Lotus Wiper

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណមេរោគលុបទិន្នន័យដែលគ្មានឯកសារពីមុន ដែលឥឡូវនេះត្រូវបានគេស្គាល់ថាជា Lotus Wiper ដែលត្រូវបានដាក់ពង្រាយក្នុងការវាយប្រហារគោលដៅប្រឆាំងនឹងវិស័យថាមពល និងសេវាប្រើប្រាស់របស់ប្រទេសវេណេស៊ុយអេឡារវាងចុងឆ្នាំ 2025 និងដើមឆ្នាំ 2026។ មេរោគនេះត្រូវបានរចនាឡើងសម្រាប់ការបំផ្លាញអតិបរមា ដែលធ្វើឱ្យប្រព័ន្ធដែលឆ្លងមេរោគមិនអាចដំណើរការបានទាំងស្រុង។

ការអនុវត្តការវាយប្រហារសម្របសម្រួល៖ ការដាក់ពង្រាយច្រើនដំណាក់កាល

ការវាយប្រហារនេះពឹងផ្អែកលើស្គ្រីបបាច់ពីរដែលរៀបចំប្រតិបត្តិការដែលបានរៀបចំយ៉ាងប្រុងប្រយ័ត្ន។ ស្គ្រីបទាំងនេះធ្វើសមកាលកម្មសកម្មភាពនៅទូទាំងបណ្តាញ ធ្វើឱ្យការការពារប្រព័ន្ធចុះខ្សោយ និងរំខានដល់ប្រតិបត្តិការធម្មតាមុនពេលចាប់ផ្តើមបន្ទុកចុងក្រោយ។ តួនាទីរបស់ពួកគេរួមមានការទាញយក ការបំបាត់ភាពមិនច្បាស់លាស់ និងការប្រតិបត្តិសមាសធាតុជូតសម្អាត ដែលធានាបាននូវការផ្លាស់ប្តូរយ៉ាងរលូនទៅក្នុងដំណាក់កាលបំផ្លិចបំផ្លាញ។

ការបំផ្លាញជាប្រព័ន្ធ៖ របៀបដែល Lotus Wiper ដំណើរការ

នៅពេលដែលបានធ្វើឱ្យសកម្ម Lotus Wiper នឹងអនុវត្តដំណើរការលុបបំបាត់ទិន្នន័យដ៏ទូលំទូលាយមួយដែលលុបបំបាត់ទាំងមុខងារប្រព័ន្ធ និងជម្រើសសង្គ្រោះ។ សមត្ថភាពបំផ្លិចបំផ្លាញរបស់វារួមមាន៖

• ការដកយកយន្តការស្តារឡើងវិញ រួមទាំងចំណុចស្តារឡើងវិញ
• ការសរសេរជាន់លើផ្នែកដ្រាយវ៍រូបវន្តជាមួយទិន្នន័យដែលសូន្យ
• ការលុបឯកសារនៅទូទាំងភាគថាសដែលបានម៉ោនទាំងអស់
• ការសម្អាតលេខលំដាប់អាប់ដេត (USN) នៅក្នុងទិនានុប្បវត្តិបរិមាណ

សកម្មភាពទាំងនេះធានារួមគ្នាថា ប្រព័ន្ធដែលរងផលប៉ះពាល់មិនអាចត្រូវបានស្តារ ឬសាងសង់ឡើងវិញតាមរយៈមធ្យោបាយធម្មតាបានទេ។

សូចនាករនៃចេតនា៖ មិនមានការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុទេ

មិនដូច ransomware ទេ Lotus Wiper មិនមានសារជំរិតទារប្រាក់ ឬការណែនាំអំពីការទូទាត់ទេ។ អវត្តមាននេះបង្ហាញយ៉ាងច្បាស់ថាយុទ្ធនាការនេះមិនត្រូវបានជំរុញដោយគោលបំណងហិរញ្ញវត្ថុទេ ប៉ុន្តែផ្ទុយទៅវិញដោយការបំផ្លិចបំផ្លាញ ឬហេតុផលភូមិសាស្ត្រនយោបាយ។ ជាពិសេស គំរូមេរោគត្រូវបានផ្ទុកឡើងជាសាធារណៈនៅពាក់កណ្តាលខែធ្នូ ឆ្នាំ 2025 ពីប្រព័ន្ធវេណេស៊ុយអេឡា មិនយូរប៉ុន្មានមុនពេលសកម្មភាពយោធាអាមេរិកនៅក្នុងខែមករា ឆ្នាំ 2026។ ទោះបីជាមិនមានការបញ្ជាក់តំណភ្ជាប់ដោយផ្ទាល់ក៏ដោយ ពេលវេលានេះស្របគ្នានឹងរបាយការណ៍កើនឡើងនៃសកម្មភាពតាមអ៊ីនធឺណិតដែលកំណត់គោលដៅលើវិស័យដូចគ្នា ដែលបង្ហាញពីប្រតិបត្តិការដែលផ្តោតអារម្មណ៍ខ្ពស់។

ការកំណត់គោលដៅប្រព័ន្ធចាស់៖ ការកេងប្រវ័ញ្ចបរិស្ថានហួសសម័យ

ខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមជាមួយនឹងស្គ្រីបបាច់ដែលចាប់ផ្តើមដំណើរការពហុដំណាក់កាល។ សកម្មភាពដំបូងមួយរបស់វាគឺការព្យាយាមបិទសេវាកម្ម Windows Interactive Services Detection (UI0Detect)។ សេវាកម្មនេះ ដែលត្រូវបានដកចេញនៅក្នុងកំណែ Windows ទំនើបៗបន្ទាប់ពី Windows 10 កំណែ 1803 បង្ហាញថាមេរោគនេះត្រូវបានរចនាឡើងជាពិសេសដើម្បីកំណត់គោលដៅប្រព័ន្ធប្រតិបត្តិការចាស់ៗ។

