វិមានក្រឹមឡាំង Ransomware

Ransomware គឺជាទម្រង់មេរោគដែលបំផ្លិចបំផ្លាញបំផុតមួយ៖ វារក្សាទុកឯកសារដោយស្ងៀមស្ងាត់ បដិសេធការចូលប្រើប្រាស់ស្របច្បាប់ និងបង្ខំជនរងគ្រោះឱ្យបាត់បង់ការចរចា។ ការរក្សាឧបករណ៍ និងបណ្តាញការពារគឺចាំបាច់មិនត្រឹមតែរក្សាទិន្នន័យផ្ទាល់ខ្លួន និងអាជីវកម្មប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងដើម្បីការពារការរំខាន ការបាត់បង់ហិរញ្ញវត្ថុ និងការសម្របសម្រួលបណ្តាញកាន់តែទូលំទូលាយ។

ការគំរាមកំហែងរបស់ KREMLIN មួយភ្លែត

KREMLIN គឺជាគ្រួសារ ransomware ដែលត្រូវបានរកឃើញកំឡុងពេលត្រួតពិនិត្យគំរូមេរោគដ៏គ្រោះថ្នាក់។ អាកប្បកិរិយារបស់វាគឺត្រង់ និងគ្មានមេត្តា៖ វាអ៊ិនគ្រីបឯកសាររបស់ជនរងគ្រោះ និងបន្ថែមផ្នែកបន្ថែម '.KREMLIN' (ឧទាហរណ៍ '1.png' → '1.png.KREMLIN,' '2.pdf' → '2.pdf.KREMLIN') ហើយទម្លាក់ README.txt ដែលបញ្ជូនជនរងគ្រោះទៅវាយប្រហារតាម Telegram @KremlinRestore។ ចំណាំគឺជាចំណុចចូលរបស់អ្នកវាយប្រហារសម្រាប់ការចរចាការទូទាត់ និងផ្តល់ព័ត៌មានលម្អិតអំពីរូបិយប័ណ្ណគ្រីបតូ។ ការសង្គ្រោះឯកសារដោយគ្មានឧបករណ៍ឌិគ្រីបរបស់អ្នកវាយប្រហារគឺកម្រអាចធ្វើទៅបាន ដែលជាមូលហេតុដែលការការពារដ៏ល្អ និងការបម្រុងទុកដែលធន់ទ្រាំគឺមានសារៈសំខាន់ណាស់។

តើ KREMLIN ដំណើរការយ៉ាងដូចម្តេច?

នៅពេលដំណើរការដោយជោគជ័យ KREMLIN រាប់បញ្ចូល និងអ៊ិនគ្រីបឯកសារទិន្នន័យអ្នកប្រើប្រាស់ ដោយប្តូរឈ្មោះពួកវាជាមួយបច្ច័យ '.KREMLIN' ។ វាទុកឯកសារអត្ថបទជាមួយនឹងការណែនាំតម្លៃលោះ និងព័ត៌មានទំនាក់ទំនងដែលបញ្ជូនជនរងគ្រោះទៅកាន់អ្នកវាយប្រហារនៅលើ Telegram ។ បន្ទាប់មក តួអង្គជាធម្មតាផ្តល់ការណែនាំអំពីការទូទាត់ (កាបូបលុយគ្រីបតូ ចំនួនទឹកប្រាក់)។ ប្រសិនបើ ransomware នៅតែមាននៅក្នុងប្រព័ន្ធ វាអាចបន្តការអ៊ិនគ្រីបឯកសារបន្ថែម ឬព្យាយាមផ្សព្វផ្សាយទៅកាន់ម៉ាស៊ីនផ្សេងទៀតនៅលើបណ្តាញតែមួយ។

