ព័ត៌មាន

សូមប្រុងប្រយ័ត្ន! ក្រុមហេគឃ័រប្រើប្រាស់នូវមេរោគ JNEC.a Ransomware ថ្មីតាមរយៈកំហុសឆ្គងនៅលើ WinRAR

Friday, ទី22 March, ឆ្នាំ2019 16:03 pm 0

ការវាយលុកថ្មីមួយរបស់ JNEC.a រីករាលដាលតាមរយៈភាពងាយរងគ្រោះ WinRAR ដែល គេរកឃើញនាពេលថ្មីៗនេះ ហើយធ្វើឱ្យប្រព័ន្ធកុំព្យូទ័ររបស់អ្នកទទួលរងផលប៉ះពាល់ និង ទាមទារចំនួនទឹកប្រាក់លោះ។វានឹងទាញយកផលប្រយោជន៍ពីភាពងាយរងគ្រោះក្នុងការចាក់កូដ WinRAR ACE ដែលទើបនឹងរកឃើញចាប់តាំងពីពេលនោះមក​ ហើយអ្នកវាយប្រហារ កំពុងបន្តទាញយកភាពងាយរងគ្រោះដើម្បីបំពានលើប្រព័ន្ធគោលដៅតាមរបៀបផ្សេងៗ។

 image

ភាពងាយរងគ្រោះអាយុកាល១៩ឆ្នាំនេះត្រូវក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបញ្ចេញនៅសប្តាហ៍​មុនដោយភាពងាយរងគ្រោះស្ថិតក្នុងបណ្ណាល័យរបស់ WinRAR UNACEV2.DLL ។ ដោយសារតែភាពងាយរងគ្រោះត្រូវគេជួសជុលរួចហើយអ្នកវាយប្រហារសំដៅធ្វើអាជីវកម្ម និងសម្រុះសម្រួលដល់ប្រព័ន្ធងាយរងគ្រោះដែលមិនទាន់ជួសជុល .JNEC.a Rloadware។ មេរោគ  payload ត្រូវរក្សាទុកនៅក្នុង RAR  ហើយឯកសារនឹងត្រូវបំបែកដោយ ជនរង​គ្រោះ​វាបើករូបថតស្ត្រីខូចៗ និងមិនពេញលេញជារូបភាព។

image

ទន្ទឹមនឹងនេះ​ដែរ នៅផ្ទៃខាងក្រោយ មេរោគ JNEC.a ធ្លាក់ចូលទៅក្នុងប្រព័ន្ធរបស់ជនរងគ្រោះ​និងចាប់ផ្តើមដំណើរការ​ដើម្បីអ៊ិន​គ្រីប​ឯកសារ និងចាក់សោប្រព័ន្ធ។  មេរោគ Authors ជ្រើសវិធីសាស្ត្របញ្ជូនកូនសោអ៊ិនគ្រីប​មិនធម្មតាដោយមានផ្តល់លេខសម្គាល់ Gmail ដែលជនរងគ្រោះប្រើដើម្បីស្នើសុំ។ កូនសោអ៊ីនគ្រីប។ ក្រុមអ្នកស្រាវជ្រាវមកពីមជ្ឈមណ្ឌលស៊ើបអង្កេតការគំរាមកំហែង 360 រកឃើញគំរូមេរោគ JNEC.a នេះជាមួយនឹងឈ្មោះឯកសារ (vk_4221345.rar) ហើយ​បញ្ជាក់​ថាមេរោគចម្លងដោយ #WinRAR exploit (# CVE-2018-20250) ។នៅពេលដែលប្រព័ន្ធ​ទាញ​យកដោយជោគជ័យហើយការអ៊ិនគ្រីបចាប់ផ្តើមចាក់សោឯកសារនិងបង្ហាញកំណត់ត្រាប្រាក់លោះដើម្បីទាញយកកូដឌីគ្រីបឡើងវិញ។ កំណត់សំគាល់របស់ប័ណ្ណសារ​ក៏មានព័ត៌មាន​លម្អិត​អំពីចំនួនឯកសារដែលអ៊ីនគ្រិបក្នុងប្រព័ន្ធ និងតម្រូវការលោះ  ដែលត្រូវការបង់តាម bitcoin ។

​ក្នុងករណីនេះជនរងគ្រោះត្រូវបង្កើតប្រអប់សំបុត្រជាក់លាក់មួយ​សម្រាប់​លេខ​សម្គាល់ Gmail ដែលផ្តល់ឱ្យដើម្បីទទួលបានកូនសោអ៊ីនគ្រីប។ អ្នកវាយប្រហារអះអាងថា​ពួកគេនឹងទៅដល់ជនរងគ្រោះនៅពេលដែលជនរងគ្រោះធ្វើការទូទាត់ដោយជោគជ័យទៅនឹងអាសយដ្ឋាន bitcoin ដែលរៀបរាប់ក្នុងកំណត់សំគាល់នោះ។ អ្នកវាយប្រហារទាមទារឱ្យមាន ចំនួន 0.05 BTC (១៩៨ ដុល្លារ) ពីជនរងគ្រោះម្នាក់ដែលឆ្លងវីរុសទាំងអស់នេះដោយ JNEC ។ Rawware និងអ្នកវាយប្រហារនឹងទាក់ទងជនរងគ្រោះនៅពេលពួកគេទទួលបានការទូទាត់។ គំរូនេះត្រូវបានសាកល្បងក្នុង VirusTotal ដែលម៉ាស៊ីន 28 រកឃើញឯកសារនេះថាជាការ​គំរាមកំហែង​ដ៏គ្រោះថ្នាក់ដោយប្រើឈ្មោះផ្សេងៗ។ អ្នកស្រាវជ្រាវសន្តិសុខលោក Michael Gillespie វិភាគគំរូនេះហើយបញ្ជាក់ថា​ ដោយសារតែកំហុសដែលកើតមានក្នុង មេរោគនេះ គ្មាននរណាម្នាក់អាចឌីគ្រីបឯកសារសូម្បីតែអ្នកអភិវឌ្ឍន៍មេរោគទាំងអស់។ អ្នកប្រើ WinRAR ទាំងអស់ត្រូវគេណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពកំណែបច្ចុប្បន្ន​WinRAR 5.70 ដើម្បីជៀសវាងការ វាយប្រហារបែបនេះ និងជៀសវាងការបើកឯកសារដែលមិនស្គាល់៕

Tags: