មេរោគ​ចាប់​ជំរិត Mortar

មេរោគ​កុំព្យូទ័រ​នៅតែជាការគំរាមកំហែងសន្តិសុខតាមអ៊ីនធឺណិតដ៏សំខាន់បំផុតមួយដែលអង្គការ និងបុគ្គលម្នាក់ៗកំពុងប្រឈមមុខ។ ការវាយប្រហារ​ដោយ​មេរោគ​ហៅ​សតិ​ទំនើប​អាចរំខានដល់ប្រតិបត្តិការអាជីវកម្ម បណ្តាលឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុធ្ងន់ធ្ងរ និងធ្វើឱ្យខូចព័ត៌មានរសើបក្នុងរយៈពេលប៉ុន្មានម៉ោង។ ដោយសារក្រុម​មេរោគ​ហៅ​សតិ​កាន់តែមានភាពស្មុគស្មាញ ការរក្សាការគ្រប់គ្រងសុវត្ថិភាពដ៏រឹងមាំ និងការការពារប្រកបដោយប្រសិទ្ធភាពគឺមានសារៈសំខាន់សម្រាប់ការការពារទិន្នន័យដ៏មានតម្លៃ និងធានាបាននូវនិរន្តរភាពប្រតិបត្តិការ។

ទិដ្ឋភាពទូទៅនៃ Mortar Ransomware

Mortar Ransomware គឺជាមេរោគអ៊ិនគ្រីបឯកសារដែលត្រូវបានកំណត់អត្តសញ្ញាណដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត។ ការគំរាមកំហែងនេះត្រូវបានរចនាឡើងជាចម្បងដើម្បីកំណត់គោលដៅបរិស្ថានសាជីវកម្ម ដែលអ្នកវាយប្រហារស្វែងរកការបង្កើនការរំខានប្រតិបត្តិការ និងបង្កើនសម្ពាធលើជនរងគ្រោះឱ្យបង់ប្រាក់លោះ។ នៅពេលដែលដាក់ពង្រាយនៅក្នុងបណ្តាញដែលរងការសម្របសម្រួល Mortar អ៊ិនគ្រីបឯកសារ ហើយបន្សល់ទុកនូវកំណត់ចំណាំលោះដែលដាក់ឈ្មោះតាមអត្តសញ្ញាណតែមួយគត់របស់ជនរងគ្រោះ ដោយធ្វើតាមទម្រង់ 'README-[អត្តសញ្ញាណជនរងគ្រោះ].txt'។

លក្ខណៈពិសេសប្លែកមួយនៃ ransomware នេះគឺជាឥរិយាបថប្តូរឈ្មោះឯកសាររបស់វា។ ក្នុងអំឡុងពេលអ៊ិនគ្រីប Mortar បន្ថែមលេខសម្គាល់ជនរងគ្រោះតែមួយគត់ទៅឯកសារដែលរងផលប៉ះពាល់នីមួយៗ។ ឧទាហរណ៍ ឯកសារដែលមានឈ្មោះដើមថា '1.png' អាចក្លាយជា '1.png.4RcrXfvVksS5ACA' ខណៈពេលដែលឯកសារដូចជា '2.pdf' អាចត្រូវបានបំលែងទៅជា '2.pdf.4RcrXfvVksS5ACA'។ បន្ទាប់មកលេខសម្គាល់ដូចគ្នាត្រូវបានប្រើនៅក្នុងឈ្មោះឯកសារកំណត់ចំណាំលោះ ដោយបង្កើតទំនាក់ទំនងដោយផ្ទាល់រវាងជនរងគ្រោះ និងការវាយប្រហារ។

ដំណើរការអ៊ិនគ្រីប និងការទាមទារប្រាក់លោះ

បន្ទាប់ពីជ្រៀតចូលបណ្តាញរួច Mortar បានអ៊ិនគ្រីបទិន្នន័យជាច្រើនប្រភេទ រួមទាំងឯកសារ មូលដ្ឋានទិន្នន័យ រូបថត និងឯកសារអាជីវកម្មដ៏មានតម្លៃផ្សេងទៀត។ កំណត់ចំណាំលោះអះអាងថា អ្នកវាយប្រហារបានប្រើក្បួនដោះស្រាយអ៊ិនគ្រីប AES-256 និង RSA-2048 ដើម្បីចាក់សោព័ត៌មានរបស់ជនរងគ្រោះ។ ខណៈពេលដែលការអះអាងបែបនេះគឺជារឿងធម្មតាក្នុងចំណោមប្រតិបត្តិករ ransomware គោលដៅរួមនៅតែដដែល៖ ធ្វើឱ្យទិន្នន័យមិនអាចចូលប្រើបានដោយគ្មានកូនសោឌិគ្រីបដែលត្រូវគ្នា។

