Wannacry : Ransomware နှင့် ပါတ်သက်ပြီး သိသင့်သိထိုက်သည်များ(ကိုစိုင်းတင်မင်းလူ)

Ransomware ဆိုတာဘာလဲ
-----------------------------------------

ကျွန်တော်တို့ ကွန်ပျူတာတွေထဲမှာရှိတဲ့ ဖိုင်တွေ၊ ဒေတာတွေကို မူရင်းပုံစံအနေအထား (Plain Text) မှ Encryption Algorithm (ဝှက်စာပြောင်းသောစနစ်) တစ်ခုဖြင့် Encrypt (ဝှက်စာ) ပြုလုပ်သည့် Malware ပုံစံ အမျိုးအစားဖြစ်ပါသည်။

ထို့ကြောင့် Ramsomware မိသော ကွန်ပျူတာရှိ ဒေတာများတွင် ဝှက်စာ (Encrypted) အဖြစ် ပြောင်းလဲသွားမှာဖြစ်ပြီး ပြန်လည် Decrpyt (မူရင်းစာသားသို့ ပြန်လည်ပြောင်းခြင်း) လုပ်လိုပါက Key လိုအပ်မည်ဖြစ်ပြီး ထို Key ကို လိုချင်ပါက Ransomware ရေးသော Attacker ဆီသို့ ပိုက်ဆံမည်မျှပေးရမည်၊ မည်သည့်အချိန်တွင် နောက်ဆုံးထားပေးရမည် မပေးပါက Decrypt လုပ်သည့် Key ကို User အနေဖြင့် ဘယ်တော့မှ ရရှိတော့မည် မဟုတ် စသည်ဖြင့် ခြိမ်းခြောက်ကာ ငွေညစ်တောင်းခံလေ့ရှိပါသည်။

WannaCry Ramsomware

WannaCry သို့မဟုတ် WannaCrypt လို့လည်းခေါ်ပါတယ်။ ယခုအခါအလွန်နာမည်ကြီးလျက်ရှိသော Ramsomware အမျိုးအစားဖြစ်ပါတယ်။ အဓိကအားဖြင့် Microsoft Windows Platform ကိုသာ ဦးတည်တိုက်ခိုက်သော Ramsomware အမျိုးအစားဖြစ်ပါသည်။ ထို WannaCry Ramsomware မှာ US, NSA မှ တီထွင်ဖန်တီးသည်ဟု ယူဆရသော Eternalblue Exploit (MS17-010) ကို အခြေပြုကာ တီထွင်ဖန်တီးထားသော Ramsomware ဖြစ်ပါသည်။

Eternalblue Exploit ၏ Code ကို Shadowbrokers ဟုအမည်ရသော Hacker အဖွဲ့တစ်ဖွဲ့မှ အများပြည်သူသို့ leak (ထုတ်ဖော်) လုပ်ရာမှ WannaCry ရေးသော Attacker က ထို Code ကို အခြေပြုကာ WannaCry Ramsomware ကို ရေးသားခဲ့ပါသည်။ ထို Exploit ၏ အဓိက လုပ်ဆောင်ချက်မှာ SMBv1 Protocol ၏ အားနည်းချက်ကို အခြေပြုကာ Network အတွင်းရှိ ကွန်ပျူတာများကို တိုက်ခိုက်ခြင်းဖြစ်ပါသည်။ Microsoft Windows Operating System များတွင် Server Message Block (SMBv1) ဟုခေါ်သော File Sharing လုပ်ရာတွင် အဓိကကျသည့် Protocol ၏ အားနည်းချက် ယိုပေါက် (Vulnerability) မှတစ်ဆင့် Network တစ်ခုလုံးကို ပျံ့နှံ့စေနိုင်ပါသည်။

မူရင်း WannaCry Ramsomware ဝင်တတ်သော Vector (ဝင်ရောက်သည့်ပုံစံ) မှာ Phishing (Attacker များမှ အတူအယောင်ဖန်တီးထားသော Link များမှ သော်လည်းကောင်း၊ Drive by Download နည်းလမ်းဖြင့်သော်လည်းကောင်း၊) စက်တစ်လုံးသို့ အရင်ဆုံး ကူးဆက်ဝင်ရောက်တတ်ပါသည်။ ထို့နောက်မှ တစ်ဆင့် SMB Protocol ကို အသုံးပြုကာ Network ထဲမှ SMBv1 သုံးထားပြီး အားနည်းချက် ယိုပေါက် (Vulnerability) ရှိသော စက်များကို Worm ပုံစံဖြင့် ဝင်ရောက်ကာ Self Execute လုပ်ပြီး WannaCry Ramsomware များကို Run စေပါသည်။