វ៉ិចទ័រចែកចាយ និងបន្តពូជទូទៅ

តួអង្គគំរាមកំហែងប្រើវិស្វកម្មសង្គម និងបច្ចេកទេសចែកចាយយ៉ាងទូលំទូលាយ ដើម្បីចែកចាយ ransomware ដូចជា KREMLIN ជាដើម។ វ៉ិចទ័រធម្មតារួមមានកម្មវិធីលួចចម្លង ឧបករណ៍បំបែក និងម៉ាស៊ីនបង្កើតកូនសោ ឯកសារភ្ជាប់ និងតំណអ៊ីមែលដែលមានគំនិតអាក្រក់ ឬក្លែងបន្លំ (ឯកសារការិយាល័យព្យាបាទ PDF បណ្ណសារ) ការបោកប្រាស់ផ្នែកបច្ចេកវិទ្យា ការកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះនៃកម្មវិធីដែលមិនបានជួសជុល ឧបករណ៍ USB ដែលឆ្លងមេរោគ គេហទំព័រទាញយកទីបីដែលត្រូវបានសម្របសម្រួល ឬមិនផ្លូវការ បណ្តាញទាញយក P2Pvertises និងព្យាបាទ។ អ្នកវាយប្រហារតែងតែចងក្រង ឬក្លែងបន្លំឯកសារដែលអាចប្រតិបត្តិបាននៅក្នុងឯកសារ ឬបណ្ណសារ ដូច្នេះអ្នកប្រើប្រាស់ត្រូវបានបោកបញ្ឆោតឱ្យដំណើរការពួកវា។

ហេតុអ្វីបានជាការបង់ប្រាក់ត្រូវបានបាក់ទឹកចិត្ត និងអ្វីដែលជនរងគ្រោះគួររំពឹង

ការបង់ថ្លៃលោះមិនធានាការសង្គ្រោះទិន្នន័យទេ៖ អ្នកវាយប្រហារអាចនឹងមិនផ្តល់ឧបករណ៍ឌិគ្រីបដែលកំពុងដំណើរការ អាចទាមទារការទូទាត់បន្ថែម ឬអាចបាត់ទៅវិញ។ ការបង់ប្រាក់ក៏ជំរុញសកម្មភាពឧក្រិដ្ឋកម្ម និងបង្កើនលទ្ធភាពនៃការកំណត់គោលដៅនាពេលអនាគត។ ស្ថាប័នដែលមានការបម្រុងទុកដែលអាចទុកចិត្តបាន និងសាកល្បងមានឱកាសល្អបំផុតក្នុងការស្តារឡើងវិញពេញលេញដោយមិនចាំបាច់បង់ប្រាក់។ ដោយមិនគិតពីថាតើឯកសារត្រូវបានសង្គ្រោះជាយថាហេតុទេ វាចាំបាច់ក្នុងការយក ransomware ចេញពីប្រព័ន្ធដែលមានមេរោគ បើមិនដូច្នេះទេ វាអាចដាក់លេខសម្ងាត់ឯកសារដែលបានស្ដារឡើងវិញ ឬផ្សព្វផ្សាយបន្ថែមទៀត។

ជំហានភ្លាមៗបន្ទាប់ពីរកឃើញការឆ្លង

អាទិភាព​ទី​មួយ​គឺ​ការ​ទប់​ស្កាត់​និង​ការ​រក្សា​ទុក​ភ័ស្តុតាង​កោសល្យ​វិច្ច័យ។ ផ្តាច់ម៉ាស៊ីនដែលមានមេរោគចេញពីបណ្តាញភ្លាមៗ (ដកខ្សែបណ្តាញ បិទ Wi-Fi) ហើយញែកពួកវាដាច់ដោយឡែកដើម្បីការពារចលនានៅពេលក្រោយ។ កុំបិទប្រព័ន្ធភ្លាមៗ ប្រសិនបើការចាប់យកការធ្វើកោសល្យវិច្ច័យត្រូវបានគ្រោងទុក។ ជំនួសមកវិញ រក្សារូបភាពប្រសិនបើអាចធ្វើទៅបាន ហើយកត់ត្រាពេលវេលា និងសកម្មភាពដែលបានធ្វើឡើង។ ប្រសិនបើអ្នកបានផ្ទៀងផ្ទាត់ ការបម្រុងទុកថ្មីៗ ចាប់ផ្តើមការស្តារឡើងវិញដែលបានគ្រប់គ្រងបន្ទាប់ពីធានាថាមេរោគត្រូវបានលុបចេញពីបរិស្ថាន។

