STOP Ransomware တိုက်ခိုက်ခံရသူ မောင်ရဲလင်းသူနှင့် တွေ့ဆုံမေးမြန်းခြင်း
Ransomware တိုက်ခိုက်ခံရသည့်အကြောင်းရင်းများ၊ Ransomware တိုက်ခိုက်ခံရလျှင် မည်သို့လုပ်ဆောင်ရမည်ကို သိရှိစေရန်အတွက် STOP Ransomware တိုက်ခိုက်ခံရသူ မောင်ရဲလင်းသူနှင့် mmCERT မှ တွေ့ဆုံမေးမြန်းခဲ့ပါသည်။
(မှတ်ချက်။ မောင်ရဲလင်းသူ၏ ဖြေဆိုချက်များသည် ကာယကံရှင်၏ အတွေ့အကြုံများနှင့် အမြင်မျှသာ ဖြစ်ပါသည်။ mmCERT ၏ Ransomware နှင့်ပတ်သက်သော ထုတ်ပြန်ချက်များကို နားလည်ထားခြင်း ရှိ၊ မရှိ ဆန်းစစ် မေးမြန်းထားသော မေးခွန်းများသာဖြစ်ပါသည်။)
mmCERT။ ညီလေးရဲ့ နာမည်နဲ့ ညီလေးရဲ့ အလုပ်အကိုင်လေး ပြောပြလို့ရမလား။
ကျွန်တော့်ရဲ့နာမည်က ရဲလင်းသူပါ။ အလုပ်အကိုင်က Computer and mobile service ပါ။ Technician စက်ပြင်အလုပ်ဗျ။
mmCERT။ ညီလေးရဲ့ အသက် ဘယ်လောက်ရှိပါပြီလဲ။ IT လောကထဲကို ဝင်ရောက်လာတာ ဘယ်နှစ်နှစ်လောက် ရှိပါပြီလဲ။
အခုလက်ရှိ ကျွန်တော့်အသက်က ၂၁ ပြည့်ပြီးပါပြီ။ IT ကိုစလေ့လာဖြစ်ပြီး ခြေချမိတာ ၄ တန်းထဲကဗျ။ ကွန်ပျူတာတွေစပြင်တာက ၁၀ တန်းပြီးမှပါ။ ကျွန်တော့်ဆရာဆိုင်မှာ ပညာသင်အနေနဲ့ ၅ နှစ်လောက် လုပ်ခဲ့ပါတယ်။
mmCERT။ mmCERT ကို ဘယ်တုန်းက စသိတာပါလဲ။ mmCERT က ဘယ်လိုအဖွဲ့အစည်းလို့ နားလည်ထားပါသလဲ။
ဒီ mmCERT အဖွဲ့ကို ကျွန်တော့်စက် Ramsomware တိုက်ခံရတဲ့အချိန် Facebook search မှာရှာရင်းနဲ့ သိရတာပါ။ All in one hacking training ဆိုတဲ့ page ကနေ ညွန်းပေးလိုက်တာပါ။ mmCERT page က မြန်မာနိုင်ငံရဲ့ Cyber လုံခြုံရေးကို တာဝန်ယူဖြေရှင်းပေးနေတဲ့ Team လို့မြင်မိပါတယ်။ mmcert.org.mm မှာလဲ information တွေကိုသိရပါတယ်ဗျ။
mmCERT။ ကွန်ပျူတာနဲ့ မိုဘိုင်း service ပိုင်းကို ညီလေးက ပြင်ပေးရတယ်ဆိုတော့ လာရောက် အလုပ်အပ်နှံသူတွေထဲမှာ Malware တိုက်ခိုက်ခံရလို့ လာရောက် ပြင်ဆင်အပ်နှံကြတာမျိုးတွေ ရှိပါသလား။
ဟုတ်၊ ရှိပါတယ်။ အများစုက Virus နဲပတ်သက်တာတွေချည်းပါပဲ ခင်ဗျ။ ဖုန်းမှာဆိုရင်တော့ monkey virus ပေါ့။ Software error မျိုးကတော့ရှိပေမယ့် Virus နဲ့ Side effect တွေကြောင့် လာပြင်ကြတာများတယ်ဗျ။
mmCERT။ ညီလေးအသုံးပြုတဲ့ OS Version နဲ့ Antivirus အမျိုးအစား သိပါရစေ။
ကျွန်တော်သုံးတဲ့ OS က Windows 10 version 1809 ဗျ။ Windows 10 ရဲ့ Update တွေကတစ်နှစ်မှာ major အနေနဲ့ နှစ်ခါထွက်ပါတယ်။ အခု 1903 19H1 Windows 10 update ထွက်လာတော့မှာပါ။ Antivirus က Windows Defender Security Center ပါပဲ။ တော်တော်မိုက်တယ်။ အတွင်းကျကျစစ်တယ်။ တခြား Antivirus တွေနဲ့မတူတော့ Microsoft က Windows ကိုဘယ်လိုကာကွယ်ရမလဲ ဆိုတာသိတော့ ပိုစိတ်ချယုံကြည်စွာနဲ့ပဲ သုံးဖြစ်တယ်။
mmCERT။ ညီလေးရဲ့ ကွန်ပျူတာမှာ Ransomware ဘယ်ချိန်တုန်းက တိုက်ခိုက်ခံရတာပါလဲ။ ဘယ်လိုကြောင့် တိုက်ခိုက်ခံခဲ့ရတာပါလဲ။
ဒီလ ထဲမှာပဲ တိုက်ခံလိုက်တာပါ။ ဖြစ်တဲ့နေ့က 10 ရက်နေ့ကပါ။ ဘယ်လိုတိုက်ခိုက်ခံရလဲဆိုတော့ အဓိကက ကျွန်တော်က လျှာရှည်ပြီးတော့ Trusted မဟုတ်တဲ့ link တစ်ခုကနေ Software တစ်ခုကိုဒေါင်းလုဒ်ဆွဲရင်းနဲ့ ဖြစ်သွားတာပါ။ STOP Ransomware ကလည်း Trusted မဟုတ်တဲ့ Download link ကနေတိုက်ခိုက်တဲ့ Ransomware ဖြစ်တယ်လို့ Bleeping computer website ကနေလေ့လာလိုက်ရပါတယ်ခင်ဗျ။ အခုလိုဖြစ်တဲ့အချိန်မှာလည်း ကျွန်တော့်ရဲ့ စက်မှာsecurity ပိတ်ထားမိလို့ဖြစ်သွားတယ်။ နောက်ထပ် Computer သုံးတဲ့ user တွေကို Security ကို up to date ထားကြဖို့ အကြံပေးပါတယ်ခင်ဗျ။
mmCERT။ တိုက်ခိုက်ခံရပြီးနောက် အတွေ့အကