Bad Rabbit Ransomware আক্রমনে কম্পিউটারের গুরুত্বপূর্ণ ফাইলসমূহ হচ্ছে ক্ষতিগ্রস্ত

আপনি হয়তো বা সৌভাগ্যবান যে চলতি বছরে WannaCry বা Petya টার মতো Ransomware এর আক্রমন থেকে নিরাপদ ছিলেন। সাম্প্রতি বিশ্বের বিভিন্ন দেশে নতুন আরো একটি Bad Rabbit নামক Ransomware এর হুমকির সম্মুখীন হয়েছে তথ্যপ্রযুক্তি।

অন্যান্য Ransomware এর মতোই Bad Rabbit ও কম্পিউটারের সকল ডকুমেন্ট এনক্রিপ্ট করে এবং সে ডকুমেন্টসমূহ পুনরুদ্ধারের জন্য মোটা মুক্তিপণ দাবি করা হয়। একাধিক কম্পিউটারের সংযোগকৃত নেটওয়ার্কে Bad Rabbit সফলভাবে আক্রমনে সক্ষম হয়েছে।

রাশিয়া, ইউক্রেন, জার্মানি ও তুরস্ক জুড়ে কর্পোরেট নেটওয়ার্কে এই Bad Rabbit নামক Ransomware এর আক্রমনে পিসি ক্ষতিগ্রস্ত হয়েছে। র‌্যানসমওয়্যারটি ছড়িয়ে রুশ সংবাদ মাধ্যমের গুরুত্বপূর্ণ ওয়েবসাইট, ইউক্রেনের বিমানবন্দর ও পাতাল রেলের কম্পিউটার সিস্টেম হ্যাক করা হয়েছে। সংবাদমাধ্যম রয়টার্সকে সাইবার হামলার বিষয়টি নিশ্চিত করেছে ইউক্রেনের সাইবার পুলিশ প্রধান। এখন পর্যন্ত এই হামলায় সবচেয়ে বেশি ক্ষতিগ্রস্ত হয়েছে রাশিয়া। যুক্তরাষ্ট্র, জার্মানি, জাপান, তুরস্ক ও বুলগেরিয়াতেও র‌্যানসমওয়্যারটি শনাক্ত করা হয়েছে। সাইবার হামলাটি পর্যবেক্ষণ করছে রাশিয়াভিত্তিক সাইবার সিকিউরিটি কোম্পানি ক্যাসপারেস্কি। পোল্যান্ড এবং দক্ষিণ কোরিয়ায়ও Bad Rabbit এর সামান্যমাত্রার আক্রমনের লক্ষণ খুজেঁ পেয়েছেন বলে দাবি করে অ্যান্টিভাইরাস নির্মাতা প্রতিষ্ঠান এভাস্ট।

 

“উপরের চিত্রে লক্ষ্য করে দেখুন Ransomware এর হামলায় ক্ষতিগ্রস্ত ফাইলসমূহ .ykcol  এক্সটেনশন (Locky Ransomware) দ্বারা পরিবর্তিত হয়ে একক্রিপ্ট আকার ধারণ করেছে। যা সর্বনাশ হবার তা অলরেডি হয়ে গেছে আপনাদের গুরুত্বপূর্ণ ডকুমেন্ট যদি ব্যাকআপ না থাকে তাহলে সেই ফাইলগুলো আর পুনরুদ্ধার করতে পারবেন না। চিত্রটি যদিও Bad Rabbit Ransomware দ্বারা আক্রান্ত পিসির নয় কিন্তু আপনাদের বুঝতে সুবিধার জন্য দেখানো হয়েছে। তাছাড়া সকল প্রকার Ransomware এর কাজই ডকুমেন্ট নষ্ট করা।”

 

দ্যা ইউনাইটেড স্টেট কম্পিউটার এমার্জেন্সি রেডিনেশনের টীম (US-CERT) মুক্তিপণ পরিশোধ করার ব্যাপারে ব্যক্তি ও প্রতিষ্ঠানসমূহকে সর্তক করে দিয়ে বলেছে যে, মুক্তিপণ পরিশোধ করলে সংক্রামিত ফাইলগুলোর সফল পুনরুদ্ধারের আদৌ কোন নিশ্চয়তা নেই।

 

সাইবার নিরাপত্তা বিশ্লেষকরা জানান, অ্যাডোবি আপডেটের মধ্যে একটি ম্যালওয়্যার লুকিয়ে থাকছে। এরপর কম্পিউটারে প্রবেশ করে তা গুরুত্বপূর্ণ ফাইল লক করে প্রতিষ্ঠানগুলোর কাছে মুক্তিপণ দাবি করছে। প্রধানত আক্রমণকারীরা এখন পর্যন্ত সংবাদ বা মিডিয়া সংশ্লিষ্ট ওয়েবসাইটগুলোকে লক্ষ্য করে তাদের ফেক কিংবা শিকারের জন্য ভুয়া ইনস্টলার বিতরণ করছে। লক্ষ্যণীয় যে, ফ্ল্যাশ আপডেট নেই। তাই পিসিতে ফ্ল্যাশ আপডেট ক্লিক করা মানেই ড্রপার জাতীয় সংক্রমিত ভুয়া একটি ইনস্টলার। অর্থ্যাৎ ম্যালওয়্যার ছদ্মবেশী ভুয়া অ্যাডোব ফ্ল্যাশ ইনস্টলার ডাউনলোড করার জন্য আপনি সম্মত হয়েছিলেন।

