‘ব্যাড র্যাবিট’ (Bad Rabbit) র্যানসমওয়্যার ও সতর্কতামূলক পদক্ষেপ
by CIRT Team
ব্যাড র্যাবিট (Bad Rabbit) র্যানসমওয়্যার কি : সাইবার নিরাপত্তা গবেষকরা সম্প্রতি ‘ব্যাড র্যাবিট’ নামে নতুন একটি র্যানসমওয়্যার শনাক্ত করেছেন, যা এরই মধ্যে ইস্টার্ন ইউরোপীয় দেশগুলির সরকারী-বেসরকারী সংস্থা, ব্যবসা প্রতিষ্ঠান এই র্যানসমওয়্যার দ্বারা আক্রান্ত হয়েছে বলে জানা গিয়েছে। ‘ওয়ানাক্রাই’ WannaCry ও ‘পেটয়্যা’ Petya র্যানসমওয়্যার দুটির সাথে মিল রয়েছে এই নতুন ব্যাড র্যাবিট (Bad Rabbit) র্যানসমওয়্যার এর ।
এখন পর্যন্ত প্রাপ্ত তথ্য মতে জানা যায় যে, এই ব্যাড র্যাবিট (Bad Rabbit) র্যানসমওয়্যারটি ফেক (fake) ফ্ল্যাশ আপডেট প্যাকেজের মাধ্যমে ছড়িয়ে পড়ছে এবং অন্যান্য টুলস মাধ্যমে নেটওয়ার্ক এ যুক্ত অন্য কম্পিউটারকেও আক্রান্ত করছে।
ব্যাড র্যাবিট (Bad Rabbit) র্যানসমওয়্যার কে বলা হচ্ছে ডিস্ক কোডেড, যার সাথে Petya এবং NotPetya এর মিল রয়েছে। ব্যাড র্যাবিট (Bad Rabbit) র্যানসমওয়্যারটি প্রথমে ব্যবহারকারীর কম্পিউটারে ফাইলগুলি এনক্রিপ্ট করে এবং তারপর MBR (মাস্টার বুট রেকর্ড) কে প্রতিস্থাপন (replace) করে।
ব্যাড র্যাবিট (Bad Rabbit) র্যানসমওয়্যার কম্পিউটার সিস্টেম কে আক্রমন করার পর, এটি কম্পিউটারটি রিবুট করে, যা কাস্টম এমবিআর এ আটকে যায় এবং একটি মুক্তিপণ নোট প্রদর্শন করে । এখন পর্যন্ত প্রাপ্ত তথ্য মতে, এই ব্যাড র্যাবিট’ (Bad Rabbit) র্যানসমওয়্যার দ্বারা কম্পিউটার ব্যবহারকারীকে টর নেটওয়ার্কে একটি সাইট অ্যাক্সেস করতে বলা হয় ও ৪০ ঘণ্টার মাঝে মুক্তিপণ হিসেবে 0.0৫ বিটকয়েন (প্রায় $ ২৮০ US ডলার) এর অর্থ প্রদান করতে বলা হয়।
নমুনা ছবি
ব্যাড র্যাবিট (Bad Rabbit) র্যানসমওয়্যার এর কার্যপদ্ধতি :
১) এই ransomware এর ড্রপার একটি ফেক (fake) অ্যাডোব ফ্ল্যাশ প্লেয়ার ইনস্টলার থেকে বিতরণ করা হয়। সাধারনত আক্রান্ত ব্যবহারকারীকে কোন বৈধ সংবাদ ওয়েবসাইটে (legitimate news websites) রি-ডাইরেক্ট(redirected) করে ফেক অ্যাডোব ফ্ল্যাশ প্লেয়ার প্যাকেজ ডাউনলোড ও ইন্সটল করতে প্ররোচিত করে। ইন্সটল করবার পর, আক্রান্ত ব্যবহারকারীর কম্পিউটার রিবুট হয় ও মুক্তিপণ নোট প্রদর্শন করে।
২) আক্রান্ত কম্পিউটারটি যদি SMB নেটওয়ার্কএ যুক্ত থাকে, তবে এটি আক্রান্ত কম্পিউটারটির username/password/credential hash ব্যবহার করে নেটওয়ার্ক এ যুক্ত অন্য কম্পিউটার এর Access নেবার জন্য চেষ্টা করে এবং যদি সফল হয়, তবে সেই কম্পিউটারটিকেও আক্রান্ত করে।
৩) Bad Rabbit নিম্নলিখিত ফাইল এক্সটেনশন এর ফাইল এনক্রিপ্ট করতে সক্ষম
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp
.brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml
.fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf
.odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt
.pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox
.vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd
.zip
নিরাপদ থাকতে করণীয়
১) যদি কম্পিউটার ব্যবহারকারী এই র্যানসমওয়্যার দ্বারা আক্রান্ত হন, তবে ব্যাকআপ ডেটা থেকে সিস্টেম পুনরুদ্ধার (Recovery) করুন। সাইবার অপরাধীরা যে মুক্তিপণ দাবি করছে, তা দিলেই যে সিস্টেমটির নিয়ন্ত্রণ এবং প্রয়োজনীয় তথ্য ফিরে পাওয়া যাবে, সে বিষয়ে কোনো নিশ্চয়তা নেই। কাজেই যদি কম্পিউটার ব্যবহারকারী র্যানসমওয়্যার দ্বারা আক্রান্ত হন, তবে কোন অবস্থাতেই মুক্তিপণ না দেবার জন্য বিশেষভাবে সুপারিশ করা হল।
২) আপনার ডেটা রেগুলার ব্যাকআপ নিন এবং নিরাপদে রাখুন।
৩) অযাচিত বা সন্দেহজনক লিঙ্ক ও ফাইল এ ক্লিক করবেন না বা ডাউনলোড করবেন না । নিরাপত্তার সাথে ইন্টারনেট ব্রাউজ করুন।
৪) অপ্রয়োজনীয় OS Service ও নেটওয়ার্ক সার্ভিস বন্ধ করুন।
৫) আপনার সিস্টেমে প্রতিষ্ঠিত (renowned ) অ্যান্টি-ভাইরাস ব্যবহার করুন ও সবসময় অ্যান্টি-ভাইরাস হালনাগাদ করুন।
৬) রেগুলার উইন্ডোজ আপডেট করুন। এক্ষেত্রে উইন্ডোজ Automatic Update বা স্বয়ংক্রিয় হালনাগাদ চালু রাখুন।
Reference
- https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/
- https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-Infections-Reported
দেবাশীষ পাল,
ইনফরমেশন সিকিউরিটি স্পেশালিষ্ট,
বিজিডি ই-গভ সার্ট