বর্তমান সময়ের এক বিশাল মাথাব্যথার নাম Ransomware। এক কথায় Ransomware হলো এমন এক ধরনের ভাইরাস যেটা আপনার ফাইলগুলো এনক্রিপ্ট করে ডিক্রিপশান কি এর জন্য অর্থ দাবি করে। সাধারণত ভুয়া ইমেইল, ক্র্যাকড সফটওয়্যার, ম্যালিশিয়াস টরেন্ট, হ্যাকড ওয়েবসাইট ইত্যাদি থেকে Ransomware ছড়ায়। একবার পিসি আক্রান্ত হলে ডেটা ফিরে পাওয়ার উপায় নিয়েই এই পোস্ট। সাথে থাকছে সেফ থাকার উপায়।
বোঝার সুবিধার্থে পোস্টটাকে ৪ ভাগে ভাগ করবোঃ
১। Ransomware কিভাবে কাজ করে?
২। Ransomware Detection
৩। Recovery
৪। Prevention
Ransomware কিভাবে কাজ করে?
মজনু একটা ওয়েবসাইট থেকে ক্র্যাকড লাইলি প্লেয়ার.exe নামালো। এরপর সেটা পিসিতে রান করাতেই স্ক্রিনজুড়ে ভেসে উঠলোঃ
তোমার সব ফাইল আমি লক করে দিয়েছি। হা হা হা!
তাড়াতাড়ি ১০০০ টাকা ০১৪২০৪২০ নাম্বারে বিকাশ করো।
মজনুর তো মাথায় হাত!
পাঠক, উপরেরটা একটা উদাহরণ । বাস্তবে Ransomware এর শিকার হলে মাথায় হাত কেন ব্যবসা শিকেয় উঠতে পারে
বাস্তবে ফিরে আসি,
Ransomware দেখতে পাশের বাড়ির exe গুলোর মতোই। যেটা আপনারা জানালায় (Windows) এ ইন্সটল করেন কিংবা নিজে নিজেই এক্সিকিউট হয়!
কিভাবে আসে?
১। ভুয়া সফটওয়্যারের মাধ্যমে। (Cracked, Lifetime, Unlimited, Hacked, Patched, Pro ইত্যাদি গালভরা নামের আড়ালে)
২। স্প্যাম ইমেইল
৩। গ্লোবাল এট্যাক (যেমনঃ WannaCry)
৪। ভাইরাসওয়ালা টরেন্ট
৫। ম্যালিশিয়াস এডভারটাইজমেন্ট
৬। হ্যাকড ওয়েবসাইট
ইনস্টল করা হয়ে গেলেই Ransomware তার কাজ শুরু করে। একটা নির্দিষ্ট Key বা চাবি দিয়ে আপনার সব ফাইল লক করে দেয়। এটাকে বলে Encryption। ফাইলগুলো একবার Encrypted হয়ে গেলে সেটা খুলতে এই চাবি লাগে। Encryption এর উল্টোটা হলোঃ Decryption. এই যে ফাইলগুলো আনলক করা - সেটাই Decryption.
এই চাবিটার জন্যই হ্যাকার আপনার কাছে টাকা চায়।
একটা তালার যেমন একটাই চাবি থাকে (সাধারণত) তেমনি আপনার পিসির জন্যও হ্যাকাররা একটা এনক্রিপশান কি ব্যবহার করে। একবার ফাইলগুলো Encrypted হয়ে গেলে এই কি দিয়েই খুলতে হবে।
ফাইলগুলো খোলার জন্য দরকার হয় Decryptor এবং key যা অনেক সময় বিনামূল্যে পাওয়া যায় (হ্যাকারদের কাছে এটা অবশ্যই থাকার কথা!)।
হ্যাকাররা যেসব Encryption Algorithm ব্যবহার করে সেটা যদি দূর্বল হয় কিংবা Ransomware এর কোডে কোনো বাগ থাকে তাহলে সহজেই Decryptor বানানো সম্ভব। এথিকাল হ্যাকাররা এবং সাইবার সিকিউরিটি স্পেশালিষ্টরা অনেকগুলো Ransomware এর Decryptor বানিয়েছেন যেগুলো বিনামূল্যে পাওয়া যায়। এই পোস্টে সেগুলোর লিংক পাবেন
Ransomware কোন অপারেটিং সিস্টেমকে টার্গেট করে???
১। ৯৭% উইন্ডোজ
২। বাকিটা ম্যাক ওস এবং
৩। লিনাক্স ❤
কেন উইন্ডোজ সর্বাধিক আক্রান্ত?
বিশ্বের বেশিরভাগ পিসিই উইন্ডোজে চলে।
Ransomware Detection
ক) কিভাবে বুঝবো আমি আক্রান্ত?
শুরুতেই দেখুন এরকম কোনো লেখা স্ক্রিনে বা কোনো ব্রাউজারের ট্যাবে দেখাচ্ছে কিনাঃ
All your files are encrypted with ____..........
..........
এটা Ransom Note যা Ransomware ভেদে আলাদা হয়।
কিছু Ransom Note:
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransom-notes-know-what-ransomware-hit-you
https://spinbackup.com/blog/10-ransomware-examples-to-stay-away-from
যদি দেখায়, তাহলে আপনার ফাইলগুলো চেক করুন। নিচের মতো যদি সবগুলো ফাইল একটা নির্দিষ্ট ফাইল এক্সটেনশন (উদাহরণ স্বরূপ নিচের ছবিতে .fun) সহ থাকে অথবা ফাইলগুলোর নামও হিজিবিজি অক্ষরে থাকে তাহলে বুঝবেন আপনি Ransomware কিংবা Scareware দ্বারা আক্রান্ত।
খ) আমার ফাইলগুলো কি ঠিক আছে?
Ransomware এর ছোট ভাই বলা চলে Scareware কে।
শুরুতেই ফাইলের এক্সটেনশন গুগলে সার্চ করুন। দেখুন ওটা কি!
Scareware আপনাকে ভয় দেখাবে কিন্তু ফাইলগুলো এনক্রিপ্ট করবে না। তাই দেখুন ফাইলগুলো সত্যি এনক্রিপ্টেড কিনা।
আপনার ফাইলগুলো রিনেম করে ওপেন করার চেষ্টা করুন। বাস্তবে হাজারো ফাইল চেক করতে হতে পারে। তখন আপনার প্রতিনিয়ত ব্যবহৃত কোনো ফাইল ওপেন করার চেষ্টা করুন।ফাইল সাইজ দেখেও অনেক সময় বুঝতে পারবেন। সে অনুযায়ী ফাইল এক্সটেনশন চেঞ্জ করুন। (যেমনঃ.exe, .png)। যদি ওপেন করা যায় তাহলে বাকিগুলোও রিনেম করুন। Scareware এর ফাইল রিকভারি মেথড গুগলেই পাওয়ার কথা।
সত্যিকারে Encrypted হলে ফাইলগুলোর এক্সটেনশন রিনেম করেও ওপেন করা যাবে না। কিন্তু ফাইল সাইজ সেইম থাকবে। তখন বুঝবেন এটা Ransomware. নিচের File recovery সেকশানে চলে যান।
আমার কম্পিউটারে Ransomware Encryption করা শুরু করেছে। কি করবো?
সবার আগে ইন্টারনেট কানেকশন বন্ধ করুন। ফায়ারওয়াল দিয়ে, প্লাগ খুলে, কেবল খুলে যেভাবে সম্ভব ইন্টারনেট বন্ধ করুন।
সেইম নেটওয়ার্কে অনেকগুলো কম্পিউটার সংযুক্ত থাকলে আক্রান্ত কম্পিউটারকে নেটওয়ার্ক থেকে যথাসম্ভব দ্রুত বিচ্ছিন্ন করুন। না হলে বাকি কম্পিউটারগুলোও আক্রান্ত হবে!!!
তারপর, Task Manager এ যান। সন্দেহজনক সব প্রসেস বন্ধ করে দিন। Startup থেকে সন্দেহজনক প্রসেস অফ করে দিন। এরপর পিসি Safe Mode এ Restart দিন। এরপর ভালো মানের একটা এন্টিভাইরাস চালান যেমনঃ Kaspersky।
এরপর নিচে দেখুন।
=================================⚠===================================
কখনোই হ্যাকারদের টাকা দিতে যাবেন না!!!
File recovery:
শুরুতে দেখুন আপনার কোনো ব্যাকআপ (সেটা আপনার আক্রান্ত পিসিতেই থাকলে বেশ কিছু ক্ষেত্রে That will be also encrypted) আছে কিনা।আক্রান্ত পিসিতেই ব্যাকআপ থাকলেও রিস্টোর করার পর আবারো ফাইলগুলো Encrypted হয়ে যেতে পারে।
Ransomware এর একটা কাজ হলো Real Time Encryption. আপনি একটা ফাইল কপি করতেই সেটা Encrypted করে দিবে। (সব Ransomware নয়!) এজন্য আক্রান্ত পিসি অন থাকা অবস্থায় নতুন কোনো পেনড্রাইভ, হার্ডডিস্ক, ড্রাইভ যুক্ত করবেন না। যুক্ত করলে সেগুলোও Encrypted হয়ে যেতে পারে।
ব্যাকআপ যদি অন্য একটা ফিজিক্যাল হার্ডডিস্কে থাকে তাহলে আক্রান্ত হার্ডডিস্ক পুরোটা ফরম্যাট দিন। তারপর নতুন করে উইন্ডোজ দিয়ে ফাইল কপি শুরু করুন।
যাদের ব্যাকআপ নেই বা কাজে আসছে নাঃ
বেস্ট ওয়ে হলো সবার আগে কোন Ransomware এটা দেখা।
নিচের লিংকে চলে যানঃ
https://id-ransomware.malwarehunterteam.com
এমন দেখাবেঃ
Browse এ ক্লিক করে একটা ফাইল সিলেক্ট করুন। তারপর Upload এ ক্লিক করুন।
ফাইলটি ডিক্রিপ্ট করা সম্ভব হলে নিচের মতো দেখাবেঃ
লাল লেখায় ক্লিক করুন। Decryptor সফটওয়্যার পেয়েও যেতে পারেন।
কিছু Ransomware ফ্যামিলির হাজারো Variant আছে। যেমনঃ .djvu। সেক্ষেত্রে সবগুলো Decrypt করা সম্ভব নাও হতে পারে। একেকটার জন্য একেকরকম Decryptor লাগবে।
আরো দুটো Free Ransomware Decryption Tool খোঁজার ওয়েবসাইটঃ
https://www.nomoreransom.org/
উপরের লিংকে ঢুকে ভাষা সিলেক্ট করুন। তারপরঃ
Yes দিন। স্ক্রিনটা এমন দেখাবেঃ
একটা আক্রান্ত ফাইল আপলোড করুন। বড় বক্সটিতে বিটকয়েন এড্রেস, ইমেইল দিতে পারেন।
এরপর Decryptor থাকলে দেখাবে কিংবা Information দিবে। ডাউনলোড করে নিন। টিউটোরিয়ালও পাবেন সেখানে।
আরেকটা সাইটঃ
https://www.emsisoft.com/ransomware-decryption-tools/
আরো একটাঃ
https://noransom.kaspersky.com/
এই সাইটেও দেখতে পারেনঃ
https://www.bleepingcomputer.com/
আরো আরো সাইটঃ
https://www.quickheal.com/free-ransomware-decryption-tool/
https://heimdalsecurity.com/blog/ransomware-decryption-tools/
একটা Decryptor কেমন দেখতেঃ
Encrypted ফাইলগুলো যেসব ফোল্ডারে আছে সেগুলো Add করবেন। তারপর Decrypt!!!
এছাড়াও কিছু ডাটা রিকভারি সফটওয়্যার চালিয়ে দেখতে পারেন। এ বিষয়ে আমি সামনে পোস্ট দিবো। কিছু Ransomware আগেই ব্যাকআপ ডিলিট বা Encrypted করে ফেলে। ফাইলের Shadow Copy আছে কিনা দেখতে পারেন।
One click solution:
যদি ফাইলের মায়া না থাকে তাহলে পুরো হার্ডডিস্ক ফরম্যাট দিতে পারেন (উইন্ডোজসহ। পরে নতুন করে উইন্ডোজ দিতে হবে)। উল্লেখ্য ফরম্যাট দিলে আপনার সম্পূর্ণ ডেটা মুছে যাবে।
যাদের MBR আক্রান্ত তাদের ফরম্যাট করলেও কাজে দিবে না!
যারা ব্যর্থ!!!!