ការអនុវត្តសុវត្ថិភាពល្អបំផុត ដើម្បីកាត់បន្ថយហានិភ័យ និងកម្រិតផលប៉ះពាល់

រក្សាការបម្រុងទុកដោយគ្មានអ៊ីនធឺណិត និងសាកល្បង៖ រក្សាការបម្រុងទុកជាទៀងទាត់នៃទិន្នន័យសំខាន់ៗជាមួយនឹងច្បាប់ចម្លងយ៉ាងហោចណាស់មួយដែលបានរក្សាទុកនៅក្រៅបណ្តាញ ឬនៅលើឧបករណ៍ផ្ទុកដែលមិនអាចផ្លាស់ប្តូរបាន។ សាកល្បងនីតិវិធីស្តារឡើងវិញជាទៀងទាត់ ដូច្នេះការបម្រុងទុកអាចទុកចិត្តបានក្នុងអំឡុងពេលឧប្បត្តិហេតុមួយ។

ប្រព័ន្ធបំណះ និងរឹង ៖ អនុវត្តបច្ចុប្បន្នភាពសុវត្ថិភាពទាន់ពេលវេលាចំពោះប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងកម្មវិធីបង្កប់។ កាត់បន្ថយផ្ទៃវាយប្រហារដោយបិទសេវាកម្មដែលមិនប្រើ និងលុបកម្មវិធីដែលមិនចាំបាច់ចេញ។

ប្រើការការពារចំណុចបញ្ចប់ និង EDR ៖ ដាក់ពង្រាយកំចាត់មេរោគទំនើប និងដំណោះស្រាយការរកឃើញ និងការឆ្លើយតបដែលអាចរកឃើញ និងទប់ស្កាត់អាកប្បកិរិយាព្យាបាទ ដោយមានការកត់ត្រា និងការជូនដំណឹងជាកណ្តាល។

អនុវត្តសិទ្ធិតិចតួចបំផុត និងការបែងចែកបណ្តាញ ៖ កំណត់សិទ្ធិអ្នកប្រើប្រាស់ និងសេវាកម្មចំពោះតែអ្វីដែលចាំបាច់ប៉ុណ្ណោះ។ បណ្តាញចម្រៀក ដូច្នេះចំនុចបញ្ចប់ដែលត្រូវបានសម្របសម្រួលមិនអាចទៅដល់ម៉ាស៊ីនមេសំខាន់ៗ ឬការបម្រុងទុកបានយ៉ាងងាយស្រួល។

ការផ្ទៀងផ្ទាត់ខ្លាំង និង MFA ៖ ទាមទារការផ្ទៀងផ្ទាត់ពហុកត្តាសម្រាប់ការចូលប្រើពីចម្ងាយ អ៊ីមែល និងគណនីរដ្ឋបាល។ ជំនួសពាក្យសម្ងាត់លំនាំដើម ឬខ្សោយជាមួយនឹងព័ត៌មានសម្ងាត់រឹងមាំ និងតែមួយគត់។

សុវត្ថិភាពអ៊ីមែល និងច្រកចេញចូលគេហទំព័រ ៖ ប្រើតម្រងអ៊ីមែលកម្រិតខ្ពស់ និងការស្កេន URL ដើម្បីកាត់បន្ថយឯកសារភ្ជាប់ព្យាបាទ និងតំណបន្លំ។ អនុវត្តការត្រង DNS និងគេហទំព័រ ដើម្បីទប់ស្កាត់ការចូលទៅកាន់គេហទំព័រព្យាបាទដែលគេស្គាល់ ឬរចនាសម្ព័ន្ធបញ្ជា និងគ្រប់គ្រង។

