Facebook Twitter RSS
banner

Sunday, May 14, 2017

Ransomware වලින් අපි බේරෙමු..!




      ඔන්න යහලුවනේ අපි Network සිංහලෙන් අඩවියට වාර්තා කලා. අනේ  Sorry වෙන්න ඕනේ ටික කාලෙකින් මේ පැත්තට එන්න කියලා හැමොටම වැදගත් post එකක් වත් දාගන්නවත් වෙලාවක් නැති උනානේ. වැඩ ඉවරයක් නෑනෙ.. ;) ගොඩක් අය Comments, Mails, Msg දාලා තිබ්බා..ඉක්මනටම Reply කරන්නම් කියන ගමන් අද වැඩෙට බහිමු..

මම කස්ටියට කියන්න යන්නේ මේ දවස් වල වසංගතයක් වගේ මුළු ලෝකෙටම හිසරදයක් වෙච්ච Ransomware ගැන :

               Ransomware කියන්නේ මොකක් ද කියලා තේරෙන සිංහලෙන් කිව්වොත්, අපේ Files තවත් පුද්ගල ක්‍රියාකාරකමක අතුරු ප්‍රතිපලයක් මගින් අපිට එය භාවිතා කිරීමට නොහැකි ආකාරයකට සකස් කිරීම. එය යතා තත්වයට පත් කරගැනීමට නම් මුදල ගෙවීමට සිදුවේ. තේරුනේ නෑ නේද.. :D (අපි හිතමුකො Word file එකක් තිබ්බා කියලා ඒකෙ තමයි ඔයා Work කරන තැන ඔක්කොම දේවල් තිබ්බේ.. ඔන්න ඔය file එක open කරගන්න බැරි වෙන්න Encrypt කරනවා. කරලා ඒක යතා තත්වයට පත් කරන්න සල්ලි ගෙවන්න කියනවා.. ) දැන් තේරුනානේ.. ;) 
කාට හරි හිතෙයි පොඩි ගානක් දෙන එක ලොකු දෙයක් නෙවෙයි කියලා.. :P අද දවසට bitCoin අගය ඇහුවොත් පුදූම වෙයි. ඔන්න එහෙනම් Rs 104,217/= පොඩි ගානක් නේ.. :D ඔන්න බලන්නකෝ

    එ මුදල ගෙවන්න තියෙන්නෙත් Tor browser use කරලා තමයි. එතකොට ඉතින් කොහේ හොයන්නද? :(
සාමාන්‍යයෙන් මෙම භාවිතා  කිරීමට නොහැකි ආකාරයට සකස් වුනු පසුඅප මෙම Files තිබු තත්වයට ලබාගත යුත්තේ කෙසේද කියා ඔවුන් විසින් බොහෝවිට කියා තවත් file එකක් තබා ඇත. එහි මේ සදහා භාවිතා කරන Encryption Method ගැන කියා ඇත. තවද එහි වැඩි විස්තර කියවීමට Wikipedia links පවා දමා ඇත.
මෙහි Key එකක් Generate කර ඇති අතර එම Key එක මගින් එම File යතා තත්වයට ගැනීමට  bitCoin මගින් Payment කර ඉන්පසුව මෙම Key එක ඔවුන්ට ලබා දීමෙන් ඔවුන් යතා තත්වයට පත් කර දෙයි යයි. සමහරකුගේ මතයයි. කටද ඉතින් ඕවට ගෙවන්න සල්ලි තියෙන්නේ. තිබ්බත් කිසිම Sure එකක් නෑනේ.

  මේවගේ දෙයක් උනොත් මුලින්ම Case වැටෙන්නේ ඇඩ්මින් අයියාට තමයි. කිසිම Backup Plan, Recovery Plan & Security Plan එකක් නැතුව වැඩකලා. ඉහල පුටුවල ඉන්න යට  ඕක වෙන්නේ මෙහෙමයි කියලා තේරුම් කරලා දෙන්නත් බැනේ. ඒ නිසා ඇඩ්මින් අයියාලා පොඩ්ඩක් දුර දිග හිතල කටයුතු කරොත් හොදා.. ;)

ඔන්න release වෙලා තියෙන Ransomware ටිකක්..
  1. *.*AES256
  2. *.*cry
  3. *.*crypto
  4. *.*darkness
  5. *.*enc*
  6. *.*kb15
  7. *.*kraken
  8. *.*locked
  9. *.*nochance
  10. *.*oshit
  11. *.*exx
  12. *.cerber
  13. *.Lockey
  14. *@gmail_com_*
  15. *@india.com*
  16. *cpyt*
  17. *crypt*
  18. *decipher*
  19. *install_tor*.*
  20. *keemail.me*
  21. *qq_com*
  22. *.Zepto
  23. *ukr.net*
  24. *restore_fi*.*
  25. *help_restore*.*
  26. *how_to_recover*.*
  27. *.ecc
  28. *.exx
  29. *.ezz
  30. *.frtrss
  31. *.vault
  32. *want your files back.*
  33. confirmation.key
  34. enc_files.txt
  35. last_chance.txt
  36. message.txt
  37. recovery_file.txt
  38. recovery_key.txt
  39. vault.hta
  40. vault.key
  41. vault.txt
  42. *.aaa
  43. *help_your_files*.*
  44. *.zzzzz
  45. *-INSTRUCTION.html

තව ඇති මට හම්බුනෙ මෙච්චරයි... ;) (Copy කලේ Pastebin අයියාගෙන්.. ;) )

මෙන්න මේ වගේ තමයි File Encrypt කරපුවම පෙන්නන්නේ.




මෙ තියෙන්නේ Encript කරලා එතනම Recover කරන්න Instruction එකත් HTML එකක් විදියට Save කරගත්ත අවස්තාවක්..




ඔය නම් Mail & To  Email Address දෙකම එකම තමයි.. :O  එකක් ආකාරයට අපු එකක්. මේක From



එ නිසා නඩුවක් කන්න කලින් බේරෙන විදිය කියලා දෙන්න පටන් ගන්නම් එහෙනම්.

මේ Ransomware බොහෝවිට එන්නේ,
      Mail එකේ Attachment එකක් විදියට. Word, Excel, PDF, Music, Java Script files.. වැඩිපුර නම් මම අහලා තියෙන්නේ Document ආකාරයට එන්නේ කියලා. සාමාන්‍යයෙන් Ransomware එකක් rebuild කරන්නේ අලුත් Strong encryption key එකක් දාලා තමයි.
Key එක Antivirus වලට  decrypters වලට ලේසියෙන් decrypt කරන්න නම් බෑ. ටික කාලයක් යනවා. සමහර Ransomware තියෙනවා Algorythem change වේවි යන ඒවා. ඒවාවල key එකත් වෙනස් වෙනවා. Key එක change වෙන පිලිවල දන්නේ Develop කරපු dial එක තමයි.
* Mail Server - Web filters, Anti Spyware, Anti Spamming වගෙ Security filters දාගන්න.
* Everyone Full control දීපු Share Folders - නැතුව Active Directory User Group Wise Permission දෙන්න.
* Internal Firewall - Un-Trusted Networks Firewall through Connect කරන්න (VPN..)
* Security Patches, Hotfix - නිතරම Update එකේ තියා ගන්න.
* Internal IPSec - Internal LAN එකේ Ports Identify කරගෙන IPSec Enable කරන්න.
* Software/Hardware Firewall Updates, hotfix නිතරම Update එකේ තියා ගන්න.
* Virus Guard නිතරම Update එකේ තියා ගන්න.
* Anti Ransomware අනිවා Update එකේ තියා ගන්න.
* Servers නම් Server Harden කරන්න. එකට නම් Sup එකක් ගන්න වෙනවා..

මෙවයින් බෙරෙන්න Anti-Ransomware tools තියෙනවා. අලුතින්ම Release වෙන එව්වට Updates, Patches Release වෙන්න කාලයක් යනවා.

ඕන්න එහෙනම්,
             Kaspersky Anti-Ransomware - Click Here
             Malwarebytes Anti-Ransomware - Click Here
             Bitdefender Anti-Ransomware - Click Here

          තව ඔන තරම් tools තියෙනවා. Carbon Black Endpoint, HitMan Pro වගෙ..

Ransomware එකක් Network ආපුවාම මොකද කරන්න ඕන.??
* මුලින්ම Network එක Down කරන්න පුළුවන් නම් වඩා හොදයි..  
* Internet Down කරන්න පුළුවන් නම් හොදයි..  
* Network Share Folders Everyone Full control Permission තියෙන තැන් ටික Share නතර      කරන්න. කලින් කිව්වා වගෙ AD Authentication දෙන්න.
* RDP - Remote Desktop එකත් නවත්ත ගත්තොත් හොදා..
* Ransomware spread වෙන්න පටන් ගත්තේ Domain Admin Account එකක් නම් ටිකක්  දරුණුයි. පුලුවන් තරම් ඉක්මණින් එ Account එක Disable කරන්න. Domain User Account  එකක් නම් ශෙප්. 
* Pen Drive වලින් නම් spread වෙන්නේ නැති තරම්. එ නිසා අවුලක් නෑ.. 
* Virus එක මොකක් ද කියලා හොයා ගන්න. ඊට පස්සෙ Net ඒකෙ කැරකිලා බලන්න. එතකොට  මේ Solution වලට වඩා හොද ඒවා හම්බෙයි.
* Cloud Backup ගහන්න.. Version විදියට.

සාමාන්‍යයෙන් Share path වලින් තමයි රට වටේම දුවන්නේ.. එකයි මම මුලින් කිව්වේ Network Down කලොත් හොදයි කියලා. පුළුවන් හැම Pc එකකටම Anti-Ransomware tools දාලා තියන්න. 

  Internet Down කරන්න කියන්නේ, ඕකේ Trojan එකකුත් Bind වෙලා තියෙන්නේ ඒකෙන්  තමයි Attacker => Infected Pc එකේ ඉදන් අනිත් LAN Pc Control කරන්නෙ.

ඊලගට Usersලාගෙ Data..??
          System Restore තියෙනවා නම් එකට ගහන්න.
          Recovery Tool එකක් දාලා Recovery පාරක් දාන්න.
හැබැයි අලුතෙන් Release වෙන Ransomware වල නම් සෙල්ලම් නැති වෙයි. Network එකෙ දුවන්න පුලුවන් හැම විදියකටම දුවයි..! :(

Updated

        මේ දවස් වල හැමෝම බය වෙලා තියෙන අලුත් Ransomware එක WannaCrypt  නොහොත් WannaCry  එක ගැන ලොකු දෙයක් කියන්න බලාපොරොත්තු වෙන්නේ නෑ. එත් එකෙන් බේරෙන්නේ කොහොම ද කියලා කෙටියෙන් කියන්නම්.. 

හැබැයි මේ කියන්නම් Windows වල :

Windows 8 වලට පස්සේ ආපු ඒවාට තමයි මුලින්ම බේරෙන්න පුළුවන් උනාලු මෙන්න මේ වැඩේ කරලා.


Windows 8 or Windows Server 2012 R2 and later
For client operating systems:
         1. Open Control Panel, click Programs, and then click Turn Windows features on or off.
         2.  In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then                     click OK to close the window.
         3. Restart the system.

For server operating systems:
         1. Open Server Manager and then click the Manage menu and select Remove Roles and Features.
         2. In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to                    close the window.
         3. Restart the system.
ඊටපස්සේ මේ වෙඩේන් ඔක්කොම ගොඩ දාගන්න පුළුවන්ලු.

Security Patches Here :

          *   Microsoft Technet  Security Bulletin - Click
          *   Microsoft Technet Customer Guidance - Click 

Microsoft Patch for Unsupported Versions such as Windows XP,Vista,Server 2003, Server 2008 etc. - Click

Block SMB ports on Enterprise Edge/perimeter network devices [UDP 137, 138 and TCP 139, 445] or Disable SMBv1 - Click

WannaCry කියන්නේ මොකක් ද කියලා දැනගන්න :





සහය දුන් Jayandra සහොදරයාට ස්තුති කරන අතර. 
මේ Post එකේ වැරදි අඩුපාඩු තිබුනොත් අනිවා කියලා යන්න. ඔබ මුහුණ දුන්නේ නම් ඔබ ගත් පියවර තවත් කාටහරි උදව්වක් වෙයි. අනිවා කියන්න.

මන් හිතනවා කස්ටියට හුගාක් වැදගත් වෙයි කියලා.. :) 
ඔබට හැකි නම් පමණක් ප්‍රතිචාරයක් දක්වා යන්න. :)
අපි නැවත හමුවෙමු.. :)

෴ඔන්න එහෙනම් අපි කැපුනා.. ජය වේවා..!෴


SHARE THIS POST

  • Facebook
  • Twitter
  • Myspace
  • Google Buzz
  • Reddit
  • Stumnleupon
  • Delicious
  • Digg
  • Technorati
Author: ඇඩ්මින් අයියා
කැමති කෙනෙක් ඉන්නවා නම් Comment පාරක් දාලා ගියට කමක් නෑ.. ;) Comment පාරක් දැම්මේ නෑ කියලා අපේ කිසි තරහක් නෑ..

4 comments:

  1. නියමයි මල්ලි.. AVG වලින් කරන්න බැරිද..?

    ReplyDelete
  2. Cisco ebook set eke samahara link wedakaranne ne.please update now

    ReplyDelete
  3. Niyamai....Ela....
    niyma site k,,,,
    excellent,excellent

    ReplyDelete

FB Comment