September 21, 2020

Language:

CamSA17-13: សេចក្តីណែនាំអំពីមេរោគចាប់ជំរិត Bad Rabbit

ប្រវតិ្តនៃមេរោគ

មេរោគចាប់ជំរិតប្រភេទថ្មីមួយដែលត្រូវបានគេស្គាល់ឈ្មោះថា Bad Rabbit ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានមកពី ក្រុមហ៊ុន Kaspersky Lab និង ESET កាលពីថ្ងៃទី២៤ ខែតុលា ឆ្នាំ២០១៧។ វាត្រូវបានគេរាយការណ៍មកថា បានវាយប្រហារទៅលើបណ្តាញក្រុមហ៊ុនធំៗនៅក្នុងប្រទេេសអ៊ុយក្រែន និងរុស្សី និងទំនងជារីករាលដាលទៅដល់ប្រទេសដទៃទៀត។ មេរោគនេះមានទម្រង់ប្រហាក់ប្រហែលទៅនឹងមេរោគចាប់ជំរិត NotPetya ដែលបានធ្វើឲ្យខូចខាតយ៉ាងធ្្ងន់ធ្ងរកាលពីខែមិថុនា ២០១៧ កន្លងទៅនេះ ។

មេរោគនេះវាមិនបានធ្វើការវាយលុកចូលទៅលើចំនុចខ្សោយណាមួយឡើយ ប៉ុន្តែវាពឹងផ្នែកទៅលើការចុចពីអ្នកប្រើប្រាស់។ វាបោកបញ្ជោតឲ្យជនរងគ្រោះធ្វើការទាញយក​ (downlaod) នូវ Fake Adobe Flash Installer នៅពេលដែលអ្នកប្រើប្រាស់បើកទៅកាន់វេបសាយ (ដែលមានបញ្ហា)។ នៅពេលដែលឆ្លងចូលទៅក្នុងកុំព្យូទ័រហើយនោះ វានឹងរីករាលដាលខ្លួនវា នៅក្នុងបណ្តាញរបស់អង្គភាពតាមរយៈ​ Windows File Sharing protocol និងឆ្លងទៅកាន់ម៉ាស៊ីនផ្សេងៗទៀតនៅក្នុងបណ្តាញ។

វេបសាយដែលត្រូវបានស្គាល់ថាមានបង្កប់មេរោគ

ខាងក្រោមនេះគឺជាវេបសាយដែលត្រូវបានគេស្គាល់ក្នុងពេលនេះ ដែលធ្វើការចែកចាយមេរោគ Bad Rabbit:

  • argumentiru[.]com
  • www.fontanka[.]ru
  • grupovo[.]bg
  • www.sinematurk[.]com
  • www.aica[.]co
  • spbvoditel[.]ru
  • argumenti[.]ru
  • www.mediaport[.]ua
  • blog.fontanka[.]ru
  • an-crimea[.]ru
  • www.t.ks[.]ua
  • most-dnepr[.]info
  • osvitaporta[.]com
  • www.otbrana[.]com
  • calendar.fontanka[.]ru
  • www.grupovo[.]bg
  • www.pensionhotel[.]cz
  • www.online812[.]ru
  • www.imer[.]ro
  • novayagazeta.spb[.]ru
  • i24[.]com
  • bg.pensionhotel[.]com
  • ankerch-crimea[.]ru

ផលប៉ៈពាល់

Bad Rabbit គឺដូចគ្នាទៅនឹងមេរោគចាប់ជំរិតដទៃទៀតដែរ ដែលវានឹងធ្វើកូដនីយកម្ម (encrypt) ទៅលើឯកសាររបស់អ្នក ដែលជាហេតុធ្វើឲ្យអ្នកមិនអាចបើកបានឡើយ ដែលមានដូចជាឯកសារ Word, Video, Images, Audio, ល។ ឧក្រិដ្ឋជន ទាមទារឲ្យជនរងគ្រោះបង់ប្រាក់ចំនួន 0.05 bitcoin  (ដែលមានតម្លៃប្រហែល ២៨៥ដុល្លាក្នុងអត្រាបច្ចុប្បន្ន) ដើម្បីអាចធ្វើការ​ decrypt ឯកសាររបស់អ្នកមកវិញបាន។

អនុសាសន៍ណែនាំ

CamCERT​ សូមធ្វើការណែនាំនូវចំនុចមួយចំនួនដូចខាងក្រោម ដើម្បីការពារខ្លួនអ្នកៈ

– ចូលកុំចូលទៅកាន់វេបសាយមានបញ្ហា ដែលមានរៀបរាប់ខាងលើ
– សូមកុំចុចទៅលើតំណរភ្ជាប់ (link) ណាដែលមានការសង្ស័យ ដែលអាចនាំអ្នកទៅកាន់វេបសាយដែលមានបញ្ហា
– កុំធ្វើការទាញយក​ (download) នូវកម្មវិធីចេញពីក្នុងវេបសាយមិនដែលស្គាល់ ឬមិនផ្លូវការដែលវាអាចមានមេរោគភ្ជាប់មកជាមួយ

តើត្រូវធ្វើដូចម្តេចបើសិនជាអ្នកឆ្លងមេរោគនោះ?

អ្នកអាចចូលទៅកាន់វេបសាយខាងក្រោមដើម្បីទាញយកកម្មវិធីសម្រាប់ព្យាបាល https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware.

– សម្រាប់យុទ្ធវិធីការពារ និងទប់ស្កាត់សូមចូលទៅកាន់ទំព័រនេះ– សម្រាប់អ្នកដែលចេះបច្ចេកទេស សូមធ្វើតាមចំនុចដូចខាងក្រោមៈ

  • ធ្វើការ Block​ មិនឲ្យដំណើរការនូវ files c:\windows\infpub.dat​ និង c:\Windows\cscc.dat.
  • ធ្វើការបិទមុខងារ WMI service ដើម្បីការពារមេរោគនេះមិនឲ្យធ្វើការរីករាលដាលទៅក្នុងបណ្តាញ
  • ដើម្បីការពារខ្លួនអ្នកបានល្អ សូមចូលទៅកាន់វេបសាយ https://www.nomoreransom.org/en/index.html.

ឯកសារយោង

https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

https://malwaretips.com/threads/bad-rabbit-ransomware-attack-hits-russia-ukraine.76488/

https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html

https://www.darkreading.com/attacks-breaches/bad-rabbit-ransomware-attacks-rock-russia-ukraine—and-beyond/d/d-id/1330208?piddl_msgorder=asc

https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.