3

Wannacry ऱ्यान्समवेयर र त्यसले नेपालमा पारेको प्रभाव र जोगिने उपायहरू

हामी पहिले देखिनै फिरौती माग्ने ऱ्यान्समवेयर (Ransomware) (कम्पयुटर भाईरसको एक प्रकार) का बारेमा सुन्दै आएका छौं। जस्तै: Cryptowall, Jigsaw, Cerber, Cryptolocker, Teslacrypt, Locky आदि।  यी ransomware हरूले हाम्रो कम्पुटरमा पसिसकेपछि त्यहाँ भएका सबै फाईललाई लक (encrypt) गरिदिन्छ र फिरौती रकम नतिरेसम्म हाम्रा फाइलहरू  प्रयोग गर्नबाट  रोक्छ। अहिले निक्कै सुन्नमा आएको र संसारभरि नै फैलिएर तहल्का मच्चाएको ‘WannaCry’ भन्ने ransomware आफै एक कम्प्युटर बाट अर्कोमा सर्ने प्रकृति भएको ransomware हो जसलाई ransomware worm पनि भनिन्छ। ‘Oops! Your important files are encrypted.’ भन्ने सन्देश कम्प्युटरमा देखाएर साईबर अपराधीहरुले १२ मे २०१७ देखि शुरु गरेको निक्कै नै जटिल cyber आक्रमण हो।

गत शुक्रबारदेखि अति नै आतंक मच्चाउन थालेको यो ransomware ले इन्टरनेटसँग जडित उपकरणहरुलाई आफ्नो शिकार बनाउदै हजारौं उपकरणहरुलाई संक्रमण गरिसकेको छ। यसको मुख्य सिकारहरु रुस, भारत र युक्रेन भएका छन। यसले मुख्यत: सरकारी सेवा, रेल्वे सेवा, अस्पताल, विश्वविद्यालयलाई निसाना बनाएको छ।

हाम्रो प्रारम्भिक अनुसन्धान अनुसार यसले नेपालमा पनि केहि ठूला इन्टरनेट प्रदायक सँस्था, दुरसञ्चार प्रदायक सँस्था र केहि निजी सँस्थाहरुलाई आफ्नो शिकार बनाईसकेको आशङ्का छ । यी संस्थाहरू ‘wannacry ransomware’ ले उपयोग गरेको विन्डोज अपरेटिङ सिष्टमकका कमजोरीहरु ‘EternalBlue’ र ‘DoublePulsar’ लाई समयमै समाधान नगरेका हुनाले संक्रमित हुने सम्भावना बढेको हो।

विन्डोज १० अगाडी का MS-17-010 update नहालेका सबै विन्डोज अपरेटिङ सिष्टम ‘WannaCry’ बाट संक्रमित हुने खतरामा छन। यो ransomware फैलिनको लागि EternalBlue MS-17-010 को उपयोग गर्छ। EternalBlue अमेरिकी गुप्तचर  सँस्थाले बनाएको exploit(अनुचित लाभ लिने उद्धेश्यले तयार गरिएको सफ्टवेयर साधन) हो जुन हालसालै ‘Shadow Brokers’ नामक ह्याकर संगठनले सार्वजनिक गरेको थियो। EternalBlue ले माईक्रोसफ्ट विन्डोजमा प्रयोग भएको Server Message Block (SMB) प्रोटोकल लाई दुरुपयोग (exploit) गर्दछ।

अहिले यो ransomware worm को फैलिने क्रम रोकिएको छ ‘MalwareTech‘ नामका malware खोजकर्ताले यसलाई रोकेका हुन।  केहि रिपोर्ट अनुसार ‘WannaCry’ ले मे १७ सम्ममा ७२,००० अमेरिकी डलर फिरौती उठाईसकेको छ। यो रकम यस ransomware मा तोकिएको तिनवटा bitcoin (एक प्रकार को digital मुद्रा) ठेगाना मा जम्मा भएको हो।

यसबाट कसरी सुरक्षित रहने ?

  • माइक्रोसफ्टले जारी गरेको MS17-010 update राखेको सुनिश्चित गर्नुहोस्। नराखेको भए तुरुन्तै राख्नुहोस्।
  • यदि तपाईंको सँस्थामा SMB (ports 139, 445) सार्वजनिक पहुँचमा छ भने, बाहिरबाट भित्र तर्फ़ आउने traffic लाई रोक्नुहोस्।
  • यदि तपाईको सँस्थामा snort प्रयोग हुन्छ भने snort 42329-42332, 42340, 41978 नियमहरु लागू गर्नुहोस्।

यस्तै किसिमका खतराबाट भविस्यमा पनि सुरक्षित हुन कम्तिमा तल का बुँदाहरू कार्यान्वयन गर्नुहोस

  • मुख्य रुपमा आफ्नो महत्वपूर्ण फाइलहरू नियमित रुपमा कुनै बाह्य स्टोरेज (जस्तो कि pendrive वा removeable हार्डडिस्क) मा backup (प्रतिलिपि) राख्नुहोस।
  • आफ्नो anti-spam र antivirus सेटिङ आफू अनुकूल बनाउनुहोस।
  • ईमेल वा सोसल नेटवर्कमार्फत आएका कुनै शङ्कास्पद attachment नखोल्नुहोस।
  • कुनैपनि लिङ्कमा क्लिक गर्नु अगाडी राम्ररी सोच्नुहोस, शङ्का लागेमा क्लिक नगर्नुहोस्।
  • आफ्नो अपरेटिंग सिस्टम र सफ्टवेरहरुलाई नियमित update गर्नुहोस।
  • कुनै संकास्पद प्रोसेस कम्प्युटरमा सुचारु भएमा इन्टरनेट तुरुन्त रोक्नुहोस् र स्वत सुरु नहुने बनाउनुहोस।
  • Windows firewall सधैँ चालु राख्नुहोस, सक्नुहुन्छ भने अरु थप firewall को व्यवस्था गर्नुहोस।
  • Antivirus मा compressed र archived फाइल स्क्यान गर्ने सेटिङ्ग बनाउनुहोस।
  • यदि प्रयोग नहुने हो भने Windows PowerShell बन्द गरिदिनुहोस।
  • माइक्रोसफ्ट अफिसमा ‘macros’ र ‘ActiveX’ बन्द गरिदिनुहोस।
  • इन्टरनेट ब्राउजरमा popup रोक्ने addon हाल्नुहोस।
  • Autoplay लाई बन्द गरिदिनुहोस।
  • File sharing लाई आवश्यक परेको बेला बाहेक बन्द गरिदिनुहोस।
  • Remote service अति आवश्यक परेको बेला बाहेक बन्द गरिदिनुहोस।

केहि थप जानकारीहरू

यस ransomware ले निम्न प्रकारका फाइल encrypt गर्न खोज्छ:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

यस ransomware ले फिरौती लिन प्रयोग गरेको bitcoin ठेगाना:
’13AM4VW2dhxYgXeQepoHkHSQuy6Ng
’12t9YDPgwueZ9NyMgw519p7AA8isj
‘115p7UMMngoj1pMvkpHijcRdfJNXj

यस ransomware ले प्रयोग गरेका नियन्त्रक तथा आदेश सर्भर (C&C server)हरू:
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion

नियन्त्रक तथा आदेश सर्भरका IP address हरू:
188[.]166[.]23[.]127:443
193[.]23[.]244[.]244:443
2[.]3[.]69[.]209:9001
146[.]0[.]32[.]144:9001
50[.]7[.]161[.]218:9001
217[.]79[.]179[.]77
128[.]31[.]0[.]39
213[.]61[.]66[.]116
212[.]47[.]232[.]237
81[.]30[.]158[.]223
79[.]172[.]193[.]32
89[.]45[.]235[.]21
38[.]229[.]72[.]16
188[.]138[.]33[.]220

3 Comments

  1. And most important, if you get any hints that your device is affected by Ransomware, immediately shut down your device (forcefully, by pressing the power button) and call your IT consultant.

Leave a Reply

Your email address will not be published. Required fields are marked *