September 23, 2020

Language:

ស្វែងយល់អំពីមេរោគចាប់ជំរិត វិធីសាស្ត្រការពារ និងយន្តការសង្រ្គោះ

១.ព័ត៌មានទូទៅ
មេរោគចាប់ជំរិតគឺជាប្រភេទមួយនៃការគំរាមគំហែងតាមប្រព័ន្ធអ៊ិនធឺណិតដែលមានគ្រោះថ្នាក់ខ្លាំងចំពោះអាជីវកម្ម និងបុគ្គលម្នាក់ៗ។ សេចក្តីណែនាំនេះនឹងផ្តល់នូវចំណេះដឹងបន្ថែមទៀតស្តីអំពីមេរោគចាប់ជំរិត និងយន្តការសម្រាប់អង្គភាព អាជីវកម្ម និងអ្នកប្រើប្រាស់បច្ចេកវិទ្យាក្នុងការទប់ស្កាត់ និងសង្រ្គោះទៅលើបញ្ហានេះ។

២.តើអ្វីទៅជាមេរោគចាប់ជំរិត (ransomware)
មេរោគចាប់ជំរិតគឺជាប្រភេទនៃមេរោគដែលនឹងធ្វើកូដនីយកម្ម (encrypted) ទៅលើឯកសារ (files) នានារបស់ជនរងគ្រោះ ដែលមាននៅក្នុងកុំព្យូទ័រ ឬឧបករណ៍ចល័ត រហូតទាល់តែមានការបង់ប្រាក់ដើម្បីបានឯកសារទាំងនោះមកវិញ (decrypted)។ មានមេរោគចាប់ជំរិតប្រភេទខ្លះអាចមានសមត្ថភាពក្នុងការឆ្លងតាមណេតវើក ហើយធ្វើកូដនីយកម្មទៅលើ ឯកសារទាំងឡាយណាដែលរក្សាទុកនៅក្នុង hard drive សម្រាប់ធ្វើការចែករំលែកផងដែរ។

នៅពេលដែលឯកសារនានាត្រូវបានធ្វើកូដនីយកម្ម ព័ត៌មានស្តីពីការបង់ប្រាក់លោះត្រូវបានបង្ហាញប្រាប់ដល់ជនរងគ្រោះ ហើយនឹងជំហានក្នុងការសង្គ្រោះឯកសារត្រលប់មកវិញ។ ឧក្រិដ្ឋជនក៏នឹងធ្វើការជម្រុញឲ្យអ្នកប្រើប្រាស់ធ្វើការបង់ប្រាក់ ឲ្យបានលឿនផងដែរ បើមិនដូច្នេះទេពួកគេនឹងធ្វើការលប់ចោលនូវកូនសោរដែលប្រើប្រាស់ដើម្បីសង្គ្រោះទិន្នន័យជាមិនខាន។

៣.តើមេរោគចាប់ជំរិតឆ្លងយ៉ាងដូម្តេច?
វិធីសាស្ត្រមួយដែលពេញនិយមបំផុតនោះគឺតាមរយៈ phishing email ដែលមានភ្ជាប់មកជាមួយនឹងនូវមេរោគ ឬក៏បញ្ជប់ (links)។ អ្នកប្រើប្រាស់អាចឆ្លងនូវមេរោគប្រភេទនេះ បើសិនជាពួកគេបើកនូវ attachments ឬចុចទៅលើ links ដែលជាទូទៅគឺធ្វើការដោនឡូតនូវមេរោគ ransomware ពីអ៊ិនធឺណិតរួចដំណើរការតែម្តង។

វិធីសាស្ត្រមួយទៀតគឺការឆ្លងតាមរយៈ ផ្ទាំងផ្សព្វផ្សាយពាណិជ្ជកម្មដែលបង្កប់មេរោគ (malicious ads) ដែលនឹងវាយលុក ចូលទៅក្នុងចំនុចខ្សោយនៃកម្មវិធីសម្រាប់បើកចូលវេបសាយដែលយើងហៅថា browers ដើម្បីតម្លើងមេរោគចាប់ជំរិតនេះ។ វិធីសាស្ត្រនេះត្រូវបានគេស្គាល់ជាទូទៅថាជា drive-by downloads ។ ផ្ទាំងផ្សាយពាណិជ្ជកម្មរបៀបនេះត្រូវបានគេរកឃើញ នៅក្នុងវេបសាយមានប្រភពមិនច្បាស់លាស់ (malicious website) ឬវេបសាយផ្លូវការផងដែរ (legitimate website) ក្នុងករណីដែលសេវាផ្សព្វផ្សាយពាណិជ្ជកម្មត្រូវបានគេហេគចូលគ្រប់គ្រងបានដោយចោរបច្ចេកវិទ្យា។

វិធីសាស្ត្រមួយទៀតដែលអាចឆ្លងដែរនោះគឺការឆ្លងតាមរយៈណេតវើក។ វាអាចទៅរួចគឺដោយការប្រើប្រាស់ចំនុចខ្សោយដែល មាននៅក្នុងសេវាមួយចំនួន ដូចជាករណី Server Message Block (SMB) protocol ដែលត្រូវបានវាយប្រហារដោយមេរោគ ចាប់ជំរិតមួយឈ្មោះថា WannaCry ransomware។

៤.រោគសញ្ញានៃមេរោគចាប់ជំរិត
រោគសញ្ញាចំបងនៃការឆ្លងមេរោគចាប់ជំរិតគឺជនរងគ្រោះមិនអាចធ្វើការអាក់សេសទៅកាន់ឯកសារនានារបស់ខ្លួននៅក្នុងកុំព្យូទ័របាន។ ឯកសារទាំងនោះនឹងត្រូវបានជំនួសដោយការចាក់សោរ ឬកូដនីយកម្ម (encryption) ហើយដែលមាន file extension តំណាងឲ្យមេរោគចាប់ជំរិតនោះ។ ជាមួយគ្នានោះដែរ សាររៀបរាប់អំពីវិធីសាស្ត្រក្នុងការសង្គ្រោះឯកសារមកវិញនឹងត្រូវបង្ហាញ ដល់អ្នកប្រើប្រាស់ជាមួយនឹងទំហំទឹកប្រាក់ដែលត្រូវបង់។

មេរោគចាប់ជំរិតភាគច្រើននឹងដាក់នូវថ្ងៃផុតកំណត់ក្នុងការបង់ប្រាក់។ បើសិនជាអ្នកប្រើប្រាស់មិនបានបង់តាមការកំណត់នោះទេ ទំហំទឹកប្រាក់នឹងកើនឡើង ឬក៏អ្នកមិនអាចធ្វើការសង្គ្រោះឯកសារទាំងអស់មកវិញទាំងម្តង។

៥.ផលវិបាកនៃមេរោគចាប់ជំរិត
មេរោគចាប់ជំរិតគឺមានគោលដៅវាយប្រហារដល់អ្នកប្រើប្រាស់ធម្មតា និងអាជីវកម្ម។ ព័ត៌មានផ្ទាល់ខ្លួន ព័ត៌មានសំងាត់ និងព័ត៌មានអាជីវកម្មនានារបស់អ្នកនឹងត្រូវបាត់បង់បើសិនជាអ្នកមិនមានការធ្វើថតចំលងទុកនោះទេ (back-up)។ ប្រតិបតិ្តការអាជីវកម្មរបស់អ្នកក៏អាចមានការប៉ៈពាល់ផងដែរ បើសិនជាបុគ្គលិករបស់អ្នកមិនមានលទ្ធភាពអាក់សេសទៅកាន់ឯកសារបាន។ បន្ថែមជាមួយគ្នានោះផងដែរ អ្នកនឹងអាចចំណាយថវិការច្រើនក្នុងការស្រោចស្រង់ប្រព័ន្ធឲ្យដំណើរការធម្មតាមកវិញ។

បច្ចុប្បន្ននេះ ការស្រោចស្រង់ទិន្នន័យដែលបានធ្វើកូដនីយកម្មដោយមេរោគចាប់ជំរិតគឺវាមានការលំបាកខ្លាំងណាស់ ដោយសារ ដែលកូនសោរ (decryptor key) គឺជាវិធីសាស្ត្រតែមួយប៉ុណ្ណោះក្នុងការធ្វើវិកូដនីយកម្ម (decrypt)។ កូនសោរនិមួយៗគឺខុសៗ គ្នាទៅតាមប្រភេទនៃមេរោគចាប់ជំរិត ហើយមេរោគចាប់ជំរិតថ្មីៗគឺមិនទាន់មានកូនសោរ (ដែលអាចប្រើប្រាស់បានដោយកម្មវិធី កំចាត់មេរោគ) នៅឡើយទេ។

៦.ការណែនាំ
យន្តការការពារគឺជាកូនសោរមួយដ៏សំខាន់ដើម្បីជៀសវាងមិនឲ្យក្លាយខ្លួនជាជនរងគ្រោះដោយសារមេរោគចាប់ជំរិត។ វាសំខាន់ ណាស់ក្នុងការធ្វើការថតចំលងទុកជាប្រចាំ (back-up) និងមានផែនការសង្គ្រោះសម្រាប់ទិន្នន័យសំខាន់ៗ។

CamCERT សូមធ្វើការណែនាំអ្នកប្រើប្រាស់នូវយន្តការការពារមួយចំនួនប្រឆាំងទៅនឹងមេរោគចាប់ជំរិត៖

ក.ធ្វើការថតចំលងទុកឯកសារជាប្រចាំ (regular backup)
ការមាននូវយន្តការក្នុងការថតចំលងឯកសារទុកជាប្រចាំគឺនឹងជួយយើងកាត់បន្ថយទំហំនៃការខូចខាតដោយសារការវាយប្រហារពីមេរោគចាប់ជំរិត។ ដោយសារតែមេរោគចាប់ជំរិតគឺមានលទ្ធភាពក្នុងការឆ្លងចូលទៅកាន់ឧបករណ៍រក្សាទុកទិន្នន័យនៅក្នុង បណ្តាញ អ្នកត្រូវតែដាក់ឧបករណ៍ទាំងនោះដាក់ដោយឡែកមិនភ្ជាប់ក្នុងណេតវើក ឬអ៊ិនធឺណិត (offline)។

ខ.ធ្វើការអាប់ដេតសូហ្វវែរឲ្យបានទៀងទាត់​ (update software regularly)
មេរោគចាប់ជំរិតភាគខ្លះគឺពឹងផ្អែកទៅលើចំនុចខ្សោយនៅក្នុងសូហ្វវែរដើម្បីធ្វើការវាយប្រហារឆ្លងចូលប្រព័ន្ធ។ សូមធ្វើការ អាប់ដេតទៅលើប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីទាំងអស់ដែលអ្នកប្រើប្រាស់ដើម្បីទប់ស្កាត់ការវាយប្រហាររបៀបនេះ។

សូមតម្លើងកម្មវិធីកំចាត់មេរោគហើយអាប់ដេតវាជាប្រចាំ។ ធ្វើការស្កេនកុំព្យូទ័ររបស់អ្នកទាំងមូលយ៉ាងហោចណាស់មួយសប្តាហ៍ ម្តង ហើយធ្វើការស្កេនរាល់ឯកសារទាំងអស់ដែលអ្នកទទួលបានក្នុងអ៊ីម៉ែល និងស្កេនរាល់ USB Drive ដែលភ្ជាប់នៅក្នុងម៉ាស៊ីន របស់អ្នក។

៧.ចំនុចមួយចំនួនផ្សេងទៀតដែលអ្នកគួរពិចារណា
ខាងក្រោមនេះគឺជាយន្តការទប់ស្កាត់មួយចំនួនទៀតដែលអ្នកគួរពិចារណាបន្ថែមទៀតដើម្បីការពារប្រឆាំងនឹងមេរោគចាប់ជំរិត។

ក.បញ្ចូល ad-blocker, script blocker នៅក្នុង web brower
ការបញ្ចូលកូនកម្មវីធីទាំងនេះនឹងអាចអនុញ្ញាតឲ្យអ្នករាំងខ្ទប់នូវដំណើរការនៃ scripts ឬ advertisement នៅក្នុង web browsers បើសិនជាអ្នកមិនចង់បាន ហើយអ្នកអនុញ្ញាតឲ្យតែអ្វីដែលអ្នកទុកចិត្តប៉ុណ្ណោះ។

ខ.កូដនីយកម្មទិន្នន័យសំខាន់ៗ
មេរោគចាប់ជំរិតមួយចំនួនគឺវាយប្រហារតែទៅលើឯកសារណាដែលនិយមប្រើប្រាស់មានដូចជាឯកសារប្រភេទរូបភាព (images) និងឯកសារ words, excel, powerpoint, …។ល។ សូមពិចារណាក្នុងការធ្វើកូដនីយកម្មទៅលើឯកសារសំខាន់ៗ ដែលវានឹងអាចជួយអ្នកពីមេរោគចាប់ជំរិតផងដែរ។

គ.ដំណើរការតែ Microsoft Office Macros តែនៅពេលដែលត្រូវការតែប៉ុណ្ណោះ
វិធីសាស្ត្រវាយលុកមួយរបស់មេរោគចាប់ជំរិតនោះគឺការប្រើប្រាស់មុខងារ macros របស់ Microsoft Office ដើម្បីឆ្លងចូលម៉ាស៊ីន កុំព្យូទ័ររបស់អ្នក។ វាមានទម្រង់ជាឯកសារប្រភេទ Microsoft Office ដែលអាចដំណើរការមុខងារ macros ហើយបន្លំបោក បញ្ជោតឲ្យអ្នកប្រើប្រាស់ចុច enable macros ដើម្បីមើលនូវព័ត៌មាន ឬខ្លឹមសារនៅក្នុងឯកសារនោះ។ អ្នកប្រើប្រាស់ត្រូវតែមាន ការប្រុងប្រយ័ត្នខ្ពស់ ហើយបើកដំណើរការ enable macros តែចំពោះឯកសារណាដែលអ្នកទុកចិត្តតែប៉ុណ្ណោះ។

ឃ.តម្លើងនូវកម្មវិធីសម្រាប់គ្រប់គ្រងកម្មវិធី (Application Control)
អ្នកប្រើប្រាស់គួរតែពិចារណាក្នុងការតម្លើងកម្មវិធីគ្រប់គ្រងទៅលើកម្មវិធី ឬសូហ្វវែរដែលផ្តល់នូវមុខងារ application និង/ឬ directory whitelisting ។ Whitelisting អនុញ្ញាតឲ្យតែកម្មវីធីទាំងឡាយណាដែលមាននៅក្នុងបញ្ជីដំណើរការតែប៉ុណ្ណោះ នៅពេលដែលធ្វើការរាំងខ្ទប់កម្មវិធីដទៃទៀត ហើយវាគឺជាការអនុវត្តមួយដ៏ល្អក្នុងការការពារប្រព័ន្ធកុំព្យូទ័រ។

ង.បិទសេវាណាមិនចាំបាច់ (Unnecessary Services)
មានមេរោគចាប់ជំរិតមួយចំនួនអាចប្រើប្រាស់នូវចំនុចខ្សោយដែលមាននៅក្នុង background services ដើម្បីធ្វើការចំលងខ្លួនវា ទៅក្នុងកុំព្យូទ័រនៅក្នុងណេតវើក។ សេវា Remote Desktop Protocol (RDP) គឺជាឧទាហរណ៍មួយដែលអាចធ្វើការវាយប្រហារ បាន។ សូមពិចារណាក្នុងការបិទមុខងារទាំងនោះបើសិនជាអ្នកមិនប្រើប្រាស់វានោះទេ ដែលវាអាចជួយទប់ស្កាត់មិនឲ្យមេរោគធ្វើ ការជ្រៀតចូលវាយលុកទៅក្នុងសេវាទាំងនោះ។

៨.វិធីសាស្ត្រក្នុងការសង្រ្គោះពីមេរោគចាប់ជំរិត

នៅក្នុងខណៈពេលដែលម៉ាស៊ីនរបស់អ្នកឆ្លងមេរោគចាប់ជំរិត CamCERT សូមធ្វើការណែនាំនូវយន្តការមួយចំនួនដូច ខាងក្រោម៖
១. ធ្វើការផ្តាច់កុំព្យូទ័រដែលឆ្លងមេរោគចាប់ជំរិតចេញពីណេតវើកជាបន្ទាន់ ដែលអាចការពារមិនឲ្យមានការរីករាលដាលនៃ មេរោគនោះនៅក្នុងណេតវើករបស់អ្នក

២. ធ្វើការស្កេនទៅលើម៉ាស៊ីនកុំព្យូទ័រជាមួយនឹងកម្មវិធីកំចាត់មេរោគ ដើម្បីធ្វើការកំចាត់មេរោគចេញពីក្នុងកុំព្យូទ័រ

៣. ចូរទៅកាន់វេបសាយ https://www.nomoreransom.org/ ឬវេបសាយ https://id-ransomware.malwarehunterteam.com/ ដើម្បីស្វែងរកប្រភេទនៃមេរោគចាប់ជំរិតនោះ

៤. ធ្វើការសង្គ្រោះទិន្នន័យពីក្នុង backup ។ បើសិនជាអាចសូមធ្វើវានៅលើម៉ាស៊ីនដែលត្រូវបានតម្លើងប្រព័ន្ធប្រតិបត្តិការថ្មី

៥. សូមរាយការណ៍អំពីបញ្ហានេះទៅកាន់ CamCERT តាមរយៈអ៊ីម៉ែល incident@camcert.gov.kh ឬតាមរយៈទូរស័ព្ទលេខ +855 23 722 391 សម្រាប់ជំនួយបន្ថែម។ រាល់ព័ត៌មានទាំងអស់នឹងត្រូវរក្សាការសំងាត់។

 

៩.ព័ត៌មានពាក់ព័ន្ធ

https://www.nomoreransom.org/
https://www.us-cert.gov/ncas/alerts/TA16-091A
– Poster អំពីមេរោគចាប់ជំរិត https://www.camcert.gov.kh/poster-ransomware/

វិដេអូបន្ថែមពី YouTube

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.