យល់​ដឹង​ពី​ផល​ប៉ះ​ពាល់​របស់​ Rombertik

ក្នុង​ប៉ុន្មាន​ថ្ងៃ​ថ្មី​ៗ​នេះ malware ថ្មី​មួយ​ត្រូវ​បាន​រក​ឃើញ និង​ប្រកាស​ឲ្យ​មាន​ការ​ប្រុង​ប្រយ័ត្ន​ខ្ពស់ ដោយ​ហេតុ​ថា malware នេះ​អាច​ធ្វើ​ឲ្យខូច Hard-disk តែ​ម្តង។ នៅ​ពេល​ដែល​ malware ឆ្លង​ចូល​ទៅក្នុង​ម៉ាស៊ីន​របស់​លោកអ្នក ហើយ​មាន​កម្មវិធីកម្ចាត់​មេរោគ​ណា​អាច​ចាប់ (detect) បាន​នោះ វា​នឹង​​ធ្វើ​ការ​លុប​ចោល​នូវ Master Boot Record (MBR) របស់​ device ក៏​ដូច​ជា home directories ដែល​ធ្វើ​ឲ្យ​ម៉ាស៊ីន​ធ្វើ​ការ restart ចុះ​ឡើងៗ​ឥត​ឈប់​ឈរ។

compromise-flow-wm

Malware ថ្មី​នេះ មាន​ឈ្មោះ​ថា Rombertik Malware ដែល unpacked version មាន​ទំហំ​ត្រឹង​តែ​ ២៨KB ប៉ុណ្ណោះ ខណៈ​ដែល packed version មាន​ទំហំ​ដល់​ទៅ ១២៦៤KB ដែល​ក្នុង​នោះ​រួម​មាន​រូបភាព​ចំនួន ៧៥ និង​មាន function ៨,000 ផ្សេង​ទៀត​ដែល​មិន​ត្រូវ​ការ​ប្រើប្រាស់​សោះ គឺ​គ្រាន់​តែ​ទុកសម្រាប់​ការពារ​ខ្លួន​ពី​ការ​ detect​ code របស់​វា​ តែ​​ប៉ុណ្ណោះ។ Rombertik តែងតែ​លាក់​ខ្លួន​ក្នុងកញ្ចប់​សុវត្ថិភាព (sandbox) ផ្ទាល់​ខ្លូន ដោយ​ធ្វើ​ការ​សរសេរ​នូវទិន្នន័យ​ដែលមាន​ byte ចម្រុះ ពាស​វាលកាលដល់​ទៅ ៩៦០ លាន​ដង​ឯ​នោះ ចូល​ក្នុង memory  ដើម្បី​គេច​ខ្លួន​ពី​កម្មវិធី​កម្ចាត់​មេរោគ ឬការ​ធ្វើ reverse code របស់​វា ផ្សេងៗ​ជាដើម ។

feature img

គន្លឹះ​នៃ​កា​រ​ឆ្លង malware នេះ

បើ​តាម​អ្នក​ស្រាវជ្រាវ​ផ្នែក​សុវត្ថិភាប របស់ Cisco លោក Ben Baker និង Alex Chiu បាន​និយាយ​ថា malware នេះ ច្រើន​តែ​ជា​របស់​បំភ័ន្ត​ភ្នែក ​ដែល​មាន​ភ្ជាប់​មក​​តាម​រយៈ email បោក​បញ្ឆោត។ នៅ​ពេល​ដែល​ជន​រង​គ្រោះ​ចុច​នៅ​លើ attachments នោះ វា​នឹង​ដំណើរការដោយ​ប្រុង​ប្រយ័ត្ន​បំផុត គឺ​ការ​ពារ​ខ្លួន​ពី​ការ analysis​ របស់​កម្មវិធី​កម្ចាត់​មេរោគ ហើយ​ពិនិត្យ​បន្ត​ទៀត​ថា​តើ វា​កំពុង​តែ​ត្រូវ​បានដំណើរការ​នៅ​ក្នុង sandbox របស់​កម្មវិធី​កម្ចាត់ ឬ​យ៉ាង​ណា។
features-pro-antivirus-sandbox-en

ប្រសិន​បើ​វា​មិន​ស្ថិត​នៅ​ក្នុង sandbox ទេ​នោះ នោះ Rombertik នឹង​ធ្វើ​ការ decrypt ហើយ​ដំឡើង (install) ខ្លួន​ឯង​ទៅ​ក្នុង​ម៉ាស៊ីន​របស់​ជនរង​គ្រោះ។ បន្ទាប់​មក​ មុន​ពេល​នឹង​ធ្វើ​ការ​លួច​ឃ្លាំ​មើល (spy) Rombertik នេះ​នឹង​ដំណើរការ​ការ​ត្រួត​ពិនិត្យ​ចុង​ក្រោយ​មួយ​ទៀត ដើម្បី​ប្រាកដ​ថា វា​មិន​ត្រូវ​បាន​កម្មវិធី​កម្ចាត់​មេរោគ analyze នៅ​ក្នុង​ memory។ ក្នុង​ករណី​ដែល​វា​ដឹង​ថា មាន​កម្មវិធី​ណា​កំពុង​តែ​ធ្វើ​ការ analyze វា​នោះ វា​នឹង​ធ្វើ​ការ​បំផ្លាញ​ចោល​នូវ master boot record (MBR) ចោល​តែ​ម្តង។

ជំហាន​បន្ទាប់ Rombertik នឹង​ធ្វើ​ការ restart ម៉ាស៊ីន ហើយ​ម៉ាស៊ីន​នោះ​ក៏​នឹង​ធ្វើ​ការ restart ចុះ​ឡើង​ៗ មិន​ចេះ​ចប់​ មិន​ចេះ​ហើយ ព្រោះ​ថា MBR របស់ hard drive ត្រូវ​បាន​បាត់​បង់​ទៅ​ហើយ​នោះ។ MBR គឺ​ជា sector ដំបូង​របស់ hard drive​ដែល​ system នឹង​ត្រូវ​ការ មុន​ពេល​ដំណើរការ load នូវ​ operating system។

ទឹក​ចុង​ក្រោយ Rombertik នឹង​ធ្វើ​ការ​បំផ្លាញ​ខ្លួន​ឯង (self-destruct) ដោយ​ពាំនាំ​ជាមួយ​នូវទិន្នន័យ​នៅ​ក្នុង hard drive របស់​ជន​រង​គ្រោះ​ទៅជាមួយ​ផង​ដែរ។

គន្លឹះ​នៃ​កា​រការពារ

មធ្យោបាយ​ដើម្បី​ការពារ​ខ្លួន ក្នុង​ពេល​បច្ចុប្បន្ន​នេះ គឺ​លោកអ្នក​ត្រូវ​ការ​កម្មវិធី​កម្ចាត់​មេរោគ​មួយ និង​កុំ​ទុក​ចិត្ត​នូវ​រាល់ email ឬតំណរ​ភ្ជាប់​ទាំង​ឡាយ​ណា​ដែល​លោកអ្នក​មិន​ធ្លាប់​ស្គាល់​ជាដើម​នោះ។

អត្ថ​បទ​គួរ​អាន គន្លឹះ​ពិនិត្យ​មើល Email មេរោគដែល​មិនគួរបើក

អត្ថ​បទ​គួរ​អាន វិធី​ការពារ​ការចុច Link បញ្ឆោត​ដ៏​មានប្រសិទ្ធភាព

Malware ប្រភេទ​ចូល​ទៅ​លុប​ទិន្នន័យ​ រួច​ធ្វើ​ការ​បំផ្លាញ​ខ្លួន​ ដើម្បី​បំបាត់​ភស្តុតាង​នេះ មិន​មាន​ជា​រឿង​ថ្មី​នោះ​ទេ ខណៈ​ដែល​កាល​ពី​ឆ្នាំ ២០១៣ មាន​ករណី malware ប្រភេទ​នេះ​ចូល​ទៅ​លុកលុយ ធនាគារ និង​ស្ថានីយ៍​ផ្សាយ​​មួយ​ចំនួន​របស់​សាធារណៈរដ្ឋ​កូរ៉េ ក៏​ដូច​ជា​ករណី​របស់​ក្រុមហ៊ុន Sony Pictures Entertainment កាល​ពី​ឆ្នាំ​មុន​ផង​ដែរ។

យ៉ាងណា​ក៏​ដោយ សំបុក​អាយធី សង្ឃឹម​ថា​ ប្រិយមិត្ត​របស់​ សំបុក​អាយធី នឹង​អាច​ការពារ​ខ្លួន និង​ជៀស​ផុត មិន​ក្លាយ​ជា​ជន​រង​គ្រោះ​របស់ malware នេះ​ នោះ​ឡើយ។ ដូច​នេះ កុំ​ភ្លេច​ចុច LIKE 😀

Leave a Reply