មេរោគ​ចាប់​ជំរិត​ប្រភេទ Chip (MedusaLocker)

ការការពារចំណុចបញ្ចប់ប្រឆាំងនឹងមេរោគទំនើបបានក្លាយជាតម្រូវការជាមូលដ្ឋានសម្រាប់ទាំងបុគ្គល និងអង្គការ។ យុទ្ធនាការ Ransomware បន្តវិវត្តន៍ក្នុងភាពស្មុគស្មាញ ដោយរួមបញ្ចូលគ្នានូវការអ៊ិនគ្រីបដ៏រឹងមាំ ការលួចទិន្នន័យ និងសម្ពាធផ្លូវចិត្តដើម្បីបង្កើនផលប៉ះពាល់ឱ្យបានអតិបរមា។ មេរោគដ៏ស្មុគស្មាញមួយដែលទាក់ទាញចំណាប់អារម្មណ៍ពីអ្នកវិភាគគឺ Chip Ransomware ដែលជាការគំរាមកំហែងដែលមានទំនាក់ទំនងជាមួយគ្រួសារ MedusaLocker ដ៏ល្បីល្បាញ។

ទិដ្ឋភាពទូទៅនៃការគំរាមកំហែង៖ វ៉ារ្យ៉ង់ MedusaLocker ដែលមានផលប៉ះពាល់ប្រសើរឡើង

មេរោគ Chip Ransomware ត្រូវបានកំណត់អត្តសញ្ញាណក្នុងអំឡុងពេលស៊ើបអង្កេតលើគំរូមេរោគដែលមានហានិភ័យខ្ពស់ ហើយត្រូវបានបញ្ជាក់ថាជាវ៉ារ្យ៉ង់មួយនៅក្នុងពូជពង្ស MedusaLocker។ ការចាត់ថ្នាក់នេះគឺមានសារៈសំខាន់ ព្រោះការគំរាមកំហែងដែលមានមូលដ្ឋានលើ MedusaLocker ត្រូវបានគេស្គាល់ថាសម្រាប់យុទ្ធសាស្ត្រជំរិតទារប្រាក់ពីរដងដែលសម្របសម្រួល ទម្លាប់អ៊ិនគ្រីបដ៏រឹងមាំ និងយុទ្ធនាការដែលផ្តោតលើសហគ្រាស។

នៅពេលដែលដាក់ពង្រាយរួច Chip នឹងអ៊ិនគ្រីបឯកសារអ្នកប្រើប្រាស់ ហើយបន្ថែមផ្នែកបន្ថែម '.chip1' ទៅក្នុងទិន្នន័យដែលរងការលួចចូល។ បច្ច័យលេខអាចប្រែប្រួល ដែលអាចឆ្លុះបញ្ចាំងពីការបង្កើតយុទ្ធនាការ ឬអត្តសញ្ញាណជនរងគ្រោះផ្សេងៗគ្នា។ ឧទាហរណ៍ ឯកសារដូចជា '1.png' ត្រូវបានប្តូរឈ្មោះទៅជា '1.png.chip1' ហើយ '2.pdf' ក្លាយជា '2.pdf.chip1'។ បន្ថែមពីលើការផ្លាស់ប្តូរផ្នែកបន្ថែមឯកសារ មេរោគចាប់ជំរិតទម្លាក់កំណត់ចំណាំលោះដែលមានចំណងជើងថា 'Recovery_README.html' ហើយកែប្រែផ្ទាំងរូបភាពផ្ទៃតុ ដើម្បីពង្រឹងភាពមើលឃើញ និងភាពបន្ទាន់នៃការវាយប្រហារ។

យន្តការអ៊ិនគ្រីប និងការបង្ខិតបង្ខំផ្លូវចិត្ត

កំណត់ចំណាំលោះរបស់ Chip អះអាងថា ឯកសារត្រូវបានអ៊ិនគ្រីបដោយប្រើការរួមបញ្ចូលគ្នានៃក្បួនដោះស្រាយគ្រីបតូក្រាហ្វិច RSA និង AES។ វិធីសាស្រ្តអ៊ិនគ្រីបចម្រុះនេះគឺជាតួយ៉ាងនៃប្រតិបត្តិការ ransomware កម្រិតខ្ពស់៖ AES ត្រូវបានប្រើសម្រាប់ការអ៊ិនគ្រីបកម្រិតឯកសារលឿន ខណៈពេលដែល RSA ធានាសុវត្ថិភាពសោស៊ីមេទ្រី ដែលធ្វើឱ្យការសង្គ្រោះដោយប្រើកម្លាំង brute-force មិនអាចអនុវត្តបានដោយគ្មានសោឯកជនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

កំណត់ចំណាំនេះសង្កត់ធ្ងន់ថា ឯកសារមិនត្រូវបាន "ខូចខាត" ទេ ប៉ុន្តែ "ត្រូវបានកែប្រែ" ដោយព្រមានជនរងគ្រោះកុំឱ្យប្រើប្រាស់កម្មវិធីសង្គ្រោះភាគីទីបី ឬការប្តូរឈ្មោះឯកសារដែលបានអ៊ិនគ្រីប។ ការព្រមានបែបនេះត្រូវបានរចនាឡើងដើម្បីបំបាក់ទឹកចិត្តការពិសោធន៍ និងបង្កើនលទ្ធភាពនៃការបង់ប្រាក់លោះ។ ជនរងគ្រោះត្រូវបានគេប្រាប់ថា មិនមានឧបករណ៍ឌិគ្រីបសាធារណៈទេ ហើយមានតែអ្នកវាយប្រហារប៉ុណ្ណោះដែលអាចស្តារការចូលប្រើឡើងវិញ។

ដែលធ្វើឱ្យការគំរាមកំហែងកាន់តែធ្ងន់ធ្ងរឡើង ប្រតិបត្តិករបន្ទះឈីបអះអាងថាបានលួចទិន្នន័យរសើបទៅកាន់ម៉ាស៊ីនមេឯកជន។ ប្រសិនបើមិនមានការទូទាត់ទេ ព័ត៌មានដែលត្រូវបានគេលួចអាចត្រូវបានបោះពុម្ពផ្សាយ ឬលក់។ យុទ្ធសាស្ត្រជំរិតទារប្រាក់ទ្វេដងនេះបង្កើនសម្ពាធយ៉ាងខ្លាំង ជាពិសេសសម្រាប់អាជីវកម្មដែលមានការព្រួយបារម្ភអំពីការប៉ះពាល់នឹងបទប្បញ្ញត្តិ និងការខូចខាតកេរ្តិ៍ឈ្មោះ។

ជនរងគ្រោះត្រូវបានណែនាំឱ្យចាប់ផ្តើមទំនាក់ទំនងតាមរយៈអ៊ីមែលនៅ 'recovery.system@onionmail.org' ឬតាមរយៈវេទិកាផ្ញើសារ qTox ដោយប្រើអត្តសញ្ញាណប័ណ្ណដែលបានផ្តល់ជូន។ ថ្ងៃផុតកំណត់យ៉ាងតឹងរ៉ឹងរយៈពេល 72 ម៉ោងត្រូវបានដាក់ចេញ បន្ទាប់ពីនោះចំនួនទឹកប្រាក់លោះត្រូវបានកើនឡើង។

បញ្ហាប្រឈមនៃការស្តារឡើងវិញ និងហានិភ័យប្រតិបត្តិការ

នៅក្នុងឧប្បត្តិហេតុ ransomware ភាគច្រើន ការសង្គ្រោះដោយមិនចាំបាច់បង់ប្រាក់លោះគឺអាចធ្វើទៅបានលុះត្រាតែមានការបម្រុងទុកដែលអាចទុកចិត្តបាន និងមិនរងផលប៉ះពាល់។ នៅពេលដែលការបម្រុងទុកបែបនេះមិនមាន ជនរងគ្រោះត្រូវបានដាក់ក្នុងស្ថានភាពលំបាក។ ទោះជាយ៉ាងណាក៏ដោយ ការបង់ប្រាក់លោះមិនផ្តល់ការធានាថាឧបករណ៍ឌិគ្រីបដែលដំណើរការនឹងត្រូវបានផ្តល់ជូននោះទេ។ ករណីជាច្រើនដែលបានកត់ត្រាបង្ហាញថា អ្នកវាយប្រហារអាចបាត់ខ្លួន ទាមទារការទូទាត់បន្ថែម ឬផ្គត់ផ្គង់ឧបករណ៍ឌិគ្រីបដែលមានបញ្ហា។

ការលុបចេញជាបន្ទាន់នូវ Chip Ransomware ពីប្រព័ន្ធដែលឆ្លងមេរោគគឺមានសារៈសំខាន់ណាស់។ ប្រសិនបើទុកចោលឱ្យសកម្ម មេរោគអាចបន្តអ៊ិនគ្រីបឯកសារដែលបង្កើតថ្មី ឬភ្ជាប់ ហើយអាចរីករាលដាលពាសពេញធនធានបណ្តាញដែលបានចែករំលែក។ ការទប់ស្កាត់ជាបន្ទាន់កាត់បន្ថយកាំនៃការផ្ទុះ និងការពារការបាត់បង់ទិន្នន័យបន្ថែម។

វ៉ិចទ័រឆ្លង៖ របៀបដែលបន្ទះឈីបទទួលបានការចូលប្រើ

Chip Ransomware ទាញយកអត្ថប្រយោជន៍ពីវិធីសាស្ត្រចែកចាយទូទៅ ប៉ុន្តែមានប្រសិទ្ធភាពខ្ពស់។ អ៊ីមែលបន្លំនៅតែជាបណ្តាញចែកចាយចម្បង ជាធម្មតាមានឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់ ឬតំណភ្ជាប់ដែលបានបង្កប់។ ឯកសារទាំងនេះច្រើនតែក្លែងបន្លំជាឯកសារស្របច្បាប់ ប៉ុន្តែលាក់បាំងបន្ទុកដែលអាចប្រតិបត្តិបាន ស្គ្រីប ឬបណ្ណសារដែលមានអាវុធ។

បច្ចេកទេសបន្តពូជផ្សេងទៀតរួមមាន៖

• ការកេងប្រវ័ញ្ចចំណុចខ្សោយនៃកម្មវិធីដែលមិនទាន់បានជួសជុល
• គម្រោងគាំទ្របច្ចេកទេសក្លែងក្លាយ
• ការភ្ជាប់ជាមួយកម្មវិធីលួចចម្លង ការបំបែក ឬម៉ាស៊ីនបង្កើតសោ
• ការចែកចាយតាមរយៈបណ្តាញ peer-to-peer និងវិបផតថលទាញយកក្រៅផ្លូវការ
• ការផ្សាយពាណិជ្ជកម្មព្យាបាទ និងគេហទំព័រដែលរងការគំរាមកំហែង

មេរោគ​ដែល​មាន​គ្រោះថ្នាក់​ត្រូវ​បាន​បង្កប់​ជា​ញឹក​ញាប់​នៅ​ក្នុង​ឯកសារ​ដែល​អាច​ប្រតិបត្តិ​បាន ប័ណ្ណសារ​ដែល​បាន​បង្ហាប់ ឬ​ឯកសារ​ដូចជា​ឯកសារ Word, Excel ឬ PDF។ នៅ​ពេល​ដែល​ជន​រង​គ្រោះ​បើក ឬ​អនុញ្ញាត​មាតិកា​នៅ​ក្នុង​ឯកសារ ransomware នឹង​ធ្វើ​ឱ្យ​សកម្ម ហើយ​ចាប់ផ្តើម​ទម្លាប់​អ៊ិនគ្រីប​របស់​វា។

ការពង្រឹងការការពារ៖ ការអនុវត្តល្អបំផុតផ្នែកសន្តិសុខសំខាន់ៗ

ការការពារប្រកបដោយប្រសិទ្ធភាពប្រឆាំងនឹង ransomware ដ៏ស្មុគស្មាញដូចជា Chip តម្រូវឱ្យមានយុទ្ធសាស្ត្រសុវត្ថិភាពដែលមានស្រទាប់ និងសកម្ម។ អ្នកប្រើប្រាស់ និងអង្គការនានាគួរតែអនុវត្តវិធានការដូចខាងក្រោម៖

• រក្សាការបម្រុងទុកទិន្នន័យសំខាន់ៗជាប្រចាំ ក្រៅបណ្តាញ និងដែលបានសាកល្បង។
• រក្សាប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងកម្មវិធីសុវត្ថិភាពឱ្យទាន់សម័យទាំងស្រុង។
• ដាក់ពង្រាយដំណោះស្រាយការពារចំណុចបញ្ចប់ដែលមានកេរ្តិ៍ឈ្មោះល្អជាមួយនឹងការតាមដានពេលវេលាជាក់ស្តែង។
• បិទម៉ាក្រូនៅក្នុងឯកសារ Microsoft Office តាមលំនាំដើម។
• ដាក់កម្រិតសិទ្ធិរដ្ឋបាល និងអនុវត្តគោលការណ៍នៃសិទ្ធិតិចបំផុត។

• អនុវត្តការបែងចែកបណ្តាញដើម្បីកំណត់ចលនាចំហៀង។

• បណ្តុះបណ្តាលអ្នកប្រើប្រាស់ឱ្យកំណត់អត្តសញ្ញាណការប៉ុនប៉ងបន្លំ និងឯកសារភ្ជាប់គួរឱ្យសង្ស័យ

ក្រៅពីវិធានការទាំងនេះ ការត្រួតពិនិត្យជាបន្តបន្ទាប់ និងការត្រៀមខ្លួនឆ្លើយតបទៅនឹងឧប្បត្តិហេតុគឺមានសារៈសំខាន់។ អង្គការនានាគួរតែបង្កើតផែនការឆ្លើយតបច្បាស់លាស់មួយដែលគូសបញ្ជាក់ពីនីតិវិធីដាច់ដោយឡែក ជំហានវិភាគកោសល្យវិច្ច័យ និងពិធីការទំនាក់ទំនង។ ប្រព័ន្ធកត់ត្រា និងត្រួតពិនិត្យកណ្តាលអាចជួយរកឃើញសកម្មភាពមិនប្រក្រតីតាំងពីដំបូង ដែលអាចបញ្ឈប់ការអ៊ិនគ្រីបមុនពេលវាបញ្ចប់។

នៅក្នុងទិដ្ឋភាពគំរាមកំហែងដែលត្រូវបានកំណត់ដោយយុទ្ធនាការ ransomware កាន់តែឈ្លានពាន ការប្រុងប្រយ័ត្ន និងការត្រៀមខ្លួននៅតែជាការការពារដ៏មានប្រសិទ្ធភាពបំផុត។ Chip Ransomware បង្ហាញពីការរួមបញ្ចូលគ្នានៃការអ៊ិនគ្រីបដ៏រឹងមាំ ការលួចយកទិន្នន័យ និងយុទ្ធសាស្ត្រជំរិតទារប្រាក់។ ឥរិយាបថសន្តិសុខតាមអ៊ីនធឺណិតដែលមានវិន័យ រួមផ្សំជាមួយនឹងឥរិយាបថអ្នកប្រើប្រាស់ដែលមានព័ត៌មានគ្រប់គ្រាន់ កាត់បន្ថយយ៉ាងខ្លាំងនូវលទ្ធភាពនៃការសម្របសម្រួលដោយជោគជ័យ និងការរំខានប្រតិបត្តិការរយៈពេលវែង។