GlobeImposter 2.0 র্যানসমওয়্যার ও সতর্কতামূলক পদক্ষেপ
by CIRT Team
GlobeImposter 2.0 র্যানসমওয়্যার কি : সাইবার সিকিউরিটি গবেষকগন ২০১৮ সালে প্রথম GlobeImposter র্যানসমওয়্যার এর উপস্থিতি লক্ষ করেন যা GlobeImposter 1.0 নামে পরিচিত। কিন্তু বর্তমানে এর একটি নতুন সংস্করণ GlobeImposter 2.0 র্যানসমওয়্যার প্রকাশিত হয়েছে এবং দ্রুত সারা বিশ্বে ছড়িয়ে পড়েছে।
এই সাম্প্রতিক আক্রমণে, সংক্রামিত কম্পিউটার সিস্টেম এর বিভিন্ন ফাইলগুলি এনক্রিপ্ট হচ্ছে, যা পুনরুদ্ধারের জন্য হ্যাকাররা অর্থ দাবি করছে। GlobeImposter 2.0 ফাইল এনক্রিপ্ট করার জন্য RSA + AES এনক্রিপশন ব্যবহার করে। কোন প্রতিষ্ঠান এখনো পর্যন্ত এই র্যানসমওয়্যার বিরুদ্ধে কার্যকর ডিক্রিপশন টুল বের করতে পারেনি।
এর দ্বারা এনক্রিপশন সম্পন্ন হওয়ার পরে, একটি ব্যাচ ফাইল স্টার্ট হয় যা আক্রান্ত কম্পিউটার সিস্টেমের লগ মুছে ফেলে এবং র্যানসমওয়্যারটি (GlobeImposter 2.0 ) নিজেকে নিজেই ডিলিট করে ফেলে। র্যানসমওয়্যার দ্বারা ফাইলগুলি এনক্রিপ্ট করার পরে, ফাইল পুনরুদ্ধারের জন্য একটি মুক্তিপণ বার্তা প্রদর্শিত হয় যাতে ফাইল পুনরুদ্ধারের জন্য অর্থ দাবি করে এক বা একাধিক ই-মেইল আইডি সাথে যোগাযোগ করতে বলা হয়।
নমুনা ছবি
উল্লেখ্য যে , GlobeImposter 2.0 এনক্রিপশনের জন্য একটি পাবলিক কী (public key) এবং ডিক্রিপশনয়ের জন্য একটি প্রাইভেট কী (private key) ব্যবহার করে এবং এটি প্রত্যেক কম্পিউটারকে সংক্রামিত করার জন্য নতুন নতুন key তৈরি/জেনারেট করে। ফাইলগুলি ডিক্রিপ্ট করার জন্য ব্যবহৃত পদ্ধতিটি পরিচিত হলেও প্রাইভেট কী (private key) ছাড়া তাদের ডিক্রিপ্ট করা প্রায় অসম্ভব এবং প্রাইভেট কী (private key) প্রতি কম্পিউটার সিস্টেম এর জন্য আলাদা আলাদা, যার মানে একজন এর প্রাইভেট কী (private key) দিয়ে আর একজন এর ফাইল ডিক্রিপ্ট করা সম্ভব নয়। এই ডিক্রিপ্ট প্রাইভেট কী (private key) র্যানসমওয়্যার বিতরণকারী অপরাধীদের / হ্যাকারদের সার্ভারে সিস্টেমে সংরক্ষিত হয়।
নিরাপদ থাকতে করণীয়
১) আপনার ডেটা রেগুলার ব্যাকআপ নিন এবং নিরাপদে রাখুন।
২) যদি প্রয়োজন না থাকে তবে TCP পোর্ট 3389, 445, 135, 139 সংযোগ ব্লক করুন। এই সার্ভিস গুলি প্রয়োজনীয় হলে নির্দিষ্ট নেটওয়ার্কের ভিতর সীমাবদ্ধ রাখুন । যেহেতু GlobeImposter র্যানসমওয়্যার টি হ্যাকাররা সাধারণত রিমোট লগইন পাসওয়ার্ড ক্র্যাক করে সিস্টেম এ প্রয়োগ করে, তাই রিমোট লগইন মেথড (যেমন : রিমোট ডেস্কটপ) এ জটিল/কমপ্লেক্স পাসওয়ার্ড ব্যবহার করুন ও এই ধরনের রিমোট লগইন মেথড নির্দিষ্ট নেটওয়ার্কের ভিতর সীমাবদ্ধ রাখুন । অপ্রয়োজনীয় কম্পিউটার সিস্টেম সার্ভিস বন্ধ রাখুন। এই বিষয়ে সাইবার ও নেটওয়ার্ক বিশেষজ্ঞর পরামর্শ নিন।
৩) অযাচিত বা সন্দেহজনক ঠিকানা হতে আগত ই -মেইল লিঙ্ক , ফাইল বা সংযুক্তিতে ক্লিক করবেন না।
৪) আপনার সিস্টেমে প্রতিষ্ঠিত (renowned )অ্যান্টি-ভাইরাস ব্যবহার করুন ও সবসময় অ্যান্টি-ভাইরাস হালনাগাদ করুন। রেগুলার উইন্ডোজ আপডেট করুন। এক্ষেত্রে উইন্ডোজ Automatic Update বা স্বয়ংক্রিয় হালনাগাদ চালু রাখুন।
৬) সবসময় নিরাপত্তার সাথে ইন্টারনেট ব্রাউজ করুন। ইন্টারনেট ব্রাউজ করবার সময় অযাচিত বা সন্দেহজনক লিঙ্কে ক্লিক করবেন না বা অবিশ্বস্ত ওয়েবসাইট হতে ফাইল ডাউনলোড করাবেন না। পাইরেটেড সফটওয়্যার ব্যবহার করবেন না।
Reference :
- https://isecurity.huawei.com/sec/web/viewBlog.do?id=1980
- https://www.fortinet.com/blog/threat-research/analysis-of-new-globeimposter-ransomware-variant.html
————————————————
দেবাশীষ পাল,
ইনফরমেশন সিকিউরিটি স্পেশালিস্ট,
বিজিডি ই-গভ সার্ট