ប្រវតិ្តនៃមេរោគ
មេរោគចាប់ជំរិតប្រភេទថ្មីមួយដែលត្រូវបានគេស្គាល់ឈ្មោះថា Bad Rabbit ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានមកពី ក្រុមហ៊ុន Kaspersky Lab និង ESET កាលពីថ្ងៃទី២៤ ខែតុលា ឆ្នាំ២០១៧។ វាត្រូវបានគេរាយការណ៍មកថា បានវាយប្រហារទៅលើបណ្តាញក្រុមហ៊ុនធំៗនៅក្នុងប្រទេេសអ៊ុយក្រែន និងរុស្សី និងទំនងជារីករាលដាលទៅដល់ប្រទេសដទៃទៀត។ មេរោគនេះមានទម្រង់ប្រហាក់ប្រហែលទៅនឹងមេរោគចាប់ជំរិត NotPetya ដែលបានធ្វើឲ្យខូចខាតយ៉ាងធ្្ងន់ធ្ងរកាលពីខែមិថុនា ២០១៧ កន្លងទៅនេះ ។
មេរោគនេះវាមិនបានធ្វើការវាយលុកចូលទៅលើចំនុចខ្សោយណាមួយឡើយ ប៉ុន្តែវាពឹងផ្នែកទៅលើការចុចពីអ្នកប្រើប្រាស់។ វាបោកបញ្ជោតឲ្យជនរងគ្រោះធ្វើការទាញយក (downlaod) នូវ Fake Adobe Flash Installer នៅពេលដែលអ្នកប្រើប្រាស់បើកទៅកាន់វេបសាយ (ដែលមានបញ្ហា)។ នៅពេលដែលឆ្លងចូលទៅក្នុងកុំព្យូទ័រហើយនោះ វានឹងរីករាលដាលខ្លួនវា នៅក្នុងបណ្តាញរបស់អង្គភាពតាមរយៈ Windows File Sharing protocol និងឆ្លងទៅកាន់ម៉ាស៊ីនផ្សេងៗទៀតនៅក្នុងបណ្តាញ។
វេបសាយដែលត្រូវបានស្គាល់ថាមានបង្កប់មេរោគ
ខាងក្រោមនេះគឺជាវេបសាយដែលត្រូវបានគេស្គាល់ក្នុងពេលនេះ ដែលធ្វើការចែកចាយមេរោគ Bad Rabbit:
- argumentiru[.]com
- www.fontanka[.]ru
- grupovo[.]bg
- www.sinematurk[.]com
- www.aica[.]co
- spbvoditel[.]ru
- argumenti[.]ru
- www.mediaport[.]ua
- blog.fontanka[.]ru
- an-crimea[.]ru
- www.t.ks[.]ua
- most-dnepr[.]info
- osvitaporta[.]com
- www.otbrana[.]com
- calendar.fontanka[.]ru
- www.grupovo[.]bg
- www.pensionhotel[.]cz
- www.online812[.]ru
- www.imer[.]ro
- novayagazeta.spb[.]ru
- i24[.]com
- bg.pensionhotel[.]com
- ankerch-crimea[.]ru
ផលប៉ៈពាល់
Bad Rabbit គឺដូចគ្នាទៅនឹងមេរោគចាប់ជំរិតដទៃទៀតដែរ ដែលវានឹងធ្វើកូដនីយកម្ម (encrypt) ទៅលើឯកសាររបស់អ្នក ដែលជាហេតុធ្វើឲ្យអ្នកមិនអាចបើកបានឡើយ ដែលមានដូចជាឯកសារ Word, Video, Images, Audio, ល។ ឧក្រិដ្ឋជន ទាមទារឲ្យជនរងគ្រោះបង់ប្រាក់ចំនួន 0.05 bitcoin (ដែលមានតម្លៃប្រហែល ២៨៥ដុល្លាក្នុងអត្រាបច្ចុប្បន្ន) ដើម្បីអាចធ្វើការ decrypt ឯកសាររបស់អ្នកមកវិញបាន។
អនុសាសន៍ណែនាំ
CamCERT សូមធ្វើការណែនាំនូវចំនុចមួយចំនួនដូចខាងក្រោម ដើម្បីការពារខ្លួនអ្នកៈ
– ចូលកុំចូលទៅកាន់វេបសាយមានបញ្ហា ដែលមានរៀបរាប់ខាងលើ
– សូមកុំចុចទៅលើតំណរភ្ជាប់ (link) ណាដែលមានការសង្ស័យ ដែលអាចនាំអ្នកទៅកាន់វេបសាយដែលមានបញ្ហា
– កុំធ្វើការទាញយក (download) នូវកម្មវិធីចេញពីក្នុងវេបសាយមិនដែលស្គាល់ ឬមិនផ្លូវការដែលវាអាចមានមេរោគភ្ជាប់មកជាមួយ
តើត្រូវធ្វើដូចម្តេចបើសិនជាអ្នកឆ្លងមេរោគនោះ?
