FBI ចេញការព្រមានដល់ឧស្សាហកម្មឯកជនឱ្យផ្តល់ព័ត៌មាន និងផ្តល់ការណែនាំអំពីមេរោគ LockerGoga និងMegaCortex។ ទាំង LockerGoga និងMegaCortex ជាមេរោគដែលកំណត់គោលដៅលើសហគ្រាស ដោយមេរោគនោះធ្វើការសម្របសម្រួលលើបណ្ដាញហើយបន្ទាប់មកព្យាយាមអ៊ិនគ្រីបឧបករណ៍ទាំងអស់។ ក្នុងកម្មវិធី FBI Flash Alert ដែលគេស្គាល់ថា TLP: Amber នោះ ធ្វើឱ្យអង្គភាព FBI ព្រមានដល់ឧស្សាហកម្មឯកជនទាក់ទងនឹងការឆ្លងមេរោគទាំងពីរ និងរបៀបដែលមេរោគទាំងនោះវាយប្រហារលើបណ្តាញ។
យោងតាមការដាស់តឿន តួអង្គដែលនៅពីក្រោយ LockerGoga និង MegaCortex នឹងទទួលទីតាំងឈរជើងនៅលើបណ្តាញសាជីវកម្មដោយប្រើការកេងប្រវ័ញ្ច ធ្វើការវាយប្រហារ ធ្វើការលួចបន្លំ ធ្វើការបញ្ចូល SQL និងអត្តសញ្ញាណប័ណ្ណចូល។ នៅពេលដែលបណ្តាញរងការសម្របសម្រួល តួអង្គគំរាមកំហែងនឹងដំឡើងលើឧបករណ៍សាកល្បងតាមរយៈការជ្រៀតចូលដែលមានឈ្មោះថា Cobalt Strike។ ឧបករណ៍នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដាក់ពង្រាយ beacons នៅលើឧបករណ៍ ដែលធ្វើការសម្របសម្រួលដើម្បីបង្កើតប្រតិបត្តិស្គ្រីប PowerShell អនុវត្តសិទ្ធិ ឬបង្កើតវគ្គថ្មីដើម្បីបង្កើតអ្នកស្តាប់លើប្រព័ន្ធរបស់ជនរងគ្រោះ។ នៅពេលដែលបណ្តាញរងការសម្របសម្រួលភ្នាក់ងារនឹងមានទីតាំងនៅលើបណ្តាញអស់រយៈពេលជាច្រើនខែមុនពេលពួកគេដាក់ពង្រាយមេរោគ LockerGoga ឬ MegaCortex ។
ខណៈដែល FBI មិនបកស្រាយពីអ្វីដែលអ្នកវាយប្រហារទាំងនេះកំពុងធ្វើនៅក្នុងអំឡុងពេលនេះ ភ្នាក់ងារមេរោគប្រហែលជាកំពុងបំពេញបន្ថែមទិន្នន័យដាក់ពង្រាយមុខងារលួចព័ត៌មាន និងលួចប្រព័ន្ធការងារ(workstations) និងម៉ាស៊ីនបម្រើផ្សេងទៀត។ នៅពេលដែលបណ្តាញត្រូវគេប្រមូល អ្នកវាយប្រហារនឹងដាក់ពង្រាយមេរោគ LockerGoga ឬ MegaCortex ដូច្នេះពួកគេអាចចាប់ផ្តើមអ៊ិនគ្រីបឧបករណ៍នៅលើបណ្តាញ។ កត្តានេះនឹងបង្កើតប្រភពចំណូលចុងក្រោយសម្រាប់អ្នកវាយប្រហារ។ ក្នុងអំឡុងពេលនៃការពង្រាយមេរោគ FBI បញ្ជាកថា ភ្នាក់ងារនឹងប្រតិបត្តិកញ្ចប់ឯកសារ kill.bat ឬ stop.bat ដែលវានឹងបញ្ចប់ដំណើរការ និងសេវាកម្មទាក់ទងនឹងកម្មវិធីសន្តិសុខ បិទមុខងារស្កេនវីនដូ និងបិទសេវាកម្មដែលទាក់ទងនឹងសុវត្ថិភាព។ ការឆ្លងមេរោគទាំងពីរនេះប្រើក្បួនដោះស្រាយតាមរយៈការអ៊ិនគ្រីបដែលមានសុវត្ថិភាពដោយមានន័យថាមិនអាចឌិគ្រីបពួកគេដោយឥតគិតថ្លៃទេ។
ការណែនាំរបស់ FBI
FBI ផ្តល់ការណែនាំ និងផ្តល់យោបល់ថា ម្ចាស់អាជីវកម្មគួរតែកាត់បន្ថយហានិភ័យរបស់ពួកគេចំពោះមេរោគ LockerGoga និង MegaCortex ។ អនុសាស្ត្រដ៏សំខាន់បំផុតដែល FBI ផ្តល់ឱ្យអាយគឺដើម្បីធ្វើឱ្យប្រាកដថា អ្នកបម្រុងរក្សាទុកទិន្នន័យជាទៀងទាត់ រក្សាការបម្រុងទុកនៅក្រៅបណ្តាញ និងផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃដំណើរការបម្រុងទុក ។ អ្នកកត្រូវតែឧស្សាហ៍ស្តារទិន្នន័យរបស់អ្នក។
សំណើរផ្សេងទៀត៖
– ត្រូវប្រាកដថា កម្មវិធី និងប្រព័ន្ធប្រតិបត្តិការដែលដំឡើងមានការអាប់ដេត។ ប្រការនេះជួយការពារភាពងាយរងគ្រោះពីការកេងប្រវ័ញ្ចពីអ្នកវាយប្រហារ។
-បើកដំណើរការការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដោយប្រើមធ្យោបាយពីរកត្តា និងប្រើពាក្យសម្ងាត់រឹងមាំដើម្បីរារាំងការវាយប្រហារ ការលួចបន្លំអត្តសញ្ញាណសម្គាល់លួចឬការចូលផ្សេងទៀត។
-ការចូលដំណើរការទៅលើម៉ាស៊ីនមេពីចម្ងាយ និងការបង្ហាញជាសាធារណៈគឺជាមធ្យោបាយទូទៅសម្រាប់អ្នកវាយប្រហារដើម្បីទទួលបណ្តាញ ហើយរាល់អាជីវកម្មគួរតែធ្វើសវនកម្មកំណត់ហេតុសម្រាប់ពិធីការតភ្ជាប់ពីចម្ងាយ។
-ធ្វើសវនកម្មលើការបង្កើតគណនីថ្មី
-ស្កេនរកច្រកបើក ឬស្តាប់នៅលើបណ្តាញហើយបិទពួកគេពីការចូលដំណើរការ
-បិទ SMBv១ ព្រោះថា ភាពងាយរងគ្រោះ និងចំនុចខ្សោយជាច្រើនមាននៅក្នុងពិធីសារ
– ត្រួតពិនិត្យការផ្លាស់ប្តូរបញ្ជីឈ្មោះ និងក្រុមអ្នកគ្រប់គ្រងសម្រាប់អង្គភាពដែលគ្មានការអនុញ្ញាត
-ត្រូវប្រាកដថា អ្នកកំពុងប្រើ PowerShell ដែលទាន់សម័យ និងលុបចោលនូវជំនាន់ចាស់
-បើកដំណើរការចូល PowerShell និងត្រួតពិនិត្យពាក្យបញ្ជាមិនធម្មតាជាពិសេសលើការប្រតិបត្តិនៃអ៊ីនធឺរណិតដែលគេអ៊ិនគ្រីប Base64 PowerShell
