ស្វែងយល់អំពីមេរោគចាប់ជំរិត វិធីសាស្ត្រការពារ និងយន្តការសង្រ្គោះ

January 18, 2019

១.ព័ត៌មានទូទៅ
មេរោគចាប់ជំរិតគឺជាប្រភេទមួយនៃការគំរាមគំហែងតាមប្រព័ន្ធអ៊ិនធឺណិតដែលមានគ្រោះថ្នាក់ខ្លាំងចំពោះអាជីវកម្ម និងបុគ្គលម្នាក់ៗ។ សេចក្តីណែនាំនេះនឹងផ្តល់នូវចំណេះដឹងបន្ថែមទៀតស្តីអំពីមេរោគចាប់ជំរិត និងយន្តការសម្រាប់អង្គភាព អាជីវកម្ម និងអ្នកប្រើប្រាស់បច្ចេកវិទ្យាក្នុងការទប់ស្កាត់ និងសង្រ្គោះទៅលើបញ្ហានេះ។

២.តើអ្វីទៅជាមេរោគចាប់ជំរិត (ransomware)
មេរោគចាប់ជំរិតគឺជាប្រភេទនៃមេរោគដែលនឹងធ្វើកូដនីយកម្ម (encrypted) ទៅលើឯកសារ (files) នានារបស់ជនរងគ្រោះ ដែលមាននៅក្នុងកុំព្យូទ័រ ឬឧបករណ៍ចល័ត រហូតទាល់តែមានការបង់ប្រាក់ដើម្បីបានឯកសារទាំងនោះមកវិញ (decrypted)។ មានមេរោគចាប់ជំរិតប្រភេទខ្លះអាចមានសមត្ថភាពក្នុងការឆ្លងតាមណេតវើក ហើយធ្វើកូដនីយកម្មទៅលើ ឯកសារទាំងឡាយណាដែលរក្សាទុកនៅក្នុង hard drive សម្រាប់ធ្វើការចែករំលែកផងដែរ។

នៅពេលដែលឯកសារនានាត្រូវបានធ្វើកូដនីយកម្ម ព័ត៌មានស្តីពីការបង់ប្រាក់លោះត្រូវបានបង្ហាញប្រាប់ដល់ជនរងគ្រោះ ហើយនឹងជំហានក្នុងការសង្គ្រោះឯកសារត្រលប់មកវិញ។ ឧក្រិដ្ឋជនក៏នឹងធ្វើការជម្រុញឲ្យអ្នកប្រើប្រាស់ធ្វើការបង់ប្រាក់ ឲ្យបានលឿនផងដែរ បើមិនដូច្នេះទេពួកគេនឹងធ្វើការលប់ចោលនូវកូនសោរដែលប្រើប្រាស់ដើម្បីសង្គ្រោះទិន្នន័យជាមិនខាន។

៣.តើមេរោគចាប់ជំរិតឆ្លងយ៉ាងដូម្តេច?
វិធីសាស្ត្រមួយដែលពេញនិយមបំផុតនោះគឺតាមរយៈ phishing email ដែលមានភ្ជាប់មកជាមួយនឹងនូវមេរោគ ឬក៏បញ្ជប់ (links)។ អ្នកប្រើប្រាស់អាចឆ្លងនូវមេរោគប្រភេទនេះ បើសិនជាពួកគេបើកនូវ attachments ឬចុចទៅលើ links ដែលជាទូទៅគឺធ្វើការដោនឡូតនូវមេរោគ ransomware ពីអ៊ិនធឺណិតរួចដំណើរការតែម្តង។

វិធីសាស្ត្រមួយទៀតគឺការឆ្លងតាមរយៈ ផ្ទាំងផ្សព្វផ្សាយពាណិជ្ជកម្មដែលបង្កប់មេរោគ (malicious ads) ដែលនឹងវាយលុក ចូលទៅក្នុងចំនុចខ្សោយនៃកម្មវិធីសម្រាប់បើកចូលវេបសាយដែលយើងហៅថា browers ដើម្បីតម្លើងមេរោគចាប់ជំរិតនេះ។ វិធីសាស្ត្រនេះត្រូវបានគេស្គាល់ជាទូទៅថាជា drive-by downloads ។ ផ្ទាំងផ្សាយពាណិជ្ជកម្មរបៀបនេះត្រូវបានគេរកឃើញ នៅក្នុងវេបសាយមានប្រភពមិនច្បាស់លាស់ (malicious website) ឬវេបសាយផ្លូវការផងដែរ (legitimate website) ក្នុងករណីដែលសេវាផ្សព្វផ្សាយពាណិជ្ជកម្មត្រូវបានគេហេគចូលគ្រប់គ្រងបានដោយចោរបច្ចេកវិទ្យា។