អ្នកអាចចូលទៅកាន់វេបសាយខាងក្រោមដើម្បីទាញយកកម្មវិធីសម្រាប់ព្យាបាល https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware
– សម្រាប់យុទ្ធវិធីការពារ និងទប់ស្កាត់
ចូរមានការប្រុងប្រយ័ត្នជាមួយនឹងមេរោគចាប់ជំរិត (Ransomware)
មេរោគកុំព្យូទ័រដែលធ្វើការគំរាមលប់ចោលនូវឯកសារ របស់អ្នក លុះត្រាតែអ្នកបង់ប្រាក់លោះ (ransom) គឺត្រូវបានគេស្គាល់ជាទូទៅថា ransomware ។ អ្នកជំនាញផ្នែកសន្តិសុខ ITជាច្រើនបានធ្វើ ការព្រមាន អំពីការរីករាលដាលយ៉ាងលឿននៃមេរោគកុំព្យូទ័រប្រភេទនេះ។
ដូចគ្នាទៅនឹងកុំព្យូទ័រមេរោគផ្សេងៗដែរ ជាទូទៅវាឆ្លងចូលទៅក្នុងកុំព្យូទ័រ ឬឧបករណ៍ចល័តរបស់អ្នកដោយវាយប្រហារទៅលើចំនុចខ្សោយ ដែលមាននៅក្នុងសូហ្វវែរ ឬដោយបញ្ជោតនរណាម្នាក់ឲ្យបញ្ចូលកម្មវិធីណាមួយ។ បើតាមរបាយការណ៍របស់រដ្ឋាភិបាលអូស្ត្រាលីបានឲ្យដឹងថា មានក្រុមហ៊ុនប្រមាណជា ៧២ភាគរយ ជួបប្រទៈនូវបញ្ហានេះក្នុងឆ្នាំ២០១៥ កន្លងទៅនេះ ដែលកើនឡើងពី ១៧ភាគរយក្នុងឆ្នាំ២០១៣ ។ វាក៍ជាការគំរាមគំហែងមួយដ៏ធំផងដែរ សម្រាប់ឧបករណ៍ចល័ត (mobile devices) ដោយសារតែមេរោគប្រភេទនេះ អាចធ្វើការលាក់ខ្លួននៅក្នុងកម្មវិធីនានា (apps) ។ ដើម្បីជៀសវាងបញ្ហានេះ អ្នកប្រើប្រាស់គួរតែមានការប្រុងប្រយ័ត្ន ខ្ពស់ក្នុងការបញ្ចូលកម្មវិធី ហើយកម្មវិធីនោះមកពីប្រភពណា ។
តើមេរោគដំណើរការយ៉ាងដូចម្តេច?
ជាទូទៅមេរោគប្រភេទនេះ វាទាមទារឲ្យមានការបង់ប្រាក់ក្នុងទម្រង់ជា BitCoins ។ អ្នកប្រើប្រាស់អាចឆ្លងមេរោគនេះតាមរយៈ phishing email, spam ឬក៍សូហ្វវែរក្លែងបន្លំ ឬក៍អ្នកប្រើប្រាស់ចុចទៅលើតំណរភ្ជាប់ (link) ឬបើកឯកសារ attachment ។ បន្ទាប់ពីឆ្លង មេរោគនេះនឹងធ្វើកូដនីយកម្ម (encryption) ទៅលើរាល់ឯកសាររបស់អ្នកប្រើប្រាស់ទាំងអស់ ដែលវាទាមទារឲ្យអ្នកធ្វើការបង់ប្រាក់លោះ ជា BitCoins (ដោយសារតែវាមានការលំបាក ក្នុងការតាមដានរកប្រភពដើម) ហើយជាទូទៅមានតម្លៃប្រមាណជា ៥០០ដុល្លាអាមេរិក ។
តើអ្នកប្រើប្រាស់ត្រូវធ្វើដូចម្តេច?
វិធីសាស្ត្រតែមួយគត់ក្នុងការទទួលយកឯកសាររបស់អ្នកមកវិញបានដោយមិនចាំបាច់បង់ប្រាក់នោះគឺ យកឯកសារដែលយើងបានចំលងទុកពីមុន (back-up) ។ អ្នកអាចប្រឈមមុខនឹងហានិភ័យក្នុងការបង់ប្រាក់ឲ្យឧក្រិដ្ឋជនទាំងនោះ ដោយអ្នកមិនអាចសង្គ្រោះឯកសារអ្នកបានឡើយ ហើយអ្នកមិនអាចដឹងទេថា ពេលណា ដែលពួកឧក្រិដ្ឋជនទាំងនោះមកម្តងទៀត ។ វិធីសាស្ត្រតែមួយគត់គឺការចំលងទុកឯកសារ (back-up) ឲ្យបានទៀងទាត់។
– សម្រាប់អ្នកដែលចេះបច្ចេកទេស សូមធ្វើតាមចំនុចដូចខាងក្រោមៈ
- ធ្វើការ Block មិនឲ្យដំណើរការនូវ files c:\windows\infpub.dat និង c:\Windows\cscc.dat.
- ធ្វើការបិទមុខងារ WMI service ដើម្បីការពារមេរោគនេះមិនឲ្យធ្វើការរីករាលដាលទៅក្នុងបណ្តាញ
- ដើម្បីការពារខ្លួនអ្នកបានល្អ សូមចូលទៅកាន់វេបសាយhttps://www.nomoreransom.org/en/index.html
