Mac OS အတြက္ ပထမဆုံးေသာ Ransomeware ကို မိတ္ဆက္ေပးလိုက္သည့္ Bit Torrent Transmission

Bit Torrent သည္ လူႀကိဳက္မ်ားၿပီး အလြန္ပင္ အသုံးဝင္သည့္ Software တစ္ခုျဖစ္ပါတယ္။ ယခုလက္ရွိအေနအထားအရမွာေတာ့ Bit Torrent သည္ KeyRanger လို႔အမည္ရတဲ့ Ransomeware အႏြယ္ Maleware ကို Mac OS ဆီသို႔ ကူးစက္ခြင့္ျပဳခဲ့သလို ျဖစ္သြားခဲ့ပါတယ္။ Security ပိုင္းမွာ ေကာင္းမြန္လွတဲ့ Mac အတြက္  Ransomeware  ကို ပထမဆုံး သယ္ေဆာင္ကူးစက္​ေပးတဲ့ OS X Program တစ္ခုအျဖစ္ နာမည္ရသြားခဲ့ပါတယ္။

Transmissionbt.com Website တြင္ ေဖာ္ျပထားခ်က္အရ အသုံးျပဳသူမ်ားသည္ Version 2.90 ကေန 2.92 ကို Upgrade လုပ္ေနေသာအခ်ိန္တြင္ Malware ရွိတဲ့ ဖိုင္ကိုပါ Download ခ်မိၿပီး ကူးစက္ခံရျခင္း ျဖစ္ပါတယ္။ လြန္ခဲ့တဲ့ ႏွစ္အနည္းငယ္ကတည္းကပင္  Window OS ေတြမွာ Ransomeware အမည္ရွိတဲ့ Maleware ဟာ ကူးစက္ပ်ံ႕ႏွံ့ခဲ့ပါတယ္။ 

Rasomeware သည္ အသုံးျပဳသူမ်ား၏ အခ်က္အလက္ေတြကို Encrypt လုပ္ၿပီးေတာ့ Decrypt ျပန္လုပ္ေပးရန္အတြက္ ၿခိမ္းေျခာက္​ကာ ​ေငြညွစ္ပါတယ္။ အခ်ိန္အားျဖင့္ Restore ေခၚယူအသုံးျပဳလို႔ရတဲ့ Backup ဖိုင္ေတြကိုပါ Encrypt လုပ္ပစ္နိုင္ပါတယ္။ ဒါေၾကာင့္ အခ်ိန္ေနာက္ျပန္ Restore ျပဳလုပ္ျခင္းျဖင့္ အခ်က္အလက္ေတြကို ျပန္လည္ မရယူနိုင္ေအာင္လည္း သူ႔ကိုယ္သူ ကာကြယ္ေပးထားနိုင္စြမ္း ရွိပါတယ္။

အမည္မေဖာ္လိုသူ Security သုေတသနပညာရွင္တစ္ေယာက္၏ ေရးသားေဖာ္ျပခ်က္အရ KeyRanger ၏ အလုပ္လုပ္ေဆာင္ပုံကို သိရွိခဲ့ရပါတယ္။  ကူးစက္ခံရတဲ့ ဖိုင္၂ခုရွိပါတယ္။ Installer ဖိုင္၏ Certificate လက္မွတ္သည္ Apple ၏ တရားဝင္ထုတ္ေပးထားေသာ  လက္မွတ္တစ္ခုျဖစ္ေနၿပီး သူ႔ရဲ့  Developer ID နံပါတ္မွာေတာ့ အရင္ Version အေဟာင္ႏွင့္ ကိုက္ညီမွုမရွိေတာ့ေၾကာင္း ေတြ႕ရွိရပါ့တယ္။  တြဲလ်က္ပါလာတဲ့ ဒုတိယ ဖိုင္တစ္ခုက  General.rtf အျဖစ္ အမည္ေပးထားၿပီး rtf စာဖိုင္အစစ္မဟုတ္ဘဲ OS X အေပၚမွာ အလုပ္လုပ္ေဆာင္နိုင္ေသာ အေယာင္ေဆာင္ Executable ဖိုင္ တစ္ခုျဖစ္ေၾကာင္း ေတြ႕ရွိခဲ့ရပါတယ္။  Installer ဖိုင္ကို Run မိလိုက္တာႏွင့္ rtf Executable File ကို   ~/library/kernel_service ဆီသို႔ သြားေရာက္ထပ္ေပါင္းလုပ္ေဆာင္ေစပါတယ္။  Computer စဖြင့္ျခင္း User Login မဝင္ရေသးခင္ေတာင္မွ အဆိုပါ Malware သည္ Kernel Service အေနျဖင့္ စတင္လုပ္ေဆာင္ေနေၾကာင္း သိရွိခဲ့ရပါတယ္။