ស្គ្រីបក៏ពិនិត្យមើលវត្តមាននៃការចែករំលែក NETLOGON ហើយទាញយកឯកសារ XML ពីចម្ងាយផងដែរ។ វាប្រៀបធៀបឯកសារនេះជាមួយនឹងកំណែដែលរក្សាទុកក្នុងមូលដ្ឋាននៅក្នុងថតដូចជា C:\lotus ឬ %SystemDrive%\lotus។ ឥរិយាបថនេះទំនងជាកំណត់ថាតើប្រព័ន្ធនេះជាផ្នែកមួយនៃដែន Active Directory ដែរឬទេ។ ប្រសិនបើឯកសារពីចម្ងាយមិនអាចប្រើបាន ស្គ្រីបនឹងបញ្ចប់។ បើមិនដូច្នោះទេ វាបន្តបន្ទាប់ពីការពន្យារពេលចៃដន្យរហូតដល់ 20 នាទីដើម្បីសាកល្បងការតភ្ជាប់ឡើងវិញ។

ការរៀបចំបរិស្ថាន៖ ការបិទ និងការរំខានដល់ប្រព័ន្ធ

ស្គ្រីប​បាច់​ទីពីរ​រៀបចំ​ប្រព័ន្ធ​ដែល​រង​ការ​វាយប្រហារ​សម្រាប់​ការ​បំផ្លាញ​ដោយ​ធ្វើ​ឱ្យ​ស្ថានភាព​ប្រតិបត្តិការ​របស់​វា​ចុះខ្សោយ​ជា​ប្រព័ន្ធ។ សកម្មភាព​របស់​វា​រួមមាន៖

• ការរាប់បញ្ចូលគណនីអ្នកប្រើប្រាស់ក្នុងស្រុក និងការបិទព័ត៌មានសម្ងាត់ដែលបានរក្សាទុក
• កំពុង​បិទ​វគ្គ​អ្នកប្រើប្រាស់​សកម្ម
• ការបិទចំណុចប្រទាក់បណ្តាញ
• ការប្រតិបត្តិពាក្យបញ្ជា diskpart clean all ដើម្បីលុបដ្រាយឡូជីខល

លើសពីនេះ វាប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ Windows ដើមដូចជា robocopy ដើម្បីសរសេរជាន់លើ ឬលុបឯកសារ និង fsutil ដើម្បីបង្កើតឯកសារធំៗដែលប្រើប្រាស់ទំហំផ្ទុកថាសដែលមានទាំងអស់ ដែលរារាំងដល់ការខិតខំប្រឹងប្រែងសង្គ្រោះប្រកបដោយប្រសិទ្ធភាព។

ការអនុវត្តបន្ទុកចុងក្រោយ៖ ការខូចខាតដែលមិនអាចត្រឡប់វិញបាន

បន្ទាប់ពីការរៀបចំរួច បន្ទុក Lotus Wiper ត្រូវបានដាក់ពង្រាយ។ វាបញ្ចប់ដំណើរការបំផ្លាញដោយការលុបចំណុចស្តារឡើងវិញ សរសេរជាន់លើផ្នែករូបវន្ត សម្អាតកំណត់ត្រាទិនានុប្បវត្តិ និងការលុបឯកសារប្រព័ន្ធទាំងអស់នៅទូទាំងភាគដែលបានម៉ោន។ នៅដំណាក់កាលនេះ ការសង្គ្រោះក្លាយជាមិនអាចទៅរួចទេបើគ្មានការបម្រុងទុកខាងក្រៅ។

អនុសាសន៍ការពារ៖ ការត្រួតពិនិត្យ និងការកាត់បន្ថយ

អង្គការនានា ជាពិសេសអង្គការនានាក្នុងវិស័យហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ គួរតែអនុម័តយុទ្ធសាស្ត្រត្រួតពិនិត្យ និងរកឃើញជាមុន។ វិស័យសំខាន់ៗដែលត្រូវផ្តោតរួមមាន៖

ការត្រួតពិនិត្យការផ្លាស់ប្តូរនៅក្នុងភាគហ៊ុន NETLOGON
ការរកឃើញការបោះចោលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ ឬការប៉ុនប៉ងបង្កើនសិទ្ធិ
តាមដានការប្រើប្រាស់ឧបករណ៍ដើមមិនធម្មតាដូចជា fsutil, robocopy និង diskpart

ការយល់ដឹងជាយុទ្ធសាស្ត្រ៖ ភស្តុតាងនៃការសម្របសម្រួលពីមុន

វត្តមាននៃមុខងារដែលត្រូវបានរចនាឡើងសម្រាប់បរិស្ថាន Windows ដែលហួសសម័យបង្ហាញពីការឈ្លបយកការណ៍ជាមុន និងការចូលប្រើរយៈពេលវែង។ អ្នកវាយប្រហារទំនងជាមានចំណេះដឹងលម្អិតអំពីហេដ្ឋារចនាសម្ព័ន្ធគោលដៅ ហើយប្រហែលជាបានធ្វើឱ្យខូចបរិស្ថានដូមេនយូរមុនពេលចាប់ផ្តើមដំណាក់កាលបំផ្លិចបំផ្លាញ។