាចដំណើរការនៅរាល់ប្រព័ន្ធប្រតិបតិ្តការធំៗទាំងអស់ ដែលរួមមានទាំង Mac OSX និង Linux ផងដែរ។
តើឯកសារណាខ្លះដែលអាចត្រូវបានកូដនីយកម្ម (encrypted)
ឯកសារខាងក្រោមនេះគឺជាគោលដៅនៃការធ្វើកូដនីយកម្ម ៖
*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat
មេរោគនឹងមិនធ្វើការព្យាយាមធ្វើកូដនីយកម្មទៅលើឯកសារទាំងឡាយណា ដែលស្ថិតនៅក្នុងថត (directory) ដែលមាននូវពាក្យខាងក្រោម៖
:\windows\
:\winnt\
programdata\
boot\
temp\
tmp\
$recycle.bin\
តើអ្នកការពារខ្លួនយ៉ាងដូចម្តេច?
ខាងក្រោមនេះគឺជាចំនុចមួយចំនួនដែលអ្នកត្រូវអនុវត្តន៍ដើម្បីការពារខ្លួនអ្នកពីការគំរាមគំហែងពីមេរោគ Ransomware ។
– សូមធ្វើការថតចម្លងទុកឯកសារសំខាន់ៗរបស់អ្នកឲ្យបានជាប្រចាំ
– សូមអ្នកដំណើរការនូវកម្មវិធីកំចាត់មេរោគ និងធ្វើការអាប់ដេតជាប្រចាំ
– មិនត្រូវបើកនូវសារដែលភ្ជាប់ជាមួយអីុមែ៉ល មកពីប្រភពមិនស្គាល់
– ចំនុចដែលសំខាន់នោះគឺ សូមធ្វើការប្រើប្រាស់អិុនធឺណិតដោយប្រុងប្រយ័ត្ន
ប្រភព៖
http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/