General.rtf ဖိုင္၏ အလုပ္လုပ္ေဆာင္ခ်က္ကေတာ့  စက္၏ Device Information အခ်က္အလက္ေတြကို ရယူၿပီးေတာ့ Command & Control Server ဆီသုိ႕ လွမ္းပို႔ေပးပါတယ္။ အဆိုပါ C2  Server ကိုေတာ့ Tor  အေနျဖင့္သာ ဝင္ေရာက္နိုင္ပါ့မယ္။ Malware Service သည္ C2 Server ႏွင့္ ခ်ိတ္ဆက္နိုင္ၿပီဆိုရင္ေတာ့  Text ဖိုင္တစ္ခုကို Download  ဆြဲေပးၿပီးေတာ့ Bitcoin ျဖင့္ ​ေငြေပးေခ်မွု ျပဳလုပ္ရန္ အသိေပးပါတယ္။ ပို႔ေပးရမယ့္ လိပ္စာကိုေတာ့ 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof ျဖင့္သတ္မွတ္ေပးထားပါတယ္။ ေပးေခ်ရမည့္ တန္ဖိုးေစ်းႏွုန္းကိုေတာ့ Bitcoin ျဖင့္ သတ္မွတ္ေပးထားၿပီး 1 Bitcoil=400$ ခန႔္ရွိေၾကာင္းသိရပါတယ္။

ကာကြယ္နည္း

***********

ေအာက္ပါအတိုင္း အဆင့္ဆင့္လုပ္ေဆာင္ေပးရပါ့မယ္ …

၁။ /Applications/Transmission.app/Contents/Resources/General.rt သို႔မဟုတ္  /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf ဖိုင္မ်ားကို ဖ်က္ပစ္ပါ။

၂။  OS X ၏ Activity Monitor ကိုဖြင့္ၿပီး Kernel Service အမည္ရွိ Process တစ္ခု Run ျခင္း ရွိ မရွိ စစ္ေဆးပါ။ ေတြ႕ရွိပါက "Open File                   and port” option ကိုေရြးခ်ယ္ေပးၿပီး အဆိုပါ Location သို႔သြားေရာက္ပါ။ မ်ားေသာအားျဖင့္ /Users/<username>/Library/ker nel_service ေနရာတြင္ ရွိသည္။ အဆိုပါ Process အား Kill ပါ။ သာမန္ Kill ျဖင့္ မရပါက Force Quit ျဖင့္ Kill ရမည္။ အဆိုပါဖိုင္သည္        KeyRanger ၏ အဓိကလုပ္ေဆာင္သည့္ ဖိုင္တစ္ခုျဖစ္သည္။ General.rtf ဖိုင္ကိုလည္း ဖ်က္ပစ္ပါ။

၃။ အထက္ပါ ႏွစ္ဆင့္စလုံးကိုလုပ္ေဆာင္ၿပီးပါက Library Folder ထဲတြင္  .kernel_pid, .kernel_time, .kernel_complete or kernel_service အစရွိေသာ ဖိုင္မ်ားရွိမရွိ ထပ္မံစစ္ေဆးပါ။ ရွိသည္ကိုေတြ႕ရွိပါက ဖ်က္ပစ္ရမည္ျဖစ္သည္။

Apple သည္အဆိုပါ Ransomeware အတြက္ ကာကြယ္မွု X Protect Update ကိုထုတ္ေပးထားၿပီျဖစ္ေသာေၾကာင့္ Update တင္ထားေသာ OS X မ်ားအတြက္ Transmission Warning Sign တက္လာသည္ကိုေတြ႕ရွိပါက Apple ၏ ညြန္ၾကားခ်က္အတိုင္း လိုက္ပါလုပ္ေဆာင္ေပးရန္ အထူးအေရးႀကီးလွပါတယ္။

18-3-2016

သတင္းစီစဥ္ တင္ဆက္သူ - Friday (MEHN Team)