“Bad rabbit” гэх рансомвэйр төрлийн хортой код нь 10 дугаар сарын 26-ны өдрөөс эхлэн олон улсад тархсан байна. Уг хортой код нь байгууллага, хувь хүний компьютерт сууснаар мэдээллийг түгжиж, эзнээс нь төлбөр нэхэх хэлбэрээр ажилладаг.
“Bad rabbit” хортой код нь байгууллагуудын сүлжээг онилж байгаа бөгөөд өнгөрсөн 6 дугаар сард дэлхий даяар танигдсан “NotPetya” гэх хортой кодын тархсан хэлбэртэй төстэй байна.
“Bad rabbit” хортой кодын бүрэн нөлөөлөл нь одоогоор мэдэгдэхгүй байгаа ч Украйн улсын Киев хотын метроны систем, Одесса нисэх буудал, Дэд бүтцийн яам, ОХУ-ын мэдээллийн агентлагууд болох Интерфакс, Фонтанка зэрэг байгууллагууд цахим халдалгад өртөөд байна. Мөн Герман, Турк, БНСУ, Япон зэрэг улсуудад уг хортой код илэрчээ.
Энэхүү хортой кодын дайралт нь “Adobe Flash” програмын хуурамч апдэйт(update)-ыг ашиглаж байна. Хэрэглэгчид хуурамч апдэйт файлыг татаж аван өөрийн компьютер дээр ‘.exe’ өргөтгөлтэй файлыг ажиллуулснаар хортой кодын нөлөөнд өртөж байна. Нэг хэрэглэгчийн компьютер халдвар авснаар хортой код бүхий л сүлжээнд тархах аюултай.
Дээрх хортой кодын халдлага үйлдэгчиднь түгжигдсэн компьютерийг нээхийн тулд хохирогчоос 0.05 биткойны төлөөсийг 40 цагийн дотор шаардаж байна. Энэ нь өнөөдрийн ханшаар 285 ам.доллар бөгөөд олон зуун компьютертэй байгууллагуудад хүндээр тусах магадлалтай. Хэрэв 40 цаг нь хэтэрвэл төлөөсийн үнийг улам өсгөх стратегитэй байна.
Хортой код компьютерт сууснаар “Цаашид ашиглах боломжгүй(No longer accessible)” хэмээх мессеж гарч ирэх ба “Бидний технологийг ашиглахгүйгээр файлыг дахин сэргээх боломжгүй(no one will be able to recover them without our decryption service)” гэсэн утгатай мессеж гарч, хэрэглэгчийн компьютерийнхээ системд нэвтрэх эрхийг хаадаг байна.
“Bad Rabbit” хортой код суусан компьютерийн дэлгэц
“Bad Rabbit” хортой кодны дайралтаас урьдчилан сэргийлэх зөвлөмж:
- Антивирус буюу хортой кодын эсрэг програмын эмчлэх баазыг байнга шинэчлэх;
- Антивирус буюу хортой кодын эсрэг програм байхгүй бол суулгах;
- “Adobe Flash” апдэйтийг татаж авахгүй байх, суулгахгүй байх;
- c:windowsinfpub.dat болон c:Windowscscc.dat.чиглэлийн фолдерын замаас ямар нэгэн файл нээхгүй байх;
- Урьдчилах сэргийлэх үүднээс бүхий л мэдээллээ нөөцлөх;
- Хэрэв боломжтой бол “WMI service” буюу виндовсын удирдлагын багаж үйлчилгээг унтраах.
Түүнчлэн, мэргэжилтнүүдийн өгсөн дараах зөвлөмжөөр “Bad Rabbit”-ын дайралтаас хамгаалах боломжтой.
- c:windows фолдерт дараах хоёр файлыг үүсгэнэ.
infpub.dat
cscc.dat
- cmd.exe програмыг admin-ны эрхтэйгээр файл үүсгэхэд илүү хялбар байх болно
-
- cmd.exe програмд дараах коммандыг оруулж өгнө
echo “” > c:windowscscc.dat&&echo “” > c:windowsinfpub.dat
2. Үүний дараа, үүсгэсэн 2 файлын бүх эрхийг хасна. Файлыг сонгож “properties” цэс рүү орно.
Дараа нь “security tab” руу орно
“advanced” товчийг дарснаар дараах цонх нээгдэнэ
“change permissions” товчийг дарснаар доорх цонх нээгдэнэ.
Ингээд, “Include inheritable permissions from this object’s parents” чекбокс (checkbox)-ны өмнөх чагтыг авна.
Ингэсний дараа, доорх цонх гарч ирэх бөгөөд “remove” товчийг дарна.
Дээрх үйлдлийг хийснээр гүйцэтгэл дуусна. Өөрийн үүсгэсэн 2 файл тус бүртээ энэхүү үйлдлийг хийхээ мартуузай.
Хэрвээ та Windows 10 үйлдлийн системтэй бол дээрх үйлдлүүдтэй ижилхэн алхмыг хийх бөгөөд доорх зураг дээрх “disable inheritance button” товчийг дарахад болно.
Дараа нь “Remove all inherited permissions from this object" сонголтыг дарна.
Кибер аюулгүй байдлын мэргэжилтнүүд энэхүү дайралтын байдалд анализ хийхийн зэрэгцээ бүхий л байгууллага, хувь хүмүүст урьдчилан сэргийлэх арга хэмжээ авахыг анхааруулсаар байна.
Иргэд, байгууллагуудын хувьд“Bad Rabbit”гэх рансомвэйр төрлийн хортой кодоорхалдварлагдвал барьцааны мөнгө төлөлгүй, Төрийн мэдээлэл, холбооны газарт хандахыг зөвлөж байна.