 

একবার নেটওয়ার্কে Bad Rabbit Ransomware আক্রমন হলে সকল কম্পিউটারে তা সংক্রমিত হয়ে যায়, এতে ব্যবহৃত হয় মুক্ত সোর্স টুল MimiKatz। এরপর নেটওয়ার্কে কম্পিউটারের সুরক্ষা ভেঙ্গে ফাইলসমূহ এনক্রিপ্টিং এর কাজ সর্ম্পকে তথ্য দেয়।

 

Bad Rabbit Ransomware আক্রমনে ভিকটিমের কম্পিউটারের Master Boot Record পরিবর্তন হয় এবং কম্পিউটার রিবুট করে ডকুমেন্টসমূহ পুনরুদ্ধারের জন্য 0.05 বিটকয়েন এমাউন্ট (প্রায় $ 280) সংক্রান্ত মুক্তিপণ পোস্টার পিসিতে প্রদর্শিত করে।

ক্যাসপারস্কি তথ্য অনুযায়ী, Bad Rabbit অ্যালগরিদম AES-128-CBC এবং RSA-2048 ব্যবহার করে কম্পউটারের ফাইলসমূহ এনক্রিপ্ট করে থাকে।

Bad Rabbit Ransomware এর কার্যপদ্ধতি :

এই Ransomware এর ড্রপার  একটি ফেক (fake) অ্যাডোব ফ্ল্যাশ প্লেয়ার ইনস্টলার থেকে বিতরণ করা হয়। সাধারনত আক্রান্ত ব্যবহারকারীকে কোন বৈধ সংবাদ ওয়েবসাইটে (legitimate news websites)  রি-ডাইরেক্ট (redirected) করে ফেক অ্যাডোব ফ্ল্যাশ প্লেয়ার প্যাকেজ ডাউনলোড ও ইন্সটল করতে প্ররোচিত করে। ইন্সটল করার পর, আক্রান্ত ব্যবহারকারীর কম্পিউটার রিবুট হয় ও মুক্তিপণ নোট প্রদর্শন করে।

আক্রান্ত কম্পিউটারটি যদি SMB নেটওয়ার্ক এ যুক্ত থাকে, তবে এটি আক্রান্ত কম্পিউটারটির username/password/credential hash ব্যবহার করে নেটওয়ার্ক এ যুক্ত অন্য  কম্পিউটার এর Access নেবার জন্য চেষ্টা করে এবং যদি সফল হয়, তবে সেই কম্পিউটারটিকেও আক্রান্ত করে।

Bad Rabbit নিম্নলিখিত ফাইল এক্সটেনশন এর ফাইল এনক্রিপ্ট করতে সক্ষম

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp.brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml.fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf.odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt.pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox.vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd.zip

 

Bad Rabbit Ransomware থেকে নিরাপদ থাকার উপায়:

কম্পিউটারের সিস্টেম ড্রাইভে infpub.dat (C:\Windows\infpub.dat) এবং cscc.dat  (C:\Windows\cscc.dat)  দুইটি ফাইল তৈরি করুন, পরবর্তীতে উভয় ফাইলেরই রাইট করার অনুমতি বন্ধ করে দিন।

কম্পিউটারে চলমান WMI service টি ডিসেবল করে দিন।

অধিকাংশ অ্যান্টিভাইরাস সফটওয়্যারই সাম্প্রতিক Ransomware হামলা সনাক্ত করতে ব্যর্থ হয়। ম্যালওয়ার ভিকটিমদের malicious লিংক এবং ই-মেইল ডাউনলোড করার ব্যাপারে চাতুরতার পরিচয় দিয়েছে। তাই Ransomware সনাক্ত করার সুবিধা আছে এমন অ্যান্টিভাইরাস ব্যবহার করতে হবে।

নিশ্চিত করুন যে আপনি আপনার কম্পিউটারের গুরুত্বপূর্ণ ফাইলগুলোর ব্যাকআপ রেখেছেন।

নেটওয়ার্ক ফায়ারওয়াল সঠিকভাবে সাবধানতার সহিত ব্যবহার করুন।

প্রতিষ্ঠানগুলো তাদের নেটওয়ার্ক সিস্টেমে সংযু্ক্ত কম্পিউটার ব্যবহারকারীদের কোন প্রকার সফটওয়্যার ডাউনলোড এবং ইনস্টল করার অনুমতি না দেওয়া। কেননা তাহলে তাদের দ্বারা নেটওয়ার্কে বিভিন্ন প্রকার Ransomware ইনস্টল হবার সম্ভাবনা থাকবে।

অনলাইনমাধ্যমে ছড়িয়ে থাকা নানা ওপেন সোর্স সফটওয়্যার বিশেষ করে অ্যাডোবি ফ্ল্যাশ প্লেয়ারের ভুয়া একটি ডাউনলোড ফাইল থেকে এটি ছড়াচ্ছে। তাই ব্যবহারকারীরা যেন উইন্ডোজ আপডেট হালনাগাদ করেন।

সবাই ভালো থাকবেন।