វិធីសាស្ត្រមួយទៀតដែលអាចឆ្លងដែរនោះគឺការឆ្លងតាមរយៈណេតវើក។ វាអាចទៅរួចគឺដោយការប្រើប្រាស់ចំនុចខ្សោយដែល មាននៅក្នុងសេវាមួយចំនួន ដូចជាករណី Server Message Block (SMB) protocol ដែលត្រូវបានវាយប្រហារដោយមេរោគ ចាប់ជំរិតមួយឈ្មោះថា WannaCry ransomware។

៤.រោគសញ្ញានៃមេរោគចាប់ជំរិត
រោគសញ្ញាចំបងនៃការឆ្លងមេរោគចាប់ជំរិតគឺជនរងគ្រោះមិនអាចធ្វើការអាក់សេសទៅកាន់ឯកសារនានារបស់ខ្លួននៅក្នុងកុំព្យូទ័របាន។ ឯកសារទាំងនោះនឹងត្រូវបានជំនួសដោយការចាក់សោរ ឬកូដនីយកម្ម (encryption) ហើយដែលមាន file extension តំណាងឲ្យមេរោគចាប់ជំរិតនោះ។ ជាមួយគ្នានោះដែរ សាររៀបរាប់អំពីវិធីសាស្ត្រក្នុងការសង្គ្រោះឯកសារមកវិញនឹងត្រូវបង្ហាញ ដល់អ្នកប្រើប្រាស់ជាមួយនឹងទំហំទឹកប្រាក់ដែលត្រូវបង់។

មេរោគចាប់ជំរិតភាគច្រើននឹងដាក់នូវថ្ងៃផុតកំណត់ក្នុងការបង់ប្រាក់។ បើសិនជាអ្នកប្រើប្រាស់មិនបានបង់តាមការកំណត់នោះទេ ទំហំទឹកប្រាក់នឹងកើនឡើង ឬក៏អ្នកមិនអាចធ្វើការសង្គ្រោះឯកសារទាំងអស់មកវិញទាំងម្តង។

៥.ផលវិបាកនៃមេរោគចាប់ជំរិត
មេរោគចាប់ជំរិតគឺមានគោលដៅវាយប្រហារដល់អ្នកប្រើប្រាស់ធម្មតា និងអាជីវកម្ម។ ព័ត៌មានផ្ទាល់ខ្លួន ព័ត៌មានសំងាត់ និងព័ត៌មានអាជីវកម្មនានារបស់អ្នកនឹងត្រូវបាត់បង់បើសិនជាអ្នកមិនមានការធ្វើថតចំលងទុកនោះទេ (back-up)។ ប្រតិបតិ្តការអាជីវកម្មរបស់អ្នកក៏អាចមានការប៉ៈពាល់ផងដែរ បើសិនជាបុគ្គលិករបស់អ្នកមិនមានលទ្ធភាពអាក់សេសទៅកាន់ឯកសារបាន។ បន្ថែមជាមួយគ្នានោះផងដែរ អ្នកនឹងអាចចំណាយថវិការច្រើនក្នុងការស្រោចស្រង់ប្រព័ន្ធឲ្យដំណើរការធម្មតាមកវិញ។

បច្ចុប្បន្ននេះ ការស្រោចស្រង់ទិន្នន័យដែលបានធ្វើកូដនីយកម្មដោយមេរោគចាប់ជំរិតគឺវាមានការលំបាកខ្លាំងណាស់ ដោយសារ ដែលកូនសោរ (decryptor key) គឺជាវិធីសាស្ត្រតែមួយប៉ុណ្ណោះក្នុងការធ្វើវិកូដនីយកម្ម (decrypt)។ កូនសោរនិមួយៗគឺខុសៗ គ្នាទៅតាមប្រភេទនៃមេរោគចាប់ជំរិត ហើយមេរោគចាប់ជំរិតថ្មីៗគឺមិនទាន់មានកូនសោរ (ដែលអាចប្រើប្រាស់បានដោយកម្មវិធី កំចាត់មេរោគ) នៅឡើយទេ។

៦.ការណែនាំ
យន្តការការពារគឺជាកូនសោរមួយដ៏សំខាន់ដើម្បីជៀសវាងមិនឲ្យក្លាយខ្លួនជាជនរងគ្រោះដោយសារមេរោគចាប់ជំរិត។ វាសំខាន់ ណាស់ក្នុងការធ្វើការថតចំលងទុកជាប្រចាំ (back-up) និងមានផែនការសង្គ្រោះសម្រាប់ទិន្នន័យសំខាន់ៗ។

CamCERT សូមធ្វើការណែនាំអ្នកប្រើប្រាស់នូវយន្តការការពារមួយចំនួនប្រឆាំងទៅនឹងមេរោគចាប់ជំរិត៖

ក.ធ្វើការថតចំលងទុកឯកសារជាប្រចាំ (regular backup)
ការមាននូវយន្តការក្នុងការថតចំលងឯកសារទុកជាប្រចាំគឺនឹងជួយយើងកាត់បន្ថយទំហំនៃការខូចខាតដោយសារការវាយប្រហារពីមេរោគចាប់ជំរិត។ ដោយសារតែមេរោគចាប់ជំរិតគឺមានលទ្ធភាពក្នុងការឆ្លងចូលទៅកាន់ឧបករណ៍រក្សាទុកទិន្នន័យនៅក្នុង បណ្តាញ អ្នកត្រូវតែដាក់ឧបករណ៍ទាំងនោះដាក់ដោយឡែកមិនភ្ជាប់ក្នុងណេតវើក ឬអ៊ិនធឺណិត (offline)។

ខ.ធ្វើការអាប់ដេតសូហ្វវែរឲ្យបានទៀងទាត់ (update software regularly)
មេរោគចាប់ជំរិតភាគខ្លះគឺពឹងផ្អែកទៅលើចំនុចខ្សោយនៅក្នុងសូហ្វវែរដើម្បីធ្វើការវាយប្រហារឆ្លងចូលប្រព័ន្ធ។ សូមធ្វើការ អាប់ដេតទៅលើប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីទាំងអស់ដែលអ្នកប្រើប្រាស់ដើម្បីទប់ស្កាត់ការវាយប្រហាររបៀបនេះ។

សូមតម្លើងកម្មវិធីកំចាត់មេរោគហើយអាប់ដេតវាជាប្រចាំ។ ធ្វើការស្កេនកុំព្យូទ័ររបស់អ្នកទាំងមូលយ៉ាងហោចណាស់មួយសប្តាហ៍ ម្តង ហើយធ្វើការស្កេនរាល់ឯកសារទាំងអស់ដែលអ្នកទទួលបានក្នុងអ៊ីម៉ែល និងស្កេនរាល់ USB Drive ដែលភ្ជាប់នៅក្នុងម៉ាស៊ីន របស់អ្នក។

៧.ចំនុចមួយចំនួនផ្សេងទៀតដែលអ្នកគួរពិចារណា
ខាងក្រោមនេះគឺជាយន្តការទប់ស្កាត់មួយចំនួនទៀតដែលអ្នកគួរពិចារណាបន្ថែមទៀតដើម្បីការពារប្រឆាំងនឹងមេរោគចាប់ជំរិត។

ក.បញ្ចូល ad-blocker, script blocker នៅក្នុង web brower
ការបញ្ចូលកូនកម្មវីធីទាំងនេះនឹងអាចអនុញ្ញាតឲ្យអ្នករាំងខ្ទប់នូវដំណើរការនៃ scripts ឬ advertisement នៅក្នុង web browsers បើសិនជាអ្នកមិនចង់បាន ហើយអ្នកអនុញ្ញាតឲ្យតែអ្វីដែលអ្នកទុកចិត្តប៉ុណ្ណោះ។

ខ.កូដនីយកម្មទិន្នន័យសំខាន់ៗ
មេរោគចាប់ជំរិតមួយចំនួនគឺវាយប្រហារតែទៅលើឯកសារណាដែលនិយមប្រើប្រាស់មានដូចជាឯកសារប្រភេទរូបភាព (images) និងឯកសារ words, excel, powerpoint, …។ល។ សូមពិចារណាក្នុងការធ្វើកូដនីយកម្មទៅលើឯកសារសំខាន់ៗ ដែលវានឹងអាចជួយអ្នកពីមេរោគចាប់ជំរិតផងដែរ។

