GlobeImposter 2.0 র্যানসমওয়্যার ও সতর্কতামূলক পদক্ষেপ
by CIRT Team
GlobeImposter 2.0 র্যানসমওয়্যার কি : সাইবার সিকিউরিটি গবেষকগন ২০১৮ সালে প্রথম GlobeImposter র্যানসমওয়্যার এর উপস্থিতি লক্ষ করেন যা GlobeImposter 1.0 নামে পরিচিত। কিন্তু বর্তমানে এর একটি নতুন সংস্করণ GlobeImposter 2.0 র্যানসমওয়্যার প্রকাশিত হয়েছে এবং দ্রুত সারা বিশ্বে ছড়িয়ে পড়েছে।
এই সাম্প্রতিক আক্রমণে, সংক্রামিত কম্পিউটার সিস্টেম এর বিভিন্ন ফাইলগুলি এনক্রিপ্ট হচ্ছে, যা পুনরুদ্ধারের জন্য হ্যাকাররা অর্থ দাবি করছে। GlobeImposter 2.0 ফাইল এনক্রিপ্ট করার জন্য RSA + AES এনক্রিপশন ব্যবহার করে। কোন প্রতিষ্ঠান এখনো পর্যন্ত এই র্যানসমওয়্যার বিরুদ্ধে কার্যকর ডিক্রিপশন টুল বের করতে পারেনি।
এর দ্বারা এনক্রিপশন সম্পন্ন হওয়ার পরে, একটি ব্যাচ ফাইল স্টার্ট হয় যা আক্রান্ত কম্পিউটার সিস্টেমের লগ মুছে ফেলে এবং র্যানসমওয়্যারটি (GlobeImposter 2.0 ) নিজেকে নিজেই ডিলিট করে ফেলে। র্যানসমওয়্যার দ্বারা ফাইলগুলি এনক্রিপ্ট করার পরে, ফাইল পুনরুদ্ধারের জন্য একটি মুক্তিপণ বার্তা প্রদর্শিত হয় যাতে ফাইল পুনরুদ্ধারের জন্য অর্থ দাবি করে এক বা একাধিক ই-মেইল আইডি সাথে যোগাযোগ করতে বলা হয়।
নমুনা ছবি
উল্লেখ্য যে , GlobeImposter 2.0 এনক্রিপশনের জন্য একটি পাবলিক কী (public key) এবং ডিক্রিপশনয়ের জন্য একটি প্রাইভেট কী (private key) ব্যবহার করে এবং এটি প্রত্যেক কম্পিউটারকে সংক্রামিত করার জন্য নতুন নতুন key তৈরি/জেনারেট করে। ফাইলগুলি ডিক্রিপ্ট করার জন্য ব্যবহৃত পদ্ধতিটি পরিচিত হলেও প্রাইভেট কী (private key) ছাড়া তাদের ডিক্রিপ্ট করা প্রায় অসম্ভব এবং প্রাইভেট কী (private key) প্রতি কম্পিউটার সিস্টেম এর জন্য আলাদা আলাদা, যার মানে একজন এর প্রাইভেট কী (private key) দিয়ে আর একজন এর ফাইল ডিক্রিপ্ট করা সম্ভব নয়। এই ডিক্রিপ্ট প্রাইভেট কী (private key) র্যানসমওয়্যার বিতরণকারী অপরাধীদের / হ্যাকারদের সার্ভারে সিস্টেমে সংরক্ষিত হয়।
নিরাপদ থাকতে করণীয়
১) আপনার ডেটা রেগুলার ব্যাকআপ নিন এবং নিরাপদে রাখুন।
২) যদি প্রয়োজন না থাকে তবে TCP পোর্ট 3389, 445, 135, 139 সংযোগ ব্লক করুন। এই সার্ভিস গুলি প্রয়োজনীয় হলে নির্দিষ্ট নেটওয়ার্কের ভিতর সীমাবদ্ধ রাখুন । যেহেতু GlobeImposter র্যানসমওয়্যার টি হ্যাকাররা সাধারণত রিমোট লগইন পাসওয়ার্ড ক্র্যাক করে সিস্টেম এ প্রয়োগ করে, তাই রিমোট লগইন মেথড (যেমন : রিমোট ডেস্কটপ) এ জটিল/কমপ্লেক্স পাসওয়ার্ড ব্যবহার করুন ও এই ধরনের রিমোট লগইন মেথড নির্দিষ্ট নেটওয়ার্কের ভিতর সীমাবদ্ধ রাখুন । অপ্রয়োজনীয় কম্পিউটার সিস্টেম সার্ভিস বন্ধ রাখুন। এই বিষয়ে সাইবার ও নেটওয়ার্ক বিশেষজ্ঞর পরামর্শ নিন।
৩) অযাচিত বা সন্দেহজনক ঠিকানা হতে আগত ই -মেইল লিঙ্ক , ফাইল বা সংযুক্তিতে ক্লিক করবেন না।
৪) আপনার সিস্টেমে প্রতিষ্ঠিত (renowned )অ্যান্টি-ভাইরাস ব্যবহার করুন ও সবসময় অ্যান্টি-ভাইরাস হালনাগাদ করুন। রেগুলার উইন্ডোজ আপডেট করুন। এক্ষেত্রে উইন্ডোজ Automatic Update বা স্বয়ংক্রিয় হালনাগাদ চালু রাখুন।
৬) সবসময় নিরাপত্তার সাথে ইন্টারনেট ব্রাউজ করুন। ইন্টারনেট ব্রাউজ করবার সময় অযাচিত বা সন্দেহজনক লিঙ্কে ক্লিক করবেন না বা অবিশ্বস্ত ওয়েবসাইট হতে ফাইল ডাউনলোড করাবেন না। পাইরেটেড সফটওয়্যার ব্যবহার করবেন না।
Reference :
- https://isecurity.huawei.com/sec/web/viewBlog.do?id=1980
- https://www.fortinet.com/blog/threat-research/analysis-of-new-globeimposter-ransomware-variant.html
————————————————
দেবাশীষ পাল,
ইনফরমেশন সিকিউরিটি স্পেশালিস্ট,
বিজিডি ই-গভ সার্ট
Recommended Posts
Cyber Threat Alert: Surge in Attacks via Compromised Third-Party Service Providers
08 Feb 2024 - Articles, English articles, Security Advisories & Alerts
Subscribe here
MEMBER OF:
