ISAC Cambodia (InfoSec)
GeneralSecurity News

មេរោគចាប់ជំរិតថ្មី សម្រាប់ដើមឆ្នាំ២០១៦ – Ransom32

មេរោគចាប់ជំរិតចេញថ្មីបំផុតសម្រាប់ដើមឆ្នាំ២០១៦ ដែលត្រូវបានដាក់ឈ្មោះថា Ransom32 ត្រូវបានគេរកឃើញដំបូងដោយប្រើប្រាស់កូដ JavaScript ក្នុងការចម្លងទៅកាន់ Mac, Windows ក៏ដូចជា Linux ផងដែរ។

Ransom32 អាចឲ្យមានការរីករាលដាលយ៉ាងលឿន ហើយងាយស្រួល។ វាមាននូវផ្ទាំង dashboard ដែលអាចឲ្យអ្នកបង្កើតវាធ្វើការកំណត់អស័យដ្ឋាន Bitcoin ទៅនឹងមេរោគដែលត្រូវបញ្ជូនទៅកាន់ជនរងគ្រោះ។ វាក័មានបង្ហាញផងដែរនូវចំនួន Bitcoin ដែលរកបានផងដែរ។

Screenshot 2016-01-04 20.43.11

មេរោគ Ransom32 នេះត្រូវបានវិភាគដំបូងដោយ Emsisoft ដែលប្រើប្រាស់នូវ NW.js សម្រាប់ជ្រៀតចូលទៅកាន់កុំព្យូទ័រជនរងគ្រោះ ហើយបន្ទាប់មកធ្វើការគ្រប់គ្រងឯកសារនានា (files) ដោយការធ្វើកូដនីយកម្ម (encrypt) ជាមួយនឹងកូដនីយកម្ម 128-bit AES។

Screenshot 2016-01-04 20.42.32

តើហេតុអ្វីបានជាត្រូវការប្រើប្រាស់ NW.js Framework?

NW.js ដែលត្រូវបានគេស្គាល់ថា Node-Webkit គឺជា JavaScript Framework ប្រើប្រាស់សម្រាប់ធ្វើការអភិវឌ្ឍកម្មវិធីផ្អែកលើ Node.js និង Chromium។ NW.js អាចអនុញ្ញាតឲ្យមានការគ្រប់គ្រង និងធ្វើសកម្មភាពជាមួយនឹងស្រទាប់ប្រព័ន្ធប្រតិបត្តិការ (OS) ដែលជាហេតុធ្វើឲ្យ JavaScript ស្ទើរតែធ្វើអ្វីៗបានទាំងអស់ដូចគ្នាទៅនឹង C++ ឬ Delphi អាចធ្វើបាននោះដែរ។

NW.js Framework មិនត្រឹមតែអនុញ្ញាតឲ្យដំណើរការនៅប្រព័ន្ធជាច្រើននោះទេ ប៉ុន្តែថែមទាំងមានការលំបាកក្នុងការចាប់បានផងដែរ ពីព្រោះតែវាគឺជា framework ដែលត្រឹមត្រូវ (legitimate) ។ Ransom32 វាស្រដៀងគ្នាទៅនឹង CryptoLocker ដែលជាមេរោគបានឆ្លងនៅលើកុំព្យូទ័ររាប់លាន គ្រឿងជុំវិញពិភពលោក។

Ransom32 ត្រូវបានចរាចរនៅក្នុងទីផ្សារងងឹត (dark web) ដែលអ្នកដែលបង្កើតវាឡើងទាមទារនូវ ២៥ភាគរយនូវរាល់ការបង់ប្រាក់ពីជនរងគ្រោះ។

តើ Ransom32 នេះដំណើរការយ៉ាងដូចម្តេច?

ឧក្រិដ្ឋជនបានដាក់នូវឯកសារមានផ្ទុកមេរោគនៅក្នុងអីុម៉ែល រួចធ្វើការបញ្ជូនទៅកាន់ជនរងគ្រោះ។ នៅពេលដែលវាដំណើរការ មេរោគ ​Ransom32 នឹងធ្វើការភ្ជាប់ទៅកាន់ម៉ាសីុនមេ command-and-control (C&C) នៅលើបណ្តាញ TOR Network ហើយបង្ហាញនូវផ្ទាំងព័ត៌មានទារប្រាក់ពីជនរងគ្រោះ។

ក្នុងពេលនេះ Windows គឺជាប្រព័ន្ធប្រតិបត្តិមួយដែលឆ្លងមេរោគ Ransom32 ប៉ុន្តែ NW.js framework អាចដំណើរការនៅរាល់ប្រព័ន្ធប្រតិបតិ្តការធំៗទាំងអស់ ដែលរួមមានទាំង Mac OSX និង Linux ផងដែរ។

តើឯកសារណាខ្លះដែលអាចត្រូវបានកូដនីយកម្ម (encrypted)

ឯកសារខាងក្រោមនេះគឺជាគោលដៅនៃការធ្វើកូដនីយកម្ម ៖

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

មេរោគនឹងមិនធ្វើការព្យាយាមធ្វើកូដនីយកម្មទៅលើឯកសារទាំងឡាយណា ដែលស្ថិតនៅក្នុងថត (directory) ដែលមាននូវពាក្យខាងក្រោម៖

:\windows\
:\winnt\
programdata\
boot\
temp\
tmp\
$recycle.bin\

តើអ្នកការពារខ្លួនយ៉ាងដូចម្តេច?

ខាងក្រោមនេះគឺជាចំនុចមួយចំនួនដែលអ្នកត្រូវអនុវត្តន៍ដើម្បីការពារខ្លួនអ្នកពីការគំរាមគំហែងពីមេរោគ Ransomware ។

– សូមធ្វើការថតចម្លងទុកឯកសារសំខាន់ៗរបស់អ្នកឲ្យបានជាប្រចាំ
– សូមអ្នកដំណើរការនូវកម្មវិធីកំចាត់មេរោគ និងធ្វើការអាប់ដេតជាប្រចាំ
– មិនត្រូវបើកនូវសារដែលភ្ជាប់ជាមួយអីុមែ៉ល មកពីប្រភពមិនស្គាល់
– ចំនុចដែលសំខាន់នោះគឺ សូមធ្វើការប្រើប្រាស់អិុនធឺណិតដោយប្រុងប្រយ័ត្ន

ប្រភព៖

http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button