គ.ដំណើរការតែ Microsoft Office Macros តែនៅពេលដែលត្រូវការតែប៉ុណ្ណោះ
វិធីសាស្ត្រវាយលុកមួយរបស់មេរោគចាប់ជំរិតនោះគឺការប្រើប្រាស់មុខងារ macros របស់ Microsoft Office ដើម្បីឆ្លងចូលម៉ាស៊ីន កុំព្យូទ័ររបស់អ្នក។ វាមានទម្រង់ជាឯកសារប្រភេទ Microsoft Office ដែលអាចដំណើរការមុខងារ macros ហើយបន្លំបោក បញ្ជោតឲ្យអ្នកប្រើប្រាស់ចុច enable macros ដើម្បីមើលនូវព័ត៌មាន ឬខ្លឹមសារនៅក្នុងឯកសារនោះ។ អ្នកប្រើប្រាស់ត្រូវតែមាន ការប្រុងប្រយ័ត្នខ្ពស់ ហើយបើកដំណើរការ enable macros តែចំពោះឯកសារណាដែលអ្នកទុកចិត្តតែប៉ុណ្ណោះ។

ឃ.តម្លើងនូវកម្មវិធីសម្រាប់គ្រប់គ្រងកម្មវិធី (Application Control)
អ្នកប្រើប្រាស់គួរតែពិចារណាក្នុងការតម្លើងកម្មវិធីគ្រប់គ្រងទៅលើកម្មវិធី ឬសូហ្វវែរដែលផ្តល់នូវមុខងារ application និង/ឬ directory whitelisting ។ Whitelisting អនុញ្ញាតឲ្យតែកម្មវីធីទាំងឡាយណាដែលមាននៅក្នុងបញ្ជីដំណើរការតែប៉ុណ្ណោះ នៅពេលដែលធ្វើការរាំងខ្ទប់កម្មវិធីដទៃទៀត ហើយវាគឺជាការអនុវត្តមួយដ៏ល្អក្នុងការការពារប្រព័ន្ធកុំព្យូទ័រ។

ង.បិទសេវាណាមិនចាំបាច់ (Unnecessary Services)
មានមេរោគចាប់ជំរិតមួយចំនួនអាចប្រើប្រាស់នូវចំនុចខ្សោយដែលមាននៅក្នុង background services ដើម្បីធ្វើការចំលងខ្លួនវា ទៅក្នុងកុំព្យូទ័រនៅក្នុងណេតវើក។ សេវា Remote Desktop Protocol (RDP) គឺជាឧទាហរណ៍មួយដែលអាចធ្វើការវាយប្រហារ បាន។ សូមពិចារណាក្នុងការបិទមុខងារទាំងនោះបើសិនជាអ្នកមិនប្រើប្រាស់វានោះទេ ដែលវាអាចជួយទប់ស្កាត់មិនឲ្យមេរោគធ្វើ ការជ្រៀតចូលវាយលុកទៅក្នុងសេវាទាំងនោះ។

៨.វិធីសាស្ត្រក្នុងការសង្រ្គោះពីមេរោគចាប់ជំរិត

នៅក្នុងខណៈពេលដែលម៉ាស៊ីនរបស់អ្នកឆ្លងមេរោគចាប់ជំរិត CamCERT សូមធ្វើការណែនាំនូវយន្តការមួយចំនួនដូច ខាងក្រោម៖
១. ធ្វើការផ្តាច់កុំព្យូទ័រដែលឆ្លងមេរោគចាប់ជំរិតចេញពីណេតវើកជាបន្ទាន់ ដែលអាចការពារមិនឲ្យមានការរីករាលដាលនៃ មេរោគនោះនៅក្នុងណេតវើករបស់អ្នក

២. ធ្វើការស្កេនទៅលើម៉ាស៊ីនកុំព្យូទ័រជាមួយនឹងកម្មវិធីកំចាត់មេរោគ ដើម្បីធ្វើការកំចាត់មេរោគចេញពីក្នុងកុំព្យូទ័រ

៣. ចូរទៅកាន់វេបសាយ https://www.nomoreransom.org/ ឬវេបសាយ https://id-ransomware.malwarehunterteam.com/ ដើម្បីស្វែងរកប្រភេទនៃមេរោគចាប់ជំរិតនោះ

៤. ធ្វើការសង្គ្រោះទិន្នន័យពីក្នុង backup ។ បើសិនជាអាចសូមធ្វើវានៅលើម៉ាស៊ីនដែលត្រូវបានតម្លើងប្រព័ន្ធប្រតិបត្តិការថ្មី

៥. សូមរាយការណ៍អំពីបញ្ហានេះទៅកាន់ CamCERT តាមរយៈអ៊ីម៉ែល [email protected] ឬតាមរយៈទូរស័ព្ទលេខ +855 23 722 391 សម្រាប់ជំនួយបន្ថែម។ រាល់ព័ត៌មានទាំងអស់នឹងត្រូវរក្សាការសំងាត់។