যারা উপরের কোনো সাইটেই কোনো সমাধান পান নাই, তারা নিচের লিংকে যানঃ
https://id-ransomware.malwarehunterteam.com/notify.php
ফর্মটা পুরণ করে বসে থাকুন।
এছাড়াও গুগলে, ইউটিউবে সার্চ করতে পারেন। বেশি দরকার পড়লে কোনো সাইবার সিকিউরিটি ফার্ম বা এন্টিভাইরাস কোম্পানির সহায়তা নিতে পারেন।
Warning!!!!!!!
সব ধরনের Decryption করার আগে অন্য একটা পিসি বা ভার্চুয়াল মেশিনে ফাইল সত্যি Decrypt হয় কিনা দেখে নেবেন।
Prevention:
কথায় বলে, Prevention is better than cure
Ransomware এর ক্ষেত্রে এটা সবচেয়ে বেশি খাটে। একবার আপনার সব ফাইল Encrypted হয়ে যাওয়ার অর্থ হচ্ছে সমূহ বিপদ। সব Ransomware এর ফাইল ফিরে পাওয়া যায় না। আবার পেমেন্ট করলেও ফাইল ফিরে পাওয়ার নিশ্চয়তা নেই। এখন তো আবার কিছু Ransomware Author রা পার্সোনাল ফাইল নিলামে তুলছে (আপনাকে বলেই তুলবে )
তাই-
১। অজানা সোর্স থেকে ফাইল ডাউনলোড করবেন না। ডাউনলোড করা দরকারী হলে Virustotal এ চেক করুন। Virustotal নিয়ে আমার পোস্টঃ
VirusTotal: বিনা ডাউনলোডে এক বস্তা প্রিমিয়াম এন্টিভাইরাস !
ফাইলটি সরাসরি কোনো পিসির ওপর প্রয়োগ করতে চাইলে নিচের লিংকে চলে যানঃ
https://www.hybrid-analysis.com/
ফাইলটা সিলেক্ট করে Analyze এ ক্লিক করুন।
এরপর,
ইচ্ছে হলে আপনার ইমেইল দিতে পারেন। তারপর Continue করুন।
এমন দেখাবেঃ
আমি সবসময় Windows 7 64 bit এর টা ব্যবহার করি। আপনার আর্কিটেকচার অনুযায়ী সিলেক্ট করুন। তারপর,
Generate Public Report এ ক্লিক।
নিচের মতো আসবেঃ
ছোট ছোট স্ক্রিনশটগুলোয় ক্লিক করলে নিউ ট্যাব ওপেন হবে। সেখানে দেখে নিন আপনার সাধের ফাইল কি করে
আরেকটা মেথডঃ VMware বা Virtualbox ব্যবহার। আমার মতে, দরকার নেই! সেটআপ করো, এই করো, তাই করো। নো নিড!
তবুও যারা নাছোড়বান্দাঃ
https://www.virtualbox.org/
https://www.vmware.com/
বিঃদ্রঃ বিনামূল্যের Sandbox কে অনেক ভাইরাস, Ransomware ই ডিটেক্ট করতে পারে (তাহারা Sandbox এ শান্তি করিয়া ঘুম দিবে অতঃপর মূল পিসিতে খেল দেখাইবেন!!!)। সুতরাং সাবধান!
২। ব্যাকআপ ব্যাকআপ ব্যাকআপ
একগাদা ব্যাকআপ রাখুন। অফলাইনে তো বটেই ক্লাউড স্টোরেজেও। ফিজিক্যাল ব্যাকআপ ডিভাইস সবসময় পিসিতে কানেক্টেড রাখবেন না। নিয়মিত ব্যাকআপ করুন। Ransomware এ্যাটাক শুরু হয়েছে বুঝলেই ব্যাকআপ ডিভাইস সবার আগে খুলে ফেলুন।
কিছু ভালো মানের ব্যাকআপ ডিভাইস ও স্টোরেজঃ
a) https://www.techradar.com/news/best-external-desktop-and-portable-hard-disk-drives
b) ম্যাকওসে ব্যাকআপঃ
https://support.apple.com/en-us/HT201250
c) ক্লাউড স্টোরেজঃ
ক) One drive
খ) Mega
গ) গুগল ড্রাইভ
ঘ) আইক্লাউড
৩। আপডেট আপডেট আপডেট
নিয়মিত আপডেট না দিলে WannaCry এর মতো জিনিসের ভিক্টিম হতে সময় লাগবে না।
৪। টরেন্ট নামানোর আগে কমেন্ট এবং রেটিং (যদি থাকে) দেখে নিন।
৫। ভালো এন্টিভাইরাসঃ
আপনি যদি বেশি বেশি ক্র্যাকড, প্যাচড সফটওয়্যার, গেইমস ব্যবহার করেন তাহলে Windows Defender কাজে নাও আসতে পারে। সেক্ষেত্রে আমি চোখকান বন্ধ করে Kaspersky রেকমেন্ড করবো। (আমি কিন্তু Kaspersky তে চাকরি করি না )
এন্টিভাইরাসকে নিয়মিত আপডেট করতে হবে। ক্র্যাকড এন্টিভাইরাস ভাইরাসের থেকেও কোটি গুণ ক্ষতিকর!!!!
৬। জেনুইন সফটওয়্যার ব্যবহার করুনঃ ক্র্যাক চালায়া ভাইরাস থেকে প্রটেক্টেড থাকাটা অন্নেক টাফ!!!!
যারা Ransom Pay করবেনঃ
হ্যাকারদের অর্থ প্রদান করার অর্থ হলো তাদের উৎসাহ দেওয়া। যেটা কখনোই করা উচিত নয়! তাদের সাথে যোগাযোগ করাটাও নিরাপদ নয়। তবুও যারা ফাইলের জন্য মারা যেতে পারেন তাদের জন্যঃ
শুরুতেই দেখে নিন হ্যাকারের বিটকয়েন এড্রেসে কত টাকা ভিক্ষা পড়েছে
https://www.blockchain.com/explorer
থালা খালি থাকলে চুপচাপ বসে থাকুন। যদি ভিক্ষা দিয়েই দেন তাহলে,
১৷ ভিক্ষা দান সমাপ্ত। হ্যাকারের পাত্তা নেই। এমন হলে মাথা চাপড়ান। এটা বাজার নয় মাংস কিনে টাকা দিতেই হবে!
২। হ্যাকার Decryptor পাঠিয়েছে। ওটা আগে একটা Virtual box এ কিছু Encrypted ফাইলের উপরে প্রয়োগ করুন। কাজ হাসিল হলে, মূল পিসিতে এন্টিভাইরাস অফ করে চালান। নাইলে, আপনার ফাইল চিরতরে উবে যেতে পারে! (এন্টিভাইরাস Decryptor খেয়ে দিতে পারে!!!)
৩। Hacker এর Decryptor ত্রুটিপূর্ণ, কাজ করে না। আবার জিগান থুক্কু যোগাযোগ করুন। ভাগ্য খারাপ হলে টাকা, ফাইল দুই-ই গুম।
বিঃদ্রঃ
১। সব Ransomware এর Decryptor পাওয়া যায় না।
২। আপনার পিসির যাবতীয় কার্যকলাপের জন্য সম্পূর্ণভাবে দায়ী আপনি নিজে।
৩। এই পোস্ট ব্যক্তিগতভাবে Ransomware মোকাবিলায় কাজে আসবে।
৪। কিছু Ransomware Decrypt করা অসম্ভব (এখন পর্যন্ত)
৫। আমার পোস্টে যেসব সাইটের কথা বলা হয়েছে সেগুলো বিনামূল্যে Ransomware Decryptor প্রদান করে।
বিশেষ কৃতজ্ঞতাঃ
১। Marcus Hutchins
২। Neel Mehta
৩। Michael Gillespie
৪। Satoshi Nakamoto
উনার ইমেইলের জন্য
কৃতজ্ঞতাঃ
১। ID Ransomware https://id-ransomware.malwarehunterteam.com/
ডোনেশনঃ
BTC address:
3GqFGkBzgJ74jLLx5xWz2d9fabb9U2P8kL
২। No More Ransom Project
https://www.nomoreransom.org/en/about-the-project.html
৩। Emsisoft
https://www.emsisoft.com/en/company/about/
৪। Kaspersky Lab
https://www.kaspersky.com
৫। CrowdStrike™
https://www.crowdstrike.com/contact-us/
৬। Google LLC
https://www.virustotal.com/
পরবর্তী পোস্টঃ Complete Data Recovery
সর্বশেষ এডিট : ২২ শে জুন, ২০২০ দুপুর ১:৫৭