Ransomware වලින් අපි බේරෙමු..!
ඔන්න
යහලුවනේ අපි Network සිංහලෙන් අඩවියට වාර්තා කලා. අනේ
Sorry වෙන්න ඕනේ ටික කාලෙකින් මේ පැත්තට
එන්න කියලා හැමොටම වැදගත් post එකක් වත් දාගන්නවත් වෙලාවක් නැති
උනානේ. වැඩ ඉවරයක්
නෑනෙ.. ;) ගොඩක් අය Comments, Mails, Msg දාලා තිබ්බා..ඉක්මනටම Reply කරන්නම් කියන
ගමන් අද වැඩෙට බහිමු..
මම කස්ටියට කියන්න යන්නේ මේ දවස් වල වසංගතයක් වගේ
මුළු ලෝකෙටම හිසරදයක් වෙච්ච Ransomware ගැන :
Ransomware කියන්නේ මොකක් ද කියලා තේරෙන සිංහලෙන් කිව්වොත්, අපේ Files තවත් පුද්ගල ක්රියාකාරකමක අතුරු ප්රතිපලයක් මගින් අපිට එය භාවිතා කිරීමට නොහැකි ආකාරයකට සකස් කිරීම. එය යතා තත්වයට පත් කරගැනීමට නම් මුදල ගෙවීමට සිදුවේ. තේරුනේ නෑ නේද.. :D (අපි හිතමුකො Word file එකක් තිබ්බා කියලා ඒකෙ තමයි ඔයා Work කරන තැන ඔක්කොම දේවල් තිබ්බේ.. ඔන්න ඔය file එක open කරගන්න බැරි වෙන්න Encrypt කරනවා. කරලා ඒක යතා තත්වයට පත් කරන්න සල්ලි ගෙවන්න කියනවා.. ) දැන් තේරුනානේ.. ;)
කාට හරි හිතෙයි පොඩි ගානක් දෙන එක ලොකු දෙයක් නෙවෙයි කියලා.. :P අද දවසට bitCoin අගය ඇහුවොත් පුදූම වෙයි. ඔන්න එහෙනම් Rs 104,217/= පොඩි ගානක් නේ.. :D ඔන්න බලන්නකෝ
එ මුදල ගෙවන්න තියෙන්නෙත් Tor
browser use කරලා තමයි. එතකොට ඉතින් කොහේ හොයන්නද?
:(
සාමාන්යයෙන් මෙම භාවිතා කිරීමට නොහැකි ආකාරයට
සකස් වුනු පසු, අප මෙම Files තිබු තත්වයට ලබාගත යුත්තේ කෙසේද කියා ඔවුන් විසින් බොහෝවිට කියා තවත් file එකක් තබා ඇත. එහි මේ සදහා භාවිතා කරන Encryption Method ගැන කියා ඇත. තවද එහි වැඩි විස්තර කියවීමට Wikipedia links පවා දමා ඇත.
මෙහි Key එකක් Generate කර ඇති අතර එම Key එක මගින් එම File යතා තත්වයට ගැනීමට bitCoin මගින් Payment කර ඉන්පසුව මෙම Key එක ඔවුන්ට ලබා දීමෙන්
ඔවුන් යතා තත්වයට පත් කර දෙයි යයි. සමහරකුගේ මතයයි. කටද ඉතින් ඕවට ගෙවන්න සල්ලි
තියෙන්නේ. තිබ්බත් කිසිම Sure එකක් නෑනේ.
මේවගේ දෙයක් උනොත් මුලින්ම Case වැටෙන්නේ ඇඩ්මින් අයියාට තමයි. කිසිම Backup Plan, Recovery
Plan & Security Plan එකක් නැතුව වැඩකලා. ඉහල පුටුවල ඉන්න යට ඕක වෙන්නේ මෙහෙමයි කියලා
තේරුම් කරලා දෙන්නත් බැනේ. ඒ නිසා ඇඩ්මින් අයියාලා
පොඩ්ඩක් දුර දිග හිතල කටයුතු කරොත් හොදා.. ;)
ඔන්න release වෙලා තියෙන Ransomware ටිකක්..
- *.*AES256
- *.*cry
- *.*crypto
- *.*darkness
- *.*enc*
- *.*kb15
- *.*kraken
- *.*locked
- *.*nochance
- *.*oshit
- *.*exx
- *.cerber
- *.Lockey
- *@gmail_com_*
- *@india.com*
- *cpyt*
- *crypt*
- *decipher*
- *install_tor*.*
- *keemail.me*
- *qq_com*
- *.Zepto
- *ukr.net*
- *restore_fi*.*
- *help_restore*.*
- *how_to_recover*.*
- *.ecc
- *.exx
- *.ezz
- *.frtrss
- *.vault
- *want your files back.*
- confirmation.key
- enc_files.txt
- last_chance.txt
- message.txt
- recovery_file.txt
- recovery_key.txt
- vault.hta
- vault.key
- vault.txt
- *.aaa
- *help_your_files*.*
- *.zzzzz
- *-INSTRUCTION.html
තව ඇති මට හම්බුනෙ මෙච්චරයි... ;) (Copy කලේ Pastebin අයියාගෙන්.. ;) )
මෙන්න මේ වගේ තමයි File
Encrypt කරපුවම පෙන්නන්නේ.
මෙ තියෙන්නේ Encript කරලා එතනම Recover කරන්න Instruction එකත් HTML එකක් විදියට Save කරගත්ත අවස්තාවක්..
ඔය නම් Mail &
To Email Address දෙකම එකම තමයි.. :O එකක් ආකාරයට අපු එකක්. මේක From
එ නිසා නඩුවක් කන්න කලින් බේරෙන විදිය කියලා දෙන්න පටන්
ගන්නම් එහෙනම්.
මේ Ransomware බොහෝවිට
එන්නේ,
Mail එකේ Attachment
එකක් විදියට. Word, Excel, PDF, Music, Java Script
files.. වැඩිපුර නම් මම අහලා තියෙන්නේ Document ආකාරයට එන්නේ කියලා. සාමාන්යයෙන් Ransomware එකක් rebuild කරන්නේ අලුත් Strong encryption
key එකක් දාලා තමයි.
එ Key එක Antivirus වලට decrypters වලට ලේසියෙන් decrypt කරන්න නම් බෑ. ටික කාලයක් යනවා. සමහර Ransomware තියෙනවා Algorythem change වේවි යන ඒවා.
ඒවාවල key එකත් වෙනස් වෙනවා. Key එක change වෙන පිලිවල දන්නේ Develop කරපු dial එක තමයි.
* Everyone Full control දීපු Share Folders - නැතුව Active Directory User Group Wise Permission දෙන්න.
* Internal Firewall - Un-Trusted Networks Firewall through Connect කරන්න (VPN..)
* Security Patches, Hotfix - නිතරම Update එකේ තියා ගන්න.
* Internal IPSec - Internal LAN එකේ Ports Identify කරගෙන IPSec Enable කරන්න.
* Software/Hardware Firewall Updates, hotfix නිතරම Update එකේ තියා ගන්න.
* Virus Guard නිතරම Update එකේ තියා ගන්න.
* Anti Ransomware අනිවා Update එකේ තියා ගන්න.
* Servers නම් Server Harden කරන්න. එකට නම් Sup එකක් ගන්න වෙනවා..
මෙවයින් බෙරෙන්න Anti-Ransomware
tools තියෙනවා. අලුතින්ම Release වෙන එව්වට Updates, Patches Release වෙන්න කාලයක් යනවා.
ඕන්න එහෙනම්,
Malwarebytes Anti-Ransomware - Click Here
Bitdefender Anti-Ransomware - Click Here
තව
ඔන තරම් tools තියෙනවා. Carbon Black
Endpoint, HitMan Pro වගෙ..
Ransomware එකක් Network ආපුවාම මොකද කරන්න ඕන.??
* Internet Down කරන්න පුළුවන් නම් හොදයි..
* Network Share Folders Everyone Full control Permission තියෙන තැන් ටික Share නතර කරන්න. කලින් කිව්වා වගෙ AD Authentication දෙන්න.
* RDP - Remote Desktop එකත් නවත්ත ගත්තොත් හොදා..
* Ransomware spread වෙන්න පටන් ගත්තේ Domain Admin Account එකක් නම් ටිකක් දරුණුයි. පුලුවන් තරම් ඉක්මණින් එ Account එක Disable කරන්න. Domain User Account එකක් නම් ශෙප්.
* Pen Drive වලින් නම් spread වෙන්නේ නැති තරම්. එ නිසා අවුලක් නෑ..
* Virus එක මොකක් ද කියලා හොයා ගන්න. ඊට පස්සෙ Net ඒකෙ කැරකිලා බලන්න. එතකොට මේ Solution වලට වඩා හොද ඒවා හම්බෙයි.
* Cloud Backup ගහන්න.. Version විදියට.
සාමාන්යයෙන් Share path වලින් තමයි රට වටේම දුවන්නේ.. එකයි මම මුලින් කිව්වේ Network Down කලොත් හොදයි කියලා. පුළුවන් හැම Pc එකකටම Anti-Ransomware tools දාලා තියන්න.
Internet Down කරන්න කියන්නේ, ඕකේ Trojan එකකුත් Bind වෙලා තියෙන්නේ ඒකෙන් තමයි Attacker => Infected Pc එකේ ඉදන් අනිත් LAN Pc Control කරන්නෙ.
ඊලගට Usersලාගෙ Data..??
Recovery Tool එකක් දාලා Recovery පාරක් දාන්න.
හැබැයි අලුතෙන් Release වෙන Ransomware වල නම් සෙල්ලම් නැති වෙයි. Network එකෙ
දුවන්න පුලුවන් හැම විදියකටම දුවයි..! :(
Updated
මේ දවස් වල හැමෝම බය වෙලා තියෙන අලුත් Ransomware එක WannaCrypt නොහොත් WannaCry එක ගැන ලොකු දෙයක් කියන්න බලාපොරොත්තු වෙන්නේ නෑ. එත් එකෙන් බේරෙන්නේ කොහොම ද කියලා කෙටියෙන් කියන්නම්..
හැබැයි මේ කියන්නම් Windows වල :
Windows 8 වලට පස්සේ ආපු ඒවාට තමයි මුලින්ම බේරෙන්න පුළුවන් උනාලු මෙන්න මේ වැඩේ කරලා.
2. In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
3. Restart the system.
2. In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
3. Restart the system.
Updated
මේ දවස් වල හැමෝම බය වෙලා තියෙන අලුත් Ransomware එක WannaCrypt නොහොත් WannaCry එක ගැන ලොකු දෙයක් කියන්න බලාපොරොත්තු වෙන්නේ නෑ. එත් එකෙන් බේරෙන්නේ කොහොම ද කියලා කෙටියෙන් කියන්නම්..
හැබැයි මේ කියන්නම් Windows වල :
Windows 8 වලට පස්සේ ආපු ඒවාට තමයි මුලින්ම බේරෙන්න පුළුවන් උනාලු මෙන්න මේ වැඩේ කරලා.
Windows 8 or Windows Server 2012 R2 and later
For client operating systems:
1. Open Control Panel, click Programs, and then click Turn Windows features on or off.2. In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
3. Restart the system.
For server operating systems:
1. Open Server Manager and then click the Manage menu and select Remove Roles and Features.2. In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
3. Restart the system.
ඊටපස්සේ මේ වෙඩේන් ඔක්කොම ගොඩ දාගන්න පුළුවන්ලු.
Security Patches Here :
* Microsoft Technet Security Bulletin - Click
* Microsoft Technet Customer Guidance - Click
Microsoft Patch for Unsupported Versions such as Windows XP,Vista,Server 2003, Server 2008 etc. - Click
Block SMB ports on Enterprise Edge/perimeter network devices [UDP 137, 138 and TCP 139, 445] or Disable SMBv1 - Click
WannaCry කියන්නේ මොකක් ද කියලා දැනගන්න :
Security Patches Here :
* Microsoft Technet Security Bulletin - Click
* Microsoft Technet Customer Guidance - Click
Microsoft Patch for Unsupported Versions such as Windows XP,Vista,Server 2003, Server 2008 etc. - Click
Block SMB ports on Enterprise Edge/perimeter network devices [UDP 137, 138 and TCP 139, 445] or Disable SMBv1 - Click
WannaCry කියන්නේ මොකක් ද කියලා දැනගන්න :
සහය දුන් Jayandra සහොදරයාට ස්තුති කරන අතර.
මේ Post එකේ වැරදි අඩුපාඩු තිබුනොත් අනිවා කියලා යන්න. ඔබ මුහුණ දුන්නේ නම් ඔබ ගත් පියවර තවත් කාටහරි උදව්වක් වෙයි. අනිවා
කියන්න.
ඔබට හැකි නම් පමණක් ප්රතිචාරයක් දක්වා යන්න. :)
අපි නැවත හමුවෙමු.. :)
෴ඔන්න එහෙනම් අපි කැපුනා.. ජය වේවා..!෴