എന്താണ് ഇപ്പോൾ സൈബർ ലോകത്തെ ഞെട്ടിക്കുന്ന റാൻസംവെയർ എങ്ങനെ തടയാം

റാൻസംവെയർ എന്നാൽഎന്താണ്?

റാൻസംവെയർ ഒരു ഉപദ്രവകാരിയായ സോഫ്റ്റ്‌വെയർ ആണ്. അത് നമ്മുടെ കംപയൂട്ടറിലെ അല്ലെങ്കിൽ മൊബൈലിലെ ഫയലുകളെ encrypt ചെയ്തു നമുക്ക് ഉപയോഗിക്കാൻ പറ്റാത്ത രീതിയിൽ ആക്കി മാറ്റും. എന്നിട്ട് ആ കമ്പ്യൂട്ടർ അല്ലെങ്കിൽ മൊബൈൽ പഴയ രൂപത്തിൽ ആക്കാൻ ക്യാഷ് ആവശ്യപ്പെടും.

അടുത്തിടെ Wannacry എന്ന പേരിൽ ഒരു ഭയാനകമായ റാൻസംവെയർ ലോകം മുഴുവനും ബാധിച്ചു കൊണ്ടിരിക്കുകയാണ്. ലോകം ഇന്നേവര കണ്ടതിൽ വച്ച് ഏറ്റവും വലിയ റാൻസoവെയർ അറ്റാക്ക് ആണ് ഇത്. ഇന്ത്യയിലും ഇത് ബാധിച്ചിട്ടുണ്ട്.

വെള്ളിയാഴ്ചത്തെ റാൻസംവെയര്‍ ആക്രമണത്തിന് ശേഷം തിങ്കളാഴ്ച വീണ്ടും ആക്രമണമുണ്ടാകുമെന്നാണ് സുരക്ഷാ വിദഗ്ദരുടെ മുന്നറിയിപ്പ്. വെള്ളിയാഴ്ച ഉണ്ടായ ആക്രമണത്തില്‍ 125,000 കമ്പ്യൂട്ടർ സംവിധാനങ്ങളാണ് തകരാറിലായത്. എന്നാൽ തിങ്കളാഴ്ച മറ്റൊരു ആക്രമണം ഉണ്ടാകുമെന്നും ഗവേഷകൻ പ്രവചിച്ചിരുന്നുവെന്ന് ബിബിസി റിപ്പോര്‍ട്ട് ചെയ്യുന്നു.

Wannacry റാൻസംവെയർ എന്നാൽ എന്താണ്?

Wannacry റാൻസംവെയർ വിൻഡോസ് കംപ്യൂട്ടറിനെ ആണ് അറ്റാക് ചെയുന്നതു. ഇത് WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY എന്നിങ്ങനെ പല പേരുകളിലായി വ രുന്നുണ്ട്. ഇത് വിൻഡോസിൽ ഉള്ള SMB യിലെ സെക്യൂരിറ്റിയിലെ ഒരു ലൂപ്‌ഹോളിലൂടെ ആണു പടരുന്നത്. Etternal Blue എന്ന പേരിലുള്ള ഒരു വാലുണരബിലിറ്റി ആണ് ഇതിനായി ഉപയോഗിക്കുന്നത് .

വിൻഡോസ് 10 നു മുന്നേ ഉള്ള MS17 -010 എന്ന സെക്യൂരിറ്റി വാല്യൂനുറബിലിറ്റി പാച്ച് അപ്ഡേറ്റ് ചെയാത്ത എല്ലാ വിൻഡോസ് വേർഷനിലും ഇത് ബാധിക്കാവുന്നതാണ. ഒരു കമ്പ്യൂട്ടറിൽ ഇത് ബാധിച്ചാൽ അതിലെ എല്ലാ ഫയലുകളും അത് encrypt ചെയ്യും. അതിനു ശേഷം countdown ഉള്ള ഒരു പോപ്അപ്പ് കാണിക്കും. അതിൽ ഹാക്കറിനു പണം നൽകണമെന്നു എങ്ങനെ നൽകണമെന്നും കാണിക്കും. അത് കൊടുത്തില്ലെങ്കിൽ ഫയലുകൾ ഡിലീറ്റ് ചെയ്യുന്ന രീതിയും യൂസറിനെ കാണിക്കും. ഇത് കൂടാതെ doublepulsar എന്ന ഒരു backdoor ഉം അതിൽ ഇൻസ്റ്റാൾ ചെയ്യും.

Wannacry റാൻസംവെയർ എങ്ങനെ പടരുന്നു ?

Eternalblue എന്ന സെക്യൂരിറ്റി വാലുണരാബിലിറ്റി മുഖാന്ത്രം ആണ് ഇത് പകരുന്നത്. ഇൻറർനെറ്റിൽ ഉള്ള അനാവശയമായ ലിങ്ക് ക്ലിക്ക് ചെയുന്നതിലൂടെയും, അറിയാത്ത ആളുകൾ അയച്ചു തരുന്ന ഇമെയിൽ അറ്റാച്മെന്റ്റ് വഴിയും ഇത് പകാരും. ഇതു കൂടാതെ ഒരു നെറ്റ്‌വർക്കിൽ പടർന്നു പിടിക്കാൻ ഉള്ള കഴിവ് ഇതിനുണ്ട്. ആദയം നെറ്റ്‌വർക്കിലെ കമ്പ്യൂട്ടറുകളെ സ്കാൻ ചെയ്ത etternalblue എന്ന സെക്യൂരിറ്റി വീഴച ഉണ്ടോ എന്നു പരിശോധിക്കുന്നു .ഉണ്ടെങ്കിൽ അതുവഴി റാൻസംവെയർ കമ്പ്യൂട്ടറിൽ കയറുന്നു. തുടർന്ന് നെറ്റ്‌വർക്കിലെ മറ്റു കമ്പ്യൂട്ടറുകളെ ബാധിക്കുന്നു.

ഇതു തടയാൻ എന്തു ചെയ്യണം

  1. മൈക്രോസോഫ്റ്റ് പുറത്തിറിക്കിയ സെക്യൂരിറ്റി അപ്ഡേറ്റ് ആയ MS17-010 എത്രയും പെട്ടെന്നു ഇൻസ്റ്റാൾ ചെയ്യണം .
  2. വിൻഡോസ് NT, 2000, XP എന്നിവ എത്രയും പെട്ടന്നു പ്രൊഡക്ഷൻ എൻവിറോൺമെന്റിൽ നിന്നും മാറ്റണം
  3. 139, 445 , 3389 തുടങ്ങിയ പോർട്ടുകൾ ഫയർവാളിൽ തടയണം.
  4. അനാവശ്യമായ ലിങ്കുകൾ ക്ലിക്ക് ചെയ്യാതിരിക്കുക
  5. അറിയാത്ത ആളുകൾ അയച്ചു തരുന്ന അറ്റാച്മെന്റ്‌ തുറക്കാതിരിക്കുക
  6. വിൻഡോസിൽ ഉള്ള SMB disable ചെയ്യുക.
  7. സോഫ്റ്റ്‌വെയർ എല്ലാം അപ്ഡേറ്റ് ചെയ്യുക
  8. ബ്രൗസറിൽ ഒരു പോപ്പ് അപ്പ് ബ്ലോക്കർ ഇൻസ്റ്റാൾ ചെയ്യുക
  9. തുടർച്ചയായി ബാക്കപ്പ് എടുക്കുക
  10. നല്ല ഒരു ആൻറിവൈറസ് സോഫ്ട്‍വെയറും ആന്റ്റി റാൻസംവെയർ സോഫ്റ്റ്‌വെയർ ഇൻസ്റ്റാൾ ചെയ്യുക
  11. ഇതു കൂടാതെ ചുവടെ കൊടുത്തിരിക്കുന്ന ip അഡ്രസ് ഡൊമൈൻ നെയിമും ആന്റ്റി വൈറസ് ഉപയോഗിച്ച് തടയുക

IP address

16.0.5.10:135

16.0.5.10:49

10.132.0.38:80

1.127.169.36:445

1.34.170.174:445

74.192.131.209:445

72.251.38.86:445

154.52.114.185:445

52.119.18.119:445

203.232.172.210:445

95.133.114.179:445

111.21.235.164:445

199.168.188.178:445

102.51.52.149:445

183.221.171.193:445

92.131.160.60:445

139.200.111.109:445

158.7.250.29:445

81.189.128.43:445

143.71.213.16:445

71.191.195.91:445

34.132.112.54:445

189.191.100.197:445

117.85.163.204:445

165.137.211.151:445

3.193.1.89:445

173.41.236.121:445

217.62.147.116:445

16.124.247.16:445

187.248.193.14:445

42.51.104.34:445

76.222.191.53:445

197.231.221.221:9001

128.31.0.39:9191

149.202.160.69:9001

46.101.166.19:9090

91.121.65.179:9001

2.3.69.209:9001

146.0.32.144:9001

50.7.161.218:9001

217.79.179.177:9001

213.61.66.116:9003

212.47.232.237:9001

81.30.158.223:9001

79.172.193.32:443

38.229.72.16:443

Domains:

• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

• Rphjmrpwmfv6v2e[dot]onion

• Gx7ekbenv2riucmf[dot]onion

• 57g7spgrzlojinas[dot]onion

• xxlvbrloxvriy2c5[dot]onion

• 76jdd2ir2embyv47[dot]onion

• cwwnhwhlz52maqm7[dot]onion

File Names:

• @Please_Read_Me@.txt

• @WanaDecryptor@.exe

• @WanaDecryptor@.exe.lnk

• Please Read Me!.txt (Older variant)

• C:\WINDOWS\tasksche.exe

• C:\WINDOWS\qeriuwjhrf

• 131181494299235.bat

• 176641494574290.bat

• 217201494590800.bat

• [0-9]{15}.bat #regex

• !WannaDecryptor!.exe.lnk

• 00000000.pky

• 00000000.eky

• 00000000.res

• C:\WINDOWS\system32\taskdl.exe

Leave a Reply