កំណត់ចំណាំលោះជូនដំណឹងដល់ជនរងគ្រោះថា មធ្យោបាយតែមួយគត់ដើម្បីសង្គ្រោះឯកសាររបស់ពួកគេគឺត្រូវទិញឧបករណ៍ឌិគ្រីបពីអ្នកវាយប្រហារ។ ជំនួសឱ្យការបញ្ជាក់ចំនួនទឹកប្រាក់លោះថេរ ឧក្រិដ្ឋជននាំជនរងគ្រោះទៅកាន់វិបផតថលដែលមានមូលដ្ឋានលើ Tor ហើយផ្តល់ព័ត៌មានសម្ងាត់សម្រាប់ចូលដែលមានឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារចរចាការទូទាត់ជាលក្ខណៈបុគ្គល និងអាចកែតម្រូវការទាមទារលោះដោយផ្អែកលើតម្លៃដែលយល់ឃើញរបស់អង្គការជនរងគ្រោះ។

តើឯកសារដែលបានអ៊ិនគ្រីបអាចយកមកវិញបានទេ?

ការសង្គ្រោះឯកសារដែលបានអ៊ិនគ្រីបដោយ ransomware ជារឿយៗពិបាកខ្លាំងណាស់បើគ្មានសិទ្ធិចូលប្រើយន្តការឌិគ្រីបរបស់អ្នកវាយប្រហារ។ ក្នុងស្ថានភាពកម្រ អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតរកឃើញកំហុសក្នុងការអនុវត្ត ឬចំណុចខ្សោយនៃការអ៊ិនគ្រីបដែលអាចឱ្យបង្កើតឧបករណ៍ឌិគ្រីបដោយឥតគិតថ្លៃ។ ទោះជាយ៉ាងណាក៏ដោយ ករណីបែបនេះគឺកម្រមានណាស់ ហើយជនរងគ្រោះដែលរងផលប៉ះពាល់ដោយ ransomware ដែលរចនាបានល្អជារឿយៗប្រឈមមុខនឹងជម្រើសសង្គ្រោះមានកំណត់។

ការបង់ប្រាក់លោះជាទូទៅត្រូវបានចាត់ទុកថាជាការសម្រេចចិត្តដែលមានហានិភ័យខ្ពស់។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតមិនមានកាតព្វកិច្ចផ្តល់ឧបករណ៍ឌិគ្រីបដែលដំណើរការបានបន្ទាប់ពីទទួលបានការទូទាត់នោះទេ។ ជនរងគ្រោះជាច្រើនបានជួបប្រទះស្ថានភាពដែលប្រាក់ត្រូវបានផ្ទេរ ប៉ុន្តែឧបករណ៍សង្គ្រោះមិនដែលត្រូវបានដឹកជញ្ជូន ឬឧបករណ៍ដែលបានផ្តល់បរាជ័យក្នុងការស្តារទិន្នន័យឡើងវិញដោយជោគជ័យ។ ជាលទ្ធផល ការទូទាត់អាចបណ្តាលឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុបន្ថែមដោយមិនធានាការសង្គ្រោះឯកសារ។

វ៉ិចទ័រឆ្លង និងបច្ចេកទេសវាយប្រហារ

មេរោគ Mortar អាចទៅដល់ជនរងគ្រោះតាមរយៈវិធីសាស្ត្រវាយប្រហារជាច្រើនដែលត្រូវបានគេប្រើជាទូទៅនៅក្នុងយុទ្ធនាការ ransomware។ ការបន្លំតាមប្រព័ន្ធអេឡិចត្រូនិកនៅតែជាវ៉ិចទ័រនៃការឆ្លងមេរោគដ៏រីករាលដាលបំផុត។ អ្នកវាយប្រហារចែកចាយអ៊ីមែលដែលមានឯកសារភ្ជាប់ព្យាបាទដូចជាបណ្ណសារដែលបានបង្ហាប់ ឯកសារដែលអាចប្រតិបត្តិបាន ឬឯកសារ Microsoft Office ដែលបង្កប់ជាមួយម៉ាក្រូដែលបង្កគ្រោះថ្នាក់។ នៅពេលបើក ឯកសារទាំងនេះអាចចាប់ផ្តើមដំណើរការដាក់ពង្រាយ ransomware។

ផ្លូវឆ្លងបន្ថែមរួមមាន កម្មវិធី Trojanized យន្តការធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មព្យាបាទ វិបផតថលទាញយកដែលមិនគួរឱ្យទុកចិត្ត និងកម្មវិធីលួចចម្លងដែលចែកចាយតាមរយៈបណ្តាញក្រៅផ្លូវការ។ វិធីសាស្ត្រទាំងនេះកេងប្រវ័ញ្ចទំនុកចិត្តរបស់អ្នកប្រើប្រាស់ និងការគ្រប់គ្រងសុវត្ថិភាពមិនគ្រប់គ្រាន់ដើម្បីទទួលបានសិទ្ធិចូលប្រើប្រព័ន្ធ។

នៅក្នុងការឈ្លានពានរបស់ក្រុមហ៊ុនដែលមានគោលដៅ អ្នកគំរាមកំហែងអាចប្រើប្រាស់បច្ចេកទេសកម្រិតខ្ពស់ជាងនេះ។ អ្នកវាយប្រហារតែងតែព្យាយាមសម្របសម្រួលសេវាកម្ម Remote Desktop Protocol (RDP) តាមរយៈការវាយប្រហារដោយកម្លាំងប្រឆាំងនឹងព័ត៌មានសម្ងាត់ខ្សោយ។ ពួកគេក៏អាចទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះដែលមិនទាន់បានជួសជុលនៅក្នុងប្រព័ន្ធដែលប្រឈមមុខនឹងអ៊ីនធឺណិតដើម្បីទទួលបានទីតាំងដំបូងមុនពេលផ្លាស់ទីទៅចំហៀងឆ្លងកាត់បណ្តាញ និងដាក់ពង្រាយ ransomware នៅលើឧបករណ៍ច្រើនក្នុងពេលដំណាលគ្នា។

ការឆ្លើយតបទៅនឹងការឆ្លងមេរោគបាយអ

នៅពេលដែល Mortar ត្រូវបានរកឃើញ ការទប់ស្កាត់ជាបន្ទាន់គឺមានសារៈសំខាន់ណាស់។ ការដក ransomware ចេញពីប្រព័ន្ធដែលរងផលប៉ះពាល់ជួយការពារសកម្មភាពអ៊ិនគ្រីបបន្ថែមទៀត និងកាត់បន្ថយហានិភ័យនៃការខូចខាតបន្ថែមនៅទូទាំងបរិស្ថាន។ ទោះជាយ៉ាងណាក៏ដោយ ការដកមេរោគចេញមិនគួរច្រឡំជាមួយនឹងការសង្គ្រោះទិន្នន័យនោះទេ។ ការលុបបំបាត់កម្មវិធីព្យាបាទមិនស្តារឯកសារដែលបានអ៊ិនគ្រីបដោយស្វ័យប្រវត្តិទេ។

វិធីសាស្ត្រសង្គ្រោះដែលអាចទុកចិត្តបំផុតនៅតែជាការស្ដារឡើងវិញនូវការបម្រុងទុកស្អាតដែលបង្កើតឡើងមុនពេលការវាយប្រហារកើតឡើង។ ការបម្រុងទុកគួរតែត្រូវបានរក្សាទុកដាច់ដោយឡែកពីប្រព័ន្ធផលិតកម្ម ដើម្បីការពារ ransomware ពីការអ៊ិនគ្រីបឃ្លាំងបម្រុងទុកក្នុងអំឡុងពេលមានឧប្បត្តិហេតុ។ អង្គការដែលរក្សាការបម្រុងទុកដែលមានសុវត្ថិភាព និងដាច់ដោយឡែកជាធម្មតាស្ថិតក្នុងទីតាំងដ៏រឹងមាំជាងក្នុងការសង្គ្រោះពីការវាយប្រហារ ransomware ដោយមិនចាំបាច់ចូលរួមជាមួយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។

ការកសាងការការពារដ៏រឹងមាំប្រឆាំងនឹង Ransomware

ការការពារ ransomware ប្រកបដោយប្រសិទ្ធភាពតម្រូវឱ្យមានយុទ្ធសាស្ត្រសុវត្ថិភាពជាស្រទាប់ៗ ដែលរួមបញ្ចូលគ្នានូវបច្ចេកវិទ្យា ការយល់ដឹងរបស់អ្នកប្រើប្រាស់ និងការថែទាំប្រកបដោយភាពសកម្ម។ អង្គការនានាគួរតែធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងឧបករណ៍បណ្តាញជាប្រចាំ ដើម្បីលុបបំបាត់ភាពងាយរងគ្រោះដែលអ្នកវាយប្រហារតែងតែកេងប្រវ័ញ្ច។ គោលការណ៍ផ្ទៀងផ្ទាត់ដ៏រឹងមាំ ជាពិសេសសម្រាប់សេវាកម្មចូលប្រើពីចម្ងាយ អាចកាត់បន្ថយហានិភ័យនៃការចូលដោយគ្មានការអនុញ្ញាតបានយ៉ាងច្រើន។

ការអភិវឌ្ឍយុទ្ធសាស្ត្របម្រុងទុកដ៏រឹងមាំក៏មានសារៈសំខាន់ផងដែរ។ ទិន្នន័យសំខាន់ៗគួរតែត្រូវបានចម្លងទៅទីតាំងច្រើន រួមទាំងកន្លែងផ្ទុកទិន្នន័យក្រៅបណ្តាញ ឬដាច់ចរន្តអគ្គិសនី ដែលមិនអាចទាក់ទងបានពីប្រព័ន្ធដែលរងការគំរាមកំហែង។ ការធ្វើតេស្តបម្រុងទុកជាប្រចាំធានាថានីតិវិធីស្តារឡើងវិញដំណើរការបានត្រឹមត្រូវក្នុងពេលមានអាសន្ន។

ការអនុវត្តសុវត្ថិភាពសំខាន់ៗរួមមាន៖

• ការរក្សាការបម្រុងទុកជាញឹកញាប់ដែលរក្សាទុកក្នុងទីតាំងដាច់ដោយឡែក និងមានសុវត្ថិភាព។
• អនុវត្តការអាប់ដេតសុវត្ថិភាព និងបំណះភ្លាមៗនៅពេលដែលពួកវាមាន។
• ការប្រើប្រាស់ពាក្យសម្ងាត់ដែលរឹងមាំ និងប្លែកពីគេ និងការបើកដំណើរការការផ្ទៀងផ្ទាត់ពហុកត្តា។
• ការរឹតបន្តឹងសេវាកម្មចូលប្រើពីចម្ងាយដែលមិនចាំបាច់ និងការត្រួតពិនិត្យការប៉ុនប៉ងចូល។
• បណ្តុះបណ្តាលបុគ្គលិកឱ្យស្គាល់អ៊ីមែលបន្លំ និងឯកសារភ្ជាប់គួរឱ្យសង្ស័យ។
• ការដាក់ពង្រាយដំណោះស្រាយការពារចំណុចបញ្ចប់ និងត្រួតពិនិត្យបណ្តាញដែលមានកេរ្តិ៍ឈ្មោះល្អ។

អង្គការនានាក៏គួរតែអនុម័តគោលការណ៍នៃសិទ្ធិតិចតួចបំផុត ដោយផ្តល់ឱ្យអ្នកប្រើប្រាស់តែការចូលប្រើដែលចាំបាច់សម្រាប់តួនាទីរបស់ពួកគេ។ ការត្រួតពិនិត្យជាបន្តបន្ទាប់ ការត្រួតពិនិត្យសុវត្ថិភាព និងការធ្វើផែនការឆ្លើយតបនឹងឧប្បត្តិហេតុ ពង្រឹងភាពធន់បន្ថែមទៀតប្រឆាំងនឹងយុទ្ធនាការ ransomware ដូចជា Mortar។ ការរួមបញ្ចូលគ្នានៃការគ្រប់គ្រងបង្ការ សមត្ថភាពរកឃើញរហ័ស និងប្រព័ន្ធបម្រុងទុកដែលអាចទុកចិត្តបាន នៅតែជាការការពារដ៏មានប្រសិទ្ធភាពបំផុតប្រឆាំងនឹងការគំរាមកំហែងអ៊ិនគ្រីបឯកសារទំនើប។

សេចក្តីសន្និដ្ឋាន

មេរោគ Mortar Ransomware តំណាងឱ្យការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដល់បណ្តាញសាជីវកម្ម ដោយសារតែសមត្ថភាពរបស់វាក្នុងការអ៊ិនគ្រីបទិន្នន័យដ៏មានតម្លៃ រំខានដល់ប្រតិបត្តិការ និងដាក់សម្ពាធលើជនរងគ្រោះឱ្យបង់ប្រាក់សម្រាប់ការឌិគ្រីប។ តាមរយៈការបន្ថែមអត្តសញ្ញាណតែមួយគត់ទៅឯកសារដែលបានអ៊ិនគ្រីប និងដឹកនាំជនរងគ្រោះទៅកាន់វិបផតថលលោះដែលឧទ្ទិសដល់អ្នកវាយប្រហារបង្ហាញពីវិធីសាស្រ្តដែលមានរចនាសម្ព័ន្ធ និងគោលដៅ។ ខណៈពេលដែលការសង្គ្រោះឯកសារដែលបានអ៊ិនគ្រីបអាចជាបញ្ហាប្រឈម អង្គការដែលផ្តល់អាទិភាពដល់ការអនុវត្តសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំ រក្សាការបម្រុងទុកដាច់ដោយឡែក និងដោះស្រាយភាពងាយរងគ្រោះជាមុនអាចកាត់បន្ថយផលប៉ះពាល់នៃឧប្បត្តិហេតុ ransomware និងកែលម្អឥរិយាបថសុវត្ថិភាពទូទៅរបស់ពួកគេ។