ការបណ្តុះបណ្តាលអ្នកប្រើប្រាស់ និងការក្លែងបន្លំ ៖ បណ្តុះបណ្តាលបុគ្គលិកជាទៀងទាត់ឱ្យទទួលស្គាល់ការបន្លំ វិស្វកម្មសង្គម និងការទាញយកគួរឱ្យសង្ស័យ។ ប្រើយុទ្ធនាការក្លែងបន្លំដើម្បីវាស់វែង និងកែលម្អការយល់ដឹង។

គ្រប់គ្រងការដំឡើងកម្មវិធី និងមេឌៀដែលអាចដកចេញបាន ៖ ដាក់កម្រិតលើសមត្ថភាពក្នុងការដំឡើងកម្មវិធី ឬប្រតិបត្តិកូដដែលមិនបានចុះហត្ថលេខា។ ទប់ស្កាត់ ឬតាមដានការប្រើប្រាស់ដ្រាយ USB និងមេឌៀចល័តផ្សេងទៀត។

ការពិចារណាលើការស្តារ និងការសម្អាត

ការលុបបំបាត់ ransomware គឺជាតម្រូវការជាមុនសម្រាប់ការស្តារឡើងវិញដោយសុវត្ថិភាព។ ធ្វើការជាមួយអ្នកជំនាញផ្នែកព័ត៌មានវិទ្យា និងសន្តិសុខដើម្បីកំណត់យន្តការជាប់លាប់ (ធាតុចាប់ផ្តើម កិច្ចការដែលបានកំណត់ពេល សេវាកម្ម វត្ថុបុរាណនៃចលនានៅពេលក្រោយ) ហើយលុបពួកវាចេញ។ កែទម្រង់ប្រព័ន្ធដែលរងការសម្រុះសម្រួលខ្លាំងឡើងវិញតាមដែលសមស្រប។ មុនពេលស្ដារទិន្នន័យ សូមបញ្ជាក់ថាបរិស្ថានស្អាត។ បើមិនដូច្នេះទេ ទិន្នន័យដែលបានស្ដារអាចនឹងត្រូវបានអ៊ិនគ្រីបឡើងវិញ។ រក្សាទុកភស្តុតាងសម្រាប់ការអនុវត្តច្បាប់ ហើយប្រសិនបើចាំបាច់ សូមពិគ្រោះជាមួយអ្នកផ្តល់សេវាធានារ៉ាប់រងតាមអ៊ីនធឺណិត និងអ្នកប្រឹក្សាផ្នែកច្បាប់អំពីតម្រូវការបញ្ចេញព័ត៌មាន។

កំណត់ចំណាំចុងក្រោយ — ភាពធន់នឹងតម្លៃលោះ

KREMLIN's modus operandi ការអ៊ិនគ្រីបឯកសារ និងទាមទារការទូទាត់ជារូបិយប័ណ្ណគ្រីបតូ បន្ទាប់ពីណែនាំជនរងគ្រោះឱ្យទាក់ទងតាមរយៈ Telegram គឺជាតួយ៉ាងនៃ ransomware ទំនើប៖ លឿន រំខាន និងជម្រុញផ្នែកហិរញ្ញវត្ថុ។ ការការពារដ៏មានប្រសិទ្ធភាពបំផុតតែមួយគត់គឺឥរិយាបថសុវត្ថិភាពជាស្រទាប់ (ការគ្រប់គ្រងបច្ចេកទេស ការបិទភ្ជាប់ ការរកឃើញ) ការបម្រុងទុកក្រៅបណ្តាញដ៏រឹងមាំ និងការឆ្លើយតបឧប្បត្តិហេតុដែលបានអនុវត្ត។ ប្រសិនបើឆ្លងមេរោគ ផ្តល់អាទិភាពដល់ការទប់ស្កាត់ ការដកយកចេញ និងការស្ដារឡើងវិញពីការបម្រុងទុកដែលអាចទុកចិត្តបាន។ ជៀសវាងការពឹងផ្អែកលើការសន្យារបស់អ្នកវាយប្រហារ ហើយចូលរួមជាមួយអ្នកឆ្លើយតបឧប្បត្តិហេតុដែលមានជំនាញវិជ្ជាជីវៈ និងការអនុវត្តច្បាប់។