Wannacry Ramsomeware ပျံ့ နှံ့ပြီး နာရီပိုင်းအကြာတွင် UK မှ Security Researcher တစ်ဦးဖြစ်သူ Marcus Hutchins မှ Wannacry Ramsomeware ကို ခေတ္တခဏ တားဆီးပေးနိုင်မည့် Kill Switch ကို Reverse Engineering လုပ်စဉ် တွေ့ရှိသွားခဲ့ပါသည်။ Kill Switch မှာ WannaCry Ramsomware ကူးဆက်ခြင်းခံရသည့် ကွန်ပျူတာများသည် Attacker သတ်မှတ်ထားသည့် Internet မှ Website လိပ်စာတစ်ခုကို သွားရောက်၍ ချိတ်ဆက်ရသည်။ ထို Website ကိုမချိတ်ဆက်နိုင်ပါက WannaCry Ramsomware အလုပ်လုပ်မည်ဖြစ်ပါသည်။ ထို့ကြောင့် Marcus Hutchins က Kill Switch ဖြစ်သည့် ထို Domain Name ကို Register လုပ်ခြင်းအားဖြင့် WannaCry Ramsomware အလုပ်လုပ်ခြင်းကို တားဆီးနိုင်ခဲ့ပါသည်။

WannaCry Ramsomware ကိုမည်သူထွင်ခဲ့သည်လို့ထင်သလဲ

လက်တလောအချိန်တွင် အတိအကျမပြောနိုင်သေးသော်လည်း Cyber Security Company တစ်ခုဖြစ်သည့် Symantec မှ မြောက်ကိုရီးယားနိုင်ငံနှင့် အဆက်အဆက်ရှိသည်ဟုယူဆရသော Lazarus Hacker Group မှ WannaCry Ramsomeware ကို တီထွင်ဖန်းတီးသည်ဟု ယူဆကြောင်းပြောကြားခဲ့ပါသည်။
အဘယ်ကြောင့်ဆိုသော ထို WannaCry Ramsomware တွင်ပါဝင်သော Code အချို့သည် ယခင်က Sony Pictures Entertainmant နှင့် Bangladeshနိုင်ငံ Central Bank တို့ကိုတိုက်ခိုက်ခဲ့သော Lazarus Hacker Group ၏ Code များနှင့် တူညီသောကြောင့် မှန်းဆခန့်မှန်းခြင်းဖြစ်ပါသည်။

WannaCry Ramsomware ကိုဘယ်လိုကာကွယ်မလဲ

ယခုလက်ရှိအနေဖြင့် WannaCry Ramsomware ကိုကာကွယ်ရန်
၁။ SMB Version 1 ကိုပိတ်ထားခြင်း
၂။ Microsoft ၏ MS17-010 Patch အား Install လုပ်ခြင်း အားဖြင့် WannaCry Ramsomware ပျံ့ နှံ့ခြင်းကိုကာကွယ် နိုင်ပါသည်။ Microsoft Patch ကို အောက်ပါ Link တွင် Download ချယူနိုင်ပါသည်။
https://technet.microsoft.com/…/libr…/security/ms17-010.aspx
မဝင်ရောက်သေးသည့် ကွန်ပျူတာများအနေဖြင့်လည်း လုပ်ဆောင်ထားသင့်သောအချက်များမှာ
၁။ Backup Backup Backup - အလွန်အရေးကြီးသောလုပ်ဆောင်ချက်ဖြစ်သောကြောင့် ၃ ခါပြောခြင်းဖြစ်ပါသည်။ Backup File များရှိပါက Infected File များကိုရှင်း၍ Restore လုပ်လိုက်ရုံဖြင့် ပြန်လည်ပြုပြင်နိုင်ပါသည်။

စိုင်းတင်မင်းလူ
တွဲဖက်အတွင်းရေးမှူး
ရန်ကုန်တိုင်းဒေသကြီး ကွန်ပျူတာပညာရှင် အသင်း

Category: