Bear Ransomware

ការការពារឧបករណ៍ពីការគំរាមកំហែងដោយមេរោគទំនើបបានក្លាយជារឿងសំខាន់ខ្លាំងណាស់ ខណៈដែលប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតកាន់តែមានភាពជឿនលឿន និងបំផ្លិចបំផ្លាញ។ ក្នុងចំណោមការគំរាមកំហែងទាំងនេះ មេរោគ ransomware នៅតែបន្តបង្កហានិភ័យធ្ងន់ធ្ងរបំផុតមួយ ដែលមានសមត្ថភាពចាក់សោអ្នកប្រើប្រាស់ចេញពីទិន្នន័យផ្ទាល់ខ្លួនរបស់ពួកគេ និងទាមទារការទូទាត់ក្រោមសម្ពាធ។ ការគំរាមកំហែងមួយក្នុងចំណោមការគំរាមកំហែងទាំងនោះគឺ Bear Ransomware ដែលជាវ៉ារ្យ៉ង់ដែលជាប់ទាក់ទងនឹងគ្រួសារ MedusaLocker។

មុខមាត់ថ្មីនៃការគំរាមកំហែងដែលបានបង្កើតឡើង

មេរោគ Bear Ransomware ជាកម្មសិទ្ធិរបស់ត្រកូល MedusaLocker ដ៏ល្បីល្បាញ ដែលជាក្រុមមួយដែលត្រូវបានទទួលស្គាល់ថាមានគោលដៅវាយប្រហារទាំងអ្នកប្រើប្រាស់ម្នាក់ៗ និងបណ្តាញអង្គការ។ នៅពេលដែលត្រូវបានប្រតិបត្តិលើប្រព័ន្ធដែលរងការសម្របសម្រួល មេរោគ ransomware នេះចាប់ផ្តើមអ៊ិនគ្រីបឯកសារដោយប្រើការរួមបញ្ចូលគ្នានៃក្បួនដោះស្រាយអ៊ិនគ្រីបដ៏រឹងមាំ ជាពិសេស RSA និង AES។ ការអ៊ិនគ្រីបស្រទាប់ពីរនេះធ្វើឱ្យការឌិគ្រីបដោយគ្មានការអនុញ្ញាតមានការលំបាកខ្លាំងដោយគ្មានការចូលប្រើកូនសោឯកជនរបស់អ្នកវាយប្រហារ។

បន្ទាប់ពីការអ៊ិនគ្រីបរួច Bear កែប្រែឈ្មោះឯកសារដោយបន្ថែមផ្នែកបន្ថែមដាច់ដោយឡែកដូចជា '.bear26' ទោះបីជាចំនួនអាចប្រែប្រួលរវាងកំណែក៏ដោយ។ ឧទាហរណ៍ ឯកសារដែលមានឈ្មោះថា 'document.pdf' នឹងត្រូវបានបំលែងទៅជា 'document.pdf.bear26' ដែលធ្វើឱ្យវាមិនអាចចូលដំណើរការបានតាមរយៈមធ្យោបាយធម្មតា។ ក្រៅពីការអ៊ិនគ្រីបឯកសារ មេរោគក៏ផ្លាស់ប្តូរផ្ទាំងរូបភាពផ្ទៃតុ និងទម្លាក់កំណត់ចំណាំលោះដែលមានចំណងជើងថា 'READ_NOTE.html' ដើម្បីធានាថាជនរងគ្រោះដឹងភ្លាមៗអំពីការវាយប្រហារ។

នៅខាងក្នុងតម្រូវការលោះ

កំណត់ចំណាំលោះនេះត្រូវបានបង្កើតឡើងដើម្បីបង្កើតភាពបន្ទាន់ និងការភ័យខ្លាច។ វាជូនដំណឹងដល់ជនរងគ្រោះថា មិនត្រឹមតែឯកសាររបស់ពួកគេត្រូវបានអ៊ិនគ្រីបប៉ុណ្ណោះទេ ប៉ុន្តែបណ្តាញរបស់ពួកគេក៏ត្រូវបានរំលោភបំពាន និងទិន្នន័យរសើបត្រូវបានគេលួចផងដែរ។ យោងតាមសារនោះ ព័ត៌មានដែលត្រូវបានគេលួចនេះត្រូវបានរក្សាទុកនៅលើម៉ាស៊ីនមេឯកជន ហើយនឹងត្រូវបានបោះពុម្ពផ្សាយ ឬលក់ ប្រសិនបើប្រាក់លោះមិនត្រូវបានបង់។

ជនរងគ្រោះត្រូវបានណែនាំឱ្យទាក់ទងអ្នកវាយប្រហារតាមរយៈអាសយដ្ឋានអ៊ីមែលជាក់លាក់ ហើយត្រូវបានព្រមានថា ការពន្យារពេលលើសពី 72 ម៉ោងនឹងបណ្តាលឱ្យមានការទាមទារប្រាក់លោះកើនឡើង។ លើសពីនេះ កំណត់ចំណាំនេះមិនលើកទឹកចិត្តដល់ការប្រើប្រាស់ឧបករណ៍សង្គ្រោះភាគីទីបីទេ ដោយអះអាងថាការប៉ុនប៉ងបែបនេះអាចបំផ្លាញឯកសារជាអចិន្ត្រៃយ៍។ វាក៏អះអាងផងដែរថា មិនមានដំណោះស្រាយឌិគ្រីបសាធារណៈទេ ដែលជាយុទ្ធសាស្ត្រដែលត្រូវបានគេប្រើជាទូទៅដើម្បីដាក់សម្ពាធលើជនរងគ្រោះឱ្យអនុវត្តតាម។

បើទោះបីជាមានការអះអាងទាំងនេះក៏ដោយ ក៏ការបង់ប្រាក់លោះនៅតែមិនត្រូវបានណែនាំយ៉ាងខ្លាំង។ មិនមានការធានាថាអ្នកវាយប្រហារនឹងផ្តល់កូនសោឌិគ្រីបដែលដំណើរការ ឬគោរពការសន្យារបស់ពួកគេទាក់ទងនឹងទិន្នន័យដែលត្រូវបានគេលួចនោះទេ។

របៀបដែល Bear Ransomware រីករាលដាល

ដូច​មេរោគ ransomware ជាច្រើន​ដែរ Bear ពឹងផ្អែកលើបច្ចេកទេសចែកចាយជាច្រើនដើម្បីជ្រៀតចូលប្រព័ន្ធ។ វាត្រូវបានបង្កប់ជាញឹកញាប់នៅក្នុងឯកសារដែលហាក់ដូចជាស្របច្បាប់ដូចជាឯកសារដែលអាចប្រតិបត្តិបាន បណ្ណសារដែលបានបង្ហាប់ ស្គ្រីប ឬសូម្បីតែឯកសារដូចជាឯកសារ PDF និងឯកសារ Office។ នៅពេលដែលបើក ឯកសារទាំងនេះអាចបង្កឱ្យមានដំណើរការឆ្លងមេរោគ។

វ៉ិចទ័រឆ្លងមេរោគទូទៅរួមមាន៖

• អ៊ីមែលបន្លំដែលមានឯកសារភ្ជាប់ ឬតំណភ្ជាប់ព្យាបាទ

• ការកេងប្រវ័ញ្ចចំណុចខ្សោយនៃកម្មវិធីដែលមិនទាន់បានជួសជុល

• គេហទំព័រក្លែងក្លាយ ឬគេហទំព័រដែលរងការលួចចូល ដែលផ្តល់ទិន្នន័យមេរោគ

• ការប្រើប្រាស់កម្មវិធីលួចចម្លង កម្មវិធីបង្កើតកូនសោ និងឧបករណ៍ធ្វើឱ្យសកម្មក្រៅផ្លូវការ

• ការផ្សាយពាណិជ្ជកម្មព្យាបាទ និងការទាញយកដោយបើកបរ

• ដ្រាយ USB ដែលឆ្លងមេរោគ និងបណ្តាញចែករំលែកឯកសារ peer-to-peer

វិធីសាស្ត្រទាំងនេះពឹងផ្អែកយ៉ាងខ្លាំងទៅលើអន្តរកម្មរបស់អ្នកប្រើប្រាស់ ដែលធ្វើឱ្យការយល់ដឹង និងការប្រុងប្រយ័ត្នជាសមាសធាតុសំខាន់ៗនៃការការពារ។

សារៈសំខាន់នៃការដកចេញយ៉ាងរហ័ស

នៅពេលដែលមេរោគ ransomware ដូចជា Bear ជ្រៀតចូលប្រព័ន្ធណាមួយ ចាំបាច់ត្រូវចាត់វិធានការជាបន្ទាន់។ ការលុបមេរោគនេះជួយការពារការអ៊ិនគ្រីបបន្ថែមទៀត និងកាត់បន្ថយហានិភ័យនៃការរីករាលដាលរបស់វានៅទូទាំងឧបករណ៍ដែលបានភ្ជាប់នៅក្នុងបណ្តាញ។ ទោះជាយ៉ាងណាក៏ដោយ ការលុបចេញតែម្នាក់ឯងមិនអាចស្តារឯកសារដែលបានអ៊ិនគ្រីបឡើងវិញបានទេ។ ការសង្គ្រោះជាធម្មតាអាស្រ័យលើភាពអាចរកបាននៃការបម្រុងទុកដែលស្អាត និងមិនរងផលប៉ះពាល់។

ប្រសិនបើមានការបម្រុងទុក ពួកវាគួរតែត្រូវបានស្ដារឡើងវិញ លុះត្រាតែធានាថាប្រព័ន្ធគ្មានការឆ្លងមេរោគទាំងស្រុង។ ការប៉ុនប៉ងស្ដារឡើងវិញ ខណៈពេលដែល ransomware នៅតែសកម្មអាចបណ្តាលឱ្យមានការអ៊ិនគ្រីបម្តងហើយម្តងទៀត។

ពង្រឹងការការពារប្រឆាំងនឹង Ransomware

ការការពារប្រកបដោយប្រសិទ្ធភាពប្រឆាំងនឹងការគំរាមកំហែងដូចជា Bear Ransomware តម្រូវឱ្យមានការរួមបញ្ចូលគ្នានៃការការពារបច្ចេកទេស និងឥរិយាបថអ្នកប្រើប្រាស់ដែលមានទំនួលខុសត្រូវ។ ឥរិយាបថសុវត្ថិភាពដ៏រឹងមាំកាត់បន្ថយយ៉ាងច្រើននូវលទ្ធភាពនៃការឆ្លងមេរោគ និងកំណត់ការខូចខាតដែលអាចកើតមាន។

ការអនុវត្តសុវត្ថិភាពសំខាន់ៗរួមមាន៖

• ការរក្សាការបម្រុងទុកទិន្នន័យសំខាន់ៗជាប្រចាំ និងក្រៅបណ្តាញ
• ការ​ធ្វើ​បច្ចុប្បន្នភាព​ប្រព័ន្ធ​ប្រតិបត្តិការ និង​កម្មវិធី​ជាមួយ​នឹង​បំណះ​សុវត្ថិភាព​ចុងក្រោយ​បំផុត
• ការប្រើប្រាស់ដំណោះស្រាយកំចាត់មេរោគ និងប្រឆាំងមេរោគដែលមានកេរ្តិ៍ឈ្មោះល្អ ជាមួយនឹងការការពារតាមពេលវេលាជាក់ស្តែង
• ការជៀសវាងឯកសារភ្ជាប់អ៊ីមែល និងតំណភ្ជាប់គួរឱ្យសង្ស័យ ជាពិសេសពីប្រភពដែលមិនស្គាល់
• ការទាញយកកម្មវិធីតែពីវេទិកាផ្លូវការ និងគួរឱ្យទុកចិត្តប៉ុណ្ណោះ
• ការបិទម៉ាក្រូនៅក្នុងឯកសារលុះត្រាតែចាំបាច់បំផុត
• ការរឹតបន្តឹងសិទ្ធិរដ្ឋបាលដើម្បីកាត់បន្ថយផលប៉ះពាល់ទូទាំងប្រព័ន្ធ

ក្រៅពីវិធានការទាំងនេះ ប្រព័ន្ធបែងចែកបណ្តាញ និងប្រព័ន្ធរកឃើញការឈ្លានពានអាចផ្តល់នូវស្រទាប់ការពារបន្ថែម ជាពិសេសនៅក្នុងបរិយាកាសអង្គការ។

ការវាយតម្លៃចុងក្រោយ

មេរោគ Bear Ransomware គឺជាឧទាហរណ៍នៃការវិវត្តជាបន្តបន្ទាប់នៃការគំរាមកំហែងតាមអ៊ីនធឺណិត ដោយរួមបញ្ចូលគ្នានូវការអ៊ិនគ្រីបដ៏រឹងមាំជាមួយនឹងយុទ្ធសាស្ត្រសម្ពាធផ្លូវចិត្តដើម្បីបង្កើនផលប៉ះពាល់របស់វា។ ការតភ្ជាប់របស់វាទៅនឹងគ្រួសារ MedusaLocker បង្ហាញពីនិន្នាការកាន់តែទូលំទូលាយនៃប្រតិបត្តិការ ransomware-as-a-service ដែលបន្តកែលម្អវិធីសាស្រ្តរបស់ពួកគេ។

យុទ្ធសាស្ត្រដ៏មានប្រសិទ្ធភាពបំផុតប្រឆាំងនឹងការគំរាមកំហែងបែបនេះនៅតែជាការបង្ការ។ តាមរយៈការរួមបញ្ចូលគ្នានៃការប្រុងប្រយ័ត្ន អនាម័យសុវត្ថិភាពត្រឹមត្រូវ និងការបម្រុងទុកដែលអាចទុកចិត្តបាន អ្នកប្រើប្រាស់ និងអង្គការនានាអាចកាត់បន្ថយការប៉ះពាល់របស់ពួកគេយ៉ាងច្រើន និងរក្សាការគ្រប់គ្រងលើទិន្នន័យរបស់ពួកគេ សូម្បីតែនៅចំពោះមុខការវាយប្រហារ ransomware ដ៏ស្មុគស្មាញក៏ដោយ។