February 19, 2018

Language:

CamSA17-13: សេចក្តីណែនាំអំពីមេរោគចាប់ជំរិត Bad Rabbit

ប្រវតិ្តនៃមេរោគ

មេរោគចាប់ជំរិតប្រភេទថ្មីមួយដែលត្រូវបានគេស្គាល់ឈ្មោះថា Bad Rabbit ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព័ត៌មានមកពី ក្រុមហ៊ុន Kaspersky Lab និង ESET កាលពីថ្ងៃទី២៤ ខែតុលា ឆ្នាំ២០១៧។ វាត្រូវបានគេរាយការណ៍មកថា បានវាយប្រហារទៅលើបណ្តាញក្រុមហ៊ុនធំៗនៅក្នុងប្រទេេសអ៊ុយក្រែន និងរុស្សី និងទំនងជារីករាលដាលទៅដល់ប្រទេសដទៃទៀត។ មេរោគនេះមានទម្រង់ប្រហាក់ប្រហែលទៅនឹងមេរោគចាប់ជំរិត NotPetya ដែលបានធ្វើឲ្យខូចខាតយ៉ាងធ្្ងន់ធ្ងរកាលពីខែមិថុនា ២០១៧ កន្លងទៅនេះ ។

មេរោគនេះវាមិនបានធ្វើការវាយលុកចូលទៅលើចំនុចខ្សោយណាមួយឡើយ ប៉ុន្តែវាពឹងផ្នែកទៅលើការចុចពីអ្នកប្រើប្រាស់។ វាបោកបញ្ជោតឲ្យជនរងគ្រោះធ្វើការទាញយក​ (downlaod) នូវ Fake Adobe Flash Installer នៅពេលដែលអ្នកប្រើប្រាស់បើកទៅកាន់វេបសាយ (ដែលមានបញ្ហា)។ នៅពេលដែលឆ្លងចូលទៅក្នុងកុំព្យូទ័រហើយនោះ វានឹងរីករាលដាលខ្លួនវា នៅក្នុងបណ្តាញរបស់អង្គភាពតាមរយៈ​ Windows File Sharing protocol និងឆ្លងទៅកាន់ម៉ាស៊ីនផ្សេងៗទៀតនៅក្នុងបណ្តាញ។

វេបសាយដែលត្រូវបានស្គាល់ថាមានបង្កប់មេរោគ

ខាងក្រោមនេះគឺជាវេបសាយដែលត្រូវបានគេស្គាល់ក្នុងពេលនេះ ដែលធ្វើការចែកចាយមេរោគ Bad Rabbit:

  • argumentiru[.]com
  • www.fontanka[.]ru
  • grupovo[.]bg
  • www.sinematurk[.]com
  • www.aica[.]co
  • spbvoditel[.]ru
  • argumenti[.]ru
  • www.mediaport[.]ua
  • blog.fontanka[.]ru
  • an-crimea[.]ru
  • www.t.ks[.]ua
  • most-dnepr[.]info
  • osvitaporta[.]com
  • www.otbrana[.]com
  • calendar.fontanka[.]ru
  • www.grupovo[.]bg
  • www.pensionhotel[.]cz
  • www.online812[.]ru
  • www.imer[.]ro
  • novayagazeta.spb[.]ru
  • i24[.]com
  • bg.pensionhotel[.]com
  • ankerch-crimea[.]ru

ផលប៉ៈពាល់

Bad Rabbit គឺដូចគ្នាទៅនឹងមេរោគចាប់ជំរិតដទៃទៀតដែរ ដែលវានឹងធ្វើកូដនីយកម្ម (encrypt) ទៅលើឯកសាររបស់អ្នក ដែលជាហេតុធ្វើឲ្យអ្នកមិនអាចបើកបានឡើយ ដែលមានដូចជាឯកសារ Word, Video, Images, Audio, ល។ ឧក្រិដ្ឋជន ទាមទារឲ្យជនរងគ្រោះបង់ប្រាក់ចំនួន 0.05 bitcoin  (ដែលមានតម្លៃប្រហែល ២៨៥ដុល្លាក្នុងអត្រាបច្ចុប្បន្ន) ដើម្បីអាចធ្វើការ​ decrypt ឯកសាររបស់អ្នកមកវិញបាន។

អនុសាសន៍ណែនាំ

CamCERT​ សូមធ្វើការណែនាំនូវចំនុចមួយចំនួនដូចខាងក្រោម ដើម្បីការពារខ្លួនអ្នកៈ

– ចូលកុំចូលទៅកាន់វេបសាយមានបញ្ហា ដែលមានរៀបរាប់ខាងលើ
– សូមកុំចុចទៅលើតំណរភ្ជាប់ (link) ណាដែលមានការសង្ស័យ ដែលអាចនាំអ្នកទៅកាន់វេបសាយដែលមានបញ្ហា
– កុំធ្វើការទាញយក​ (download) នូវកម្មវិធីចេញពីក្នុងវេបសាយមិនដែលស្គាល់ ឬមិនផ្លូវការដែលវាអាចមានមេរោគភ្ជាប់មកជាមួយ

តើត្រូវធ្វើដូចម្តេចបើសិនជាអ្នកឆ្លងមេរោគនោះ?

អ្នកអាចចូលទៅកាន់វេបសាយខាងក្រោមដើម្បីទាញយកកម្មវិធីសម្រាប់ព្យាបាល https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware.

– សម្រាប់យុទ្ធវិធីការពារ និងទប់ស្កាត់សូមចូលទៅកាន់ទំព័រនេះ– សម្រាប់អ្នកដែលចេះបច្ចេកទេស សូមធ្វើតាមចំនុចដូចខាងក្រោមៈ

  • ធ្វើការ Block​ មិនឲ្យដំណើរការនូវ files c:\windows\infpub.dat​ និង c:\Windows\cscc.dat.
  • ធ្វើការបិទមុខងារ WMI service ដើម្បីការពារមេរោគនេះមិនឲ្យធ្វើការរីករាលដាលទៅក្នុងបណ្តាញ
  • ដើម្បីការពារខ្លួនអ្នកបានល្អ សូមចូលទៅកាន់វេបសាយ https://www.nomoreransom.org/en/index.html.

ឯកសារយោង

https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

https://malwaretips.com/threads/bad-rabbit-ransomware-attack-hits-russia-ukraine.76488/

https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html

https://www.darkreading.com/attacks-breaches/bad-rabbit-ransomware-attacks-rock-russia-ukraine—and-beyond/d/d-id/1330208?piddl_msgorder=asc

https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware