अघिल्लो हप्ता 'वान्नाक्राइ र्यान्समवेयर'ले १५० देशका २ लाख ३० हजार भन्दा धेरै कम्प्युटरमा एकैसाथ आक्रमण गरेर सन्सनी मच्चायो । वान्नाक्राइ र्यान्समवेयर एक किसिमको कम्प्युटर भाइरस हो, जसले तपाईको कम्प्युटरको डाटालाई नियन्त्रणमा लिन्छ (या भनौँ अपहरण गर्छ) र त्यसवापत फिरौती माग गर्छ । प्रयोगकर्ताले फिरौती रकम नतिरेसम्म, कम्प्युटरका डाटाहरु प्रयोग गर्नबाट रोक्छ । मेरो कम्प्युटर अरुको नियन्त्रणमा कसरी होला? मेरो आफ्नै कम्प्युटरमा रहेको डाटा प्रयोग गर्न नसक्ने पनि होला र? भनेर प्रयोगकर्तालाई जिज्ञासा लाग्नु सामान्य हो ।
हामी पहिले देखिनै फिरौती माग्ने ऱ्यान्समवेयर (Ransomware) (एक प्रकारको कम्प्युटर भाइरस) का बारेमा सुन्दै आएकाछौं। जस्तै: Cryptowall, Jigsaw, Cerber, Cryptolocker, Teslacrypt, Locky आदि। यी र्यान्समवेयरहरू हाम्रो कम्प्युटरमा प्रवेश गरेपछि, र्यान्समवेयरले त्यहाँ भएका सबै फाईललाई लक (encrypt) गरिदिन्छ र फिरौती रकम नतिरेसम्म हाम्रा फाइलहरू प्रयोग गर्नबाट रोक्छ। हालैका दिनमा निकै सुन्नमा आएको र संसारभरि नै फैलिएर तहल्का मच्चाएको वान्नाक्राइ र्यान्समवेयर (WannaCry Ransomware), आफैँ एक कम्प्युटरबाट अर्कोमा सर्ने प्रकृतिको र्यान्समवेयर हो जसलाई 'र्यान्समवेयर वर्म' (Ransomware Worm) पनि भनिन्छ। वान्नाक्राइ र्यान्समवेयर तपाईका महत्वपूर्ण फाइलहरु लक गरियो (Oops! Your important files are encrypted.) भन्ने सन्देश कम्प्युटरमा देखाएर साईबर अपराधीहरुले १२ मे २०१७ देखि शुरु गरेको निक्कै नै जटिलप्रकारको साइबर आक्रमण हो।
अघिल्लो शुक्रबारदेखि अति नै आतंक मच्चाउन थालेको यो र्यान्समवेयरले इन्टरनेटसँग जडित उपकरणहरुलाई आफ्नो शिकार बनाउँदै हजारौँ उपकरणहरुलाई संक्रमण गरिसकेको छ। यसको मुख्य शिकार रुस, भारत र युक्रेन भएका छन। यसले मुख्यत: सरकारी सेवा, रेल्वे सेवा, अस्पताल, विश्वविद्यालयलाई निसाना बनाएको छ।
नेपाल प्रभाव
हाम्रो प्रारम्भिक अनुसन्धान अनुसार यसले नेपालमा पनि केहि ठूला इन्टरनेट प्रदायक संस्था, दुरसञ्चार प्रदायक संस्था र केहि निजी संस्थाहरुलाई आफ्नो शिकार बनाईसकेको आशङ्का छ । यी संस्थाहरूले उपयोग गरेको विन्डोज अपरेटिङ सिस्टमका कमजोरीहरु 'ईथरनलब्लु' (EternalBlue) र 'डबल पल्सर' (DoublePulsar) लाई समयमै समाधान नगरेका हुनाले वान्नाक्राइ र्यान्समवेयरबाट संक्रमित हुने सम्भावना बढेकोहो।
विन्डोज १० अगाडी का MS-17-010 update नहालेका सबै विन्डोज अपरेटिङ सिष्टम वान्नाक्राइबाट संक्रमित हुने खतरामा छन्। यो र्यान्समवेयर फैलिनको लागि EternalBlue MS-17-010 को उपयोग गर्छ। ईथरनलब्लु अमेरिकी गुप्तचर संस्थाले बनाएको अनुचित लाभ लिने उद्धेश्यले तयार गरिएको सफ्टवेयर हो जुन हालसालै 'स्याडो ब्रोकर्स' (Shadow Brokers) नामक ह्याकर संगठनले सार्वजनिक गरेको थियो।ईथरनलब्लुले माईक्रोसफ्ट विन्डोजमा प्रयोग भएको 'सर्भर म्यासेज ब्लक' (Server Message Block - SMB) प्रोटोकललाई दुरुपयोग (exploit) गर्दछ।
अहिले यो र्यान्समवेयर फैलिने क्रम रोकिएको छ । मालवेयरटेक नामक आइटि सेक्युरिटि अनुसन्धानकर्ताले यसलाई रोकेका हुन। केहि रिपोर्ट अनुसार वान्नाक्राइले मे १७ सम्ममा ७२,००० अमेरिकी डलर फिरौती उठाईसकेको छ। यो रकम यस र्यान्समवयेरमा तोकिएको तिनवटा 'बिट्कोइन' (एक प्रकार को डिजिटल मुद्रा) ठेगानामा जम्मा भएकोहो।
कसरी सुरक्षित रहने ?
यस्तै किसिमका खतराबाट भविष्यमा पनि सुरक्षित हुन कम्तिमा तलका यी कुराहरु कार्यान्वयन गर्नुहोस् !
केहि थप जानकारीहरू
यस र्यान्समवेयरले निम्न प्रकारका फाइलहरु 'लक' गर्न खोज्छ:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
यस र्यान्समवेयरले फिरौती लिन प्रयोग गरेको विटकोइन ठेगाना:
’13AM4VW2dhxYgXeQepoHkHSQuy6Ng
’12t9YDPgwueZ9NyMgw519p7AA8isj
‘115p7UMMngoj1pMvkpHijcRdfJNXj
यस र्यान्समवेयरले प्रयोग गरेका नियन्त्रक तथा आदेश सर्भर (C&C server):
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
नियन्त्रक तथा आदेश सर्भरका IP address हरू:
188[.]166[.]23[.]127:443
193[.]23[.]244[.]244:443
2[.]3[.]69[.]209:9001
146[.]0[.]32[.]144:9001
50[.]7[.]161[.]218:9001
217[.]79[.]179[.]77
128[.]31[.]0[.]39
213[.]61[.]66[.]116
212[.]47[.]232[.]237
81[.]30[.]158[.]223
79[.]172[.]193[.]32
89[.]45[.]235[.]21
38[.]229[.]72[.]16
188[.]138[.]33[.]220
वान्नाक्राइ र्यान्समवेयर, र यसले नेपालमा पारेको प्रभाव र जोगिने उपायहरुबारे रिगो टेक्नोलोजीले तयार गरेको सामाग्री आजको ब्लगमा साभार गरेका छौँ । रिगो टेक्नोलोजी 'आइटि सेक्युरिटी' कम्पनी हो, जसले व्यवसायहरुको लागि चाहिने सफ्टवेयर टेस्टिङ, सेक्युरिटि अडिट, आइटि अडिट, सेक्युरिटी तालिम आदि विभिन्न सेवा प्रदान गर्छ ।वान्नाक्राइ र्यान्समवेयर
हामी पहिले देखिनै फिरौती माग्ने ऱ्यान्समवेयर (Ransomware) (एक प्रकारको कम्प्युटर भाइरस) का बारेमा सुन्दै आएकाछौं। जस्तै: Cryptowall, Jigsaw, Cerber, Cryptolocker, Teslacrypt, Locky आदि। यी र्यान्समवेयरहरू हाम्रो कम्प्युटरमा प्रवेश गरेपछि, र्यान्समवेयरले त्यहाँ भएका सबै फाईललाई लक (encrypt) गरिदिन्छ र फिरौती रकम नतिरेसम्म हाम्रा फाइलहरू प्रयोग गर्नबाट रोक्छ। हालैका दिनमा निकै सुन्नमा आएको र संसारभरि नै फैलिएर तहल्का मच्चाएको वान्नाक्राइ र्यान्समवेयर (WannaCry Ransomware), आफैँ एक कम्प्युटरबाट अर्कोमा सर्ने प्रकृतिको र्यान्समवेयर हो जसलाई 'र्यान्समवेयर वर्म' (Ransomware Worm) पनि भनिन्छ। वान्नाक्राइ र्यान्समवेयर तपाईका महत्वपूर्ण फाइलहरु लक गरियो (Oops! Your important files are encrypted.) भन्ने सन्देश कम्प्युटरमा देखाएर साईबर अपराधीहरुले १२ मे २०१७ देखि शुरु गरेको निक्कै नै जटिलप्रकारको साइबर आक्रमण हो।
अघिल्लो शुक्रबारदेखि अति नै आतंक मच्चाउन थालेको यो र्यान्समवेयरले इन्टरनेटसँग जडित उपकरणहरुलाई आफ्नो शिकार बनाउँदै हजारौँ उपकरणहरुलाई संक्रमण गरिसकेको छ। यसको मुख्य शिकार रुस, भारत र युक्रेन भएका छन। यसले मुख्यत: सरकारी सेवा, रेल्वे सेवा, अस्पताल, विश्वविद्यालयलाई निसाना बनाएको छ।
नेपाल प्रभाव
हाम्रो प्रारम्भिक अनुसन्धान अनुसार यसले नेपालमा पनि केहि ठूला इन्टरनेट प्रदायक संस्था, दुरसञ्चार प्रदायक संस्था र केहि निजी संस्थाहरुलाई आफ्नो शिकार बनाईसकेको आशङ्का छ । यी संस्थाहरूले उपयोग गरेको विन्डोज अपरेटिङ सिस्टमका कमजोरीहरु 'ईथरनलब्लु' (EternalBlue) र 'डबल पल्सर' (DoublePulsar) लाई समयमै समाधान नगरेका हुनाले वान्नाक्राइ र्यान्समवेयरबाट संक्रमित हुने सम्भावना बढेकोहो।
विन्डोज १० अगाडी का MS-17-010 update नहालेका सबै विन्डोज अपरेटिङ सिष्टम वान्नाक्राइबाट संक्रमित हुने खतरामा छन्। यो र्यान्समवेयर फैलिनको लागि EternalBlue MS-17-010 को उपयोग गर्छ। ईथरनलब्लु अमेरिकी गुप्तचर संस्थाले बनाएको अनुचित लाभ लिने उद्धेश्यले तयार गरिएको सफ्टवेयर हो जुन हालसालै 'स्याडो ब्रोकर्स' (Shadow Brokers) नामक ह्याकर संगठनले सार्वजनिक गरेको थियो।ईथरनलब्लुले माईक्रोसफ्ट विन्डोजमा प्रयोग भएको 'सर्भर म्यासेज ब्लक' (Server Message Block - SMB) प्रोटोकललाई दुरुपयोग (exploit) गर्दछ।
अहिले यो र्यान्समवेयर फैलिने क्रम रोकिएको छ । मालवेयरटेक नामक आइटि सेक्युरिटि अनुसन्धानकर्ताले यसलाई रोकेका हुन। केहि रिपोर्ट अनुसार वान्नाक्राइले मे १७ सम्ममा ७२,००० अमेरिकी डलर फिरौती उठाईसकेको छ। यो रकम यस र्यान्समवयेरमा तोकिएको तिनवटा 'बिट्कोइन' (एक प्रकार को डिजिटल मुद्रा) ठेगानामा जम्मा भएकोहो।
कसरी सुरक्षित रहने ?
- आफ्नो कम्प्युटरमा माइक्रोसफ्टले जारी गरेको MS17-010 update राखे/नराखेको सुनिश्चित गर्नुहोस्। नराखेको भए तुरुन्तै राख्नुहोस्।
- यदि तपाईंको संस्थामा SMB (ports 139, 445) सार्वजनिक पहुँचमा छ भने, बाहिरबाट भित्र तर्फ आउने ट्राफिकलाई रोक्नुहोस्।
- यदि तपाईको संस्थामा snort प्रयोग हुन्छ भने snort 42329-42332, 42340, 41978 नियमहरु लागू गर्नुहोस् ।
यस्तै किसिमका खतराबाट भविष्यमा पनि सुरक्षित हुन कम्तिमा तलका यी कुराहरु कार्यान्वयन गर्नुहोस् !
- मुख्य रुपमा आफ्नो महत्वपूर्ण फाइलहरू नियमित रुपमा कुनै बाह्य स्टोरेज (जस्तो कि pendrive वा removeable हार्डडिस्क) मा backup (प्रतिलिपि) राख्नुहोस्।
- आफ्नो anti-spam र antivirus सेटिङ आफू अनुकूल बनाउनुहोस्।
- ईमेल वा सोसल नेटवर्कमार्फत आएका कुनै शङ्कास्पद 'एट्याचमेन्ट' नखोल्नुहोस्।
- कुनैपनि लिङ्कमा क्लिक गर्नु अगाडी राम्ररी सोच्नुहोस, शङ्का लागेमा क्लिक नगर्नुहोस्।
- आफ्नो अपरेटिंग सिस्टम र सफ्टवेरहरुलाई नियमित अपडेट गर्नुहोस्।
- कुनै शंकास्पद प्रोसेस कम्प्युटरमा सुचारु भएमा इन्टरनेट तुरुन्त रोक्नुहोस् र स्वत: सुरु नहुने बनाउनुहोस्।
- Windows firewall सधैँ चालु राख्नुहोस, सक्नुहुन्छ भने अरु थप firewall को व्यवस्था गर्नुहोस्।
- Antivirus मा compressed र archived फाइल स्क्यान गर्ने सेटिङ्ग बनाउनुहोस्।
- यदि प्रयोग नहुने हो भने Windows PowerShell बन्द गरिदिनुहोस्।
- माइक्रोसफ्ट अफिसमा ‘macros’ र ‘ActiveX’ बन्द गरिदिनुहोस्।
- इन्टरनेट ब्राउजरमा popup रोक्ने addon हाल्नुहोस्।
- Autoplay लाई बन्द गरिदिनुहोस्।
- File sharing लाई आवश्यक परेको बेला बाहेक बन्द गरिदिनुहोस्।
- Remote service अति आवश्यक परेको बेला बाहेक बन्द गरिदिनुहोस्।
केहि थप जानकारीहरू
यस र्यान्समवेयरले निम्न प्रकारका फाइलहरु 'लक' गर्न खोज्छ:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
यस र्यान्समवेयरले फिरौती लिन प्रयोग गरेको विटकोइन ठेगाना:
’13AM4VW2dhxYgXeQepoHkHSQuy6Ng
’12t9YDPgwueZ9NyMgw519p7AA8isj
‘115p7UMMngoj1pMvkpHijcRdfJNXj
यस र्यान्समवेयरले प्रयोग गरेका नियन्त्रक तथा आदेश सर्भर (C&C server):
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
नियन्त्रक तथा आदेश सर्भरका IP address हरू:
188[.]166[.]23[.]127:443
193[.]23[.]244[.]244:443
2[.]3[.]69[.]209:9001
146[.]0[.]32[.]144:9001
50[.]7[.]161[.]218:9001
217[.]79[.]179[.]77
128[.]31[.]0[.]39
213[.]61[.]66[.]116
212[.]47[.]232[.]237
81[.]30[.]158[.]223
79[.]172[.]193[.]32
89[.]45[.]235[.]21
38[.]229[.]72[.]16
188[.]138[.]33[.]220
यो पनि ➤ अनलाइन सपिङ्ग गर्दा ध्यान पुर्याउनुपर्ने कुराहरु- सुयश नेपाल / रिगो टेक्नोलोजी
Comments
Post a Comment