ព័ត៌មាន

FBI ជូនដំណឹងអំពីមេរោគ LockerGoga និង MegaCortex Ransomware

Thursday, ទី26 December, ឆ្នាំ2019 02:12 am 0

FBI ចេញការព្រមានដល់ឧស្សាហកម្មឯកជនឱ្យផ្តល់ព័ត៌មាន និងផ្តល់ការណែនាំអំពីមេរោគ LockerGoga និងMegaCortex។ ទាំង LockerGoga និងMegaCortex ជាមេរោគដែលកំណត់គោលដៅលើសហគ្រាស ដោយមេរោគនោះធ្វើការសម្របសម្រួលលើបណ្ដាញហើយបន្ទាប់មកព្យាយាមអ៊ិនគ្រីបឧបករណ៍ទាំងអស់។ ក្នុងកម្មវិធី FBI Flash Alert ដែលគេស្គាល់ថា TLP: Amber នោះ ធ្វើឱ្យអង្គភាព FBI ព្រមានដល់ឧស្សាហកម្មឯកជនទាក់ទងនឹងការឆ្លងមេរោគទាំងពីរ និងរបៀបដែលមេរោគទាំងនោះវាយប្រហារលើបណ្តាញ។

image

យោងតាមការដាស់តឿន តួអង្គដែលនៅពីក្រោយ LockerGoga និង MegaCortex នឹងទទួលទីតាំងឈរជើងនៅលើបណ្តាញសាជីវកម្មដោយប្រើការកេងប្រវ័ញ្ច ធ្វើការវាយប្រហារ ធ្វើការលួចបន្លំ  ធ្វើការបញ្ចូល SQL និងអត្តសញ្ញាណប័ណ្ណចូល។ នៅពេលដែលបណ្តាញរងការសម្របសម្រួល តួអង្គគំរាមកំហែងនឹងដំឡើងលើឧបករណ៍សាកល្បងតាមរយៈការជ្រៀតចូលដែលមានឈ្មោះថា Cobalt Strike។ ឧបករណ៍នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដាក់ពង្រាយ beacons នៅលើឧបករណ៍ ដែលធ្វើការសម្របសម្រួលដើម្បីបង្កើតប្រតិបត្តិស្គ្រីប PowerShell អនុវត្តសិទ្ធិ ឬបង្កើតវគ្គថ្មីដើម្បីបង្កើតអ្នកស្តាប់លើប្រព័ន្ធរបស់ជនរងគ្រោះ។ នៅពេលដែលបណ្តាញរងការសម្របសម្រួលភ្នាក់ងារនឹងមានទីតាំងនៅលើបណ្តាញអស់រយៈពេលជាច្រើនខែមុនពេលពួកគេដាក់ពង្រាយមេរោគ LockerGoga ឬ MegaCortex ។

image

ខណៈដែល FBI មិនបកស្រាយពីអ្វីដែលអ្នកវាយប្រហារទាំងនេះកំពុងធ្វើនៅក្នុងអំឡុងពេលនេះ ភ្នាក់ងារមេរោគប្រហែលជាកំពុងបំពេញបន្ថែមទិន្នន័យដាក់ពង្រាយមុខងារលួចព័ត៌មាន និងលួចប្រព័ន្ធការងារ(workstations) និងម៉ាស៊ីនបម្រើផ្សេងទៀត។ នៅពេលដែលបណ្តាញត្រូវគេប្រមូល អ្នកវាយប្រហារនឹងដាក់ពង្រាយមេរោគ LockerGoga ឬ MegaCortex ដូច្នេះពួកគេអាចចាប់ផ្តើមអ៊ិនគ្រីបឧបករណ៍នៅលើបណ្តាញ។  កត្តានេះនឹងបង្កើតប្រភពចំណូលចុងក្រោយសម្រាប់អ្នកវាយប្រហារ។  ក្នុងអំឡុងពេលនៃការពង្រាយមេរោគ FBI បញ្ជាកថា ភ្នាក់ងារនឹងប្រតិបត្តិកញ្ចប់ឯកសារ kill.bat ឬ stop.bat ដែលវានឹងបញ្ចប់ដំណើរការ និងសេវាកម្មទាក់ទងនឹងកម្មវិធីសន្តិសុខ បិទមុខងារស្កេនវីនដូ និងបិទសេវាកម្មដែលទាក់ទងនឹងសុវត្ថិភាព។  ការឆ្លងមេរោគទាំងពីរនេះប្រើក្បួនដោះស្រាយតាមរយៈការអ៊ិនគ្រីបដែលមានសុវត្ថិភាពដោយមានន័យថាមិនអាចឌិគ្រីបពួកគេដោយឥតគិតថ្លៃទេ។

ការណែនាំរបស់ FBI

FBI ផ្តល់ការណែនាំ និងផ្តល់យោបល់ថា ម្ចាស់អាជីវកម្មគួរតែកាត់បន្ថយហានិភ័យរបស់ពួកគេចំពោះមេរោគ LockerGoga និង MegaCortex ។ អនុសាស្ត្រដ៏សំខាន់បំផុតដែល FBI ផ្តល់ឱ្យអាយគឺដើម្បីធ្វើឱ្យប្រាកដថា អ្នកបម្រុងរក្សាទុកទិន្នន័យជាទៀងទាត់ រក្សាការបម្រុងទុកនៅក្រៅបណ្តាញ និងផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃដំណើរការបម្រុងទុក ។ អ្នកកត្រូវតែឧស្សាហ៍ស្តារទិន្នន័យរបស់អ្នក។

សំណើរផ្សេងទៀត៖

– ត្រូវប្រាកដថា កម្មវិធី និងប្រព័ន្ធប្រតិបត្តិការដែលដំឡើងមានការអាប់ដេត។ ប្រការនេះជួយការពារភាពងាយរងគ្រោះពីការកេងប្រវ័ញ្ចពីអ្នកវាយប្រហារ។

-បើកដំណើរការការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដោយប្រើមធ្យោបាយពីរកត្តា និងប្រើពាក្យសម្ងាត់រឹងមាំដើម្បីរារាំងការវាយប្រហារ ការលួចបន្លំអត្តសញ្ញាណសម្គាល់លួចឬការចូលផ្សេងទៀត។

-ការចូលដំណើរការទៅលើម៉ាស៊ីនមេពីចម្ងាយ និងការបង្ហាញជាសាធារណៈគឺជាមធ្យោបាយទូទៅសម្រាប់អ្នកវាយប្រហារដើម្បីទទួលបណ្តាញ ហើយរាល់អាជីវកម្មគួរតែធ្វើសវនកម្មកំណត់ហេតុសម្រាប់ពិធីការតភ្ជាប់ពីចម្ងាយ។

-ធ្វើសវនកម្មលើការបង្កើតគណនីថ្មី

-ស្កេនរកច្រកបើក ឬស្តាប់នៅលើបណ្តាញហើយបិទពួកគេពីការចូលដំណើរការ

-បិទ SMBv១ ព្រោះថា ភាពងាយរងគ្រោះ និងចំនុចខ្សោយជាច្រើនមាននៅក្នុងពិធីសារ

– ត្រួតពិនិត្យការផ្លាស់ប្តូរបញ្ជីឈ្មោះ និងក្រុមអ្នកគ្រប់គ្រងសម្រាប់អង្គភាពដែលគ្មានការអនុញ្ញាត

-ត្រូវប្រាកដថា អ្នកកំពុងប្រើ PowerShell ដែលទាន់សម័យ និងលុបចោលនូវជំនាន់ចាស់

-បើកដំណើរការចូល PowerShell និងត្រួតពិនិត្យពាក្យបញ្ជាមិនធម្មតាជាពិសេសលើការប្រតិបត្តិនៃអ៊ីនធឺរណិតដែលគេអ៊ិនគ្រីប Base64 PowerShell

Tags: