អនុសាសន៍ណែនាំសម្រាប់មេរោគ ‘Bad Rabbit Ransomware’

ប្រវតិ្តនៃមេរោគ

មេរោគចាប់ជំរិតប្រភេទថ្មីមួយដែលត្រូវបានគេស្គាល់ឈ្មោះថា Bad Rabbit ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានមកពី ក្រុមហ៊ុន Kaspersky Lab និង ESET កាលពីថ្ងៃទី២៤ ខែតុលា ឆ្នាំ២០១៧។ វាត្រូវបានគេរាយការណ៍មកថា បានវាយប្រហារទៅលើបណ្តាញក្រុមហ៊ុនធំៗនៅក្នុងប្រទេេសអ៊ុយក្រែន និងរុស្សី និងទំនងជារីករាលដាលទៅដល់ប្រទេសដទៃទៀត។ មេរោគនេះមានទម្រង់ប្រហាក់ប្រហែលទៅនឹងមេរោគចាប់ជំរិត NotPetya ដែលបានធ្វើឲ្យខូចខាតយ៉ាងធ្្ងន់ធ្ងរកាលពីខែមិថុនា ២០១៧ កន្លងទៅនេះ ។

មេរោគនេះវាមិនបានធ្វើការវាយលុកចូលទៅលើចំនុចខ្សោយណាមួយឡើយ ប៉ុន្តែវាពឹងផ្នែកទៅលើការចុចពីអ្នកប្រើប្រាស់។ វាបោកបញ្ជោតឲ្យជនរងគ្រោះធ្វើការទាញយក​ (downlaod) នូវ Fake Adobe Flash Installer នៅពេលដែលអ្នកប្រើប្រាស់បើកទៅកាន់វេបសាយ (ដែលមានបញ្ហា)។ នៅពេលដែលឆ្លងចូលទៅក្នុងកុំព្យូទ័រហើយនោះ វានឹងរីករាលដាលខ្លួនវា នៅក្នុងបណ្តាញរបស់អង្គភាពតាមរយៈ​ Windows File Sharing protocol និងឆ្លងទៅកាន់ម៉ាស៊ីនផ្សេងៗទៀតនៅក្នុងបណ្តាញ។

វេបសាយដែលត្រូវបានស្គាល់ថាមានបង្កប់មេរោគ

ខាងក្រោមនេះគឺជាវេបសាយដែលត្រូវបានគេស្គាល់ក្នុងពេលនេះ ដែលធ្វើការចែកចាយមេរោគ Bad Rabbit:

• argumentiru[.]com
• www.fontanka[.]ru
• grupovo[.]bg
• www.sinematurk[.]com
• www.aica[.]co
• spbvoditel[.]ru
• argumenti[.]ru
• www.mediaport[.]ua
• blog.fontanka[.]ru
• an-crimea[.]ru
• www.t.ks[.]ua
• most-dnepr[.]info
• osvitaporta[.]com
• www.otbrana[.]com
• calendar.fontanka[.]ru
• www.grupovo[.]bg
• www.pensionhotel[.]cz
• www.online812[.]ru
• www.imer[.]ro
• novayagazeta.spb[.]ru
• i24[.]com
• bg.pensionhotel[.]com
• ankerch-crimea[.]ru

ផលប៉ៈពាល់

Bad Rabbit គឺដូចគ្នាទៅនឹងមេរោគចាប់ជំរិតដទៃទៀតដែរ ដែលវានឹងធ្វើកូដនីយកម្ម (encrypt) ទៅលើឯកសាររបស់អ្នក ដែលជាហេតុធ្វើឲ្យអ្នកមិនអាចបើកបានឡើយ ដែលមានដូចជាឯកសារ Word, Video, Images, Audio, ល។ ឧក្រិដ្ឋជន ទាមទារឲ្យជនរងគ្រោះបង់ប្រាក់ចំនួន 0.05 bitcoin  (ដែលមានតម្លៃប្រហែល ២៨៥ដុល្លាក្នុងអត្រាបច្ចុប្បន្ន) ដើម្បីអាចធ្វើការ​ decrypt ឯកសាររបស់អ្នកមកវិញបាន។

អនុសាសន៍ណែនាំ

CamCERT​ សូមធ្វើការណែនាំនូវចំនុចមួយចំនួនដូចខាងក្រោម ដើម្បីការពារខ្លួនអ្នកៈ

– ចូលកុំចូលទៅកាន់វេបសាយមានបញ្ហា ដែលមានរៀបរាប់ខាងលើ
– សូមកុំចុចទៅលើតំណរភ្ជាប់ (link) ណាដែលមានការសង្ស័យ ដែលអាចនាំអ្នកទៅកាន់វេបសាយដែលមានបញ្ហា
– កុំធ្វើការទាញយក​ (download) នូវកម្មវិធីចេញពីក្នុងវេបសាយមិនដែលស្គាល់ ឬមិនផ្លូវការដែលវាអាចមានមេរោគភ្ជាប់មកជាមួយ

តើត្រូវធ្វើដូចម្តេចបើសិនជាអ្នកឆ្លងមេរោគនោះ?

អ្នកអាចចូលទៅកាន់វេបសាយខាងក្រោមដើម្បីទាញយកកម្មវិធីសម្រាប់ព្យាបាល https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware

– សម្រាប់យុទ្ធវិធីការពារ និងទប់ស្កាត់

ចូរមានការប្រុងប្រយ័ត្នជាមួយ​នឹងមេរោគចាប់ជំរិត (Ransomware)

មេរោគកុំព្យូទ័រដែលធ្វើការគំរាមលប់ចោលនូវឯកសារ របស់អ្នក លុះត្រាតែអ្នកបង់ប្រាក់លោះ (ransom) គឺត្រូវបានគេស្គាល់ជាទូទៅថា ransomware ។ អ្នកជំនាញផ្នែកសន្តិសុខ ITជាច្រើនបានធ្វើ ការព្រមាន អំពីការរីករាលដាលយ៉ាងលឿននៃមេរោគកុំព្យូទ័រប្រភេទនេះ។
ដូចគ្នាទៅនឹងកុំព្យូទ័រមេរោគផ្សេងៗដែរ ជាទូទៅវាឆ្លងចូលទៅក្នុងកុំព្យូទ័រ ឬឧបករណ៍ចល័តរបស់អ្នកដោយវាយប្រហារទៅលើចំនុចខ្សោយ ដែលមាននៅក្នុងសូហ្វវែរ ឬដោយបញ្ជោតនរណាម្នាក់ឲ្យបញ្ចូលកម្មវិធីណាមួយ។ បើតាមរបាយការណ៍របស់រដ្ឋាភិបាលអូស្ត្រាលីបានឲ្យដឹងថា មានក្រុមហ៊ុនប្រមាណជា ៧២ភាគរយ ជួបប្រទៈនូវបញ្ហានេះក្នុងឆ្នាំ២០១៥ កន្លងទៅនេះ ដែលកើនឡើងពី ១៧ភាគរយក្នុងឆ្នាំ២០១៣ ។ វាក៍ជាការគំរាមគំហែងមួយដ៏ធំផងដែរ សម្រាប់ឧបករណ៍ចល័ត (mobile devices) ដោយសារតែមេរោគប្រភេទនេះ អាចធ្វើការលាក់ខ្លួននៅក្នុងកម្មវិធីនានា (apps) ។ ដើម្បីជៀសវាងបញ្ហានេះ អ្នកប្រើប្រាស់គួរតែមានការប្រុងប្រយ័ត្ន ខ្ពស់ក្នុងការបញ្ចូលកម្មវិធី ហើយកម្មវិធីនោះមកពីប្រភពណា ។

តើមេរោគដំណើរការយ៉ាងដូចម្តេច?

ជាទូទៅមេរោគប្រភេទនេះ វាទាមទារឲ្យមានការបង់ប្រាក់ក្នុងទម្រង់ជា BitCoins ។ អ្នកប្រើប្រាស់អាចឆ្លងមេរោគនេះតាមរយៈ phishing email, spam ឬក៍សូហ្វវែរក្លែងបន្លំ ឬក៍អ្នកប្រើប្រាស់ចុចទៅលើតំណរភ្ជាប់ (link) ឬបើកឯកសារ attachment ។ បន្ទាប់ពីឆ្លង មេរោគនេះនឹងធ្វើកូដនីយកម្ម (encryption) ទៅលើរាល់ឯកសាររបស់អ្នកប្រើប្រាស់ទាំងអស់ ដែលវាទាមទារឲ្យអ្នកធ្វើការបង់ប្រាក់លោះ ជា BitCoins (ដោយសារតែវាមានការលំបាក ក្នុងការតាមដានរកប្រភពដើម) ហើយជាទូទៅមានតម្លៃប្រមាណជា ៥០០ដុល្លាអាមេរិក ។

តើអ្នកប្រើប្រាស់ត្រូវធ្វើដូចម្តេច?

វិធីសាស្ត្រតែមួយគត់ក្នុងការទទួលយកឯកសាររបស់អ្នកមកវិញបានដោយមិនចាំបាច់បង់ប្រាក់នោះគឺ យកឯកសារដែលយើងបានចំលងទុកពីមុន (back-up) ។ អ្នកអាចប្រឈមមុខនឹងហានិភ័យក្នុងការបង់ប្រាក់ឲ្យឧក្រិដ្ឋជនទាំងនោះ ដោយអ្នកមិនអាចសង្គ្រោះឯកសារអ្នកបានឡើយ ហើយអ្នកមិនអាចដឹងទេថា ពេលណា ដែលពួកឧក្រិដ្ឋជនទាំងនោះមកម្តងទៀត ។ វិធីសាស្ត្រតែមួយគត់គឺការចំលងទុកឯកសារ (back-up) ឲ្យបានទៀងទាត់។

– សម្រាប់អ្នកដែលចេះបច្ចេកទេស សូមធ្វើតាមចំនុចដូចខាងក្រោមៈ

• ធ្វើការ Block​ មិនឲ្យដំណើរការនូវ files c:\windows\infpub.dat​ និង c:\Windows\cscc.dat.
• ធ្វើការបិទមុខងារ WMI service ដើម្បីការពារមេរោគនេះមិនឲ្យធ្វើការរីករាលដាលទៅក្នុងបណ្តាញ
• ដើម្បីការពារខ្លួនអ្នកបានល្អ សូមចូលទៅកាន់វេបសាយhttps://www.nomoreransom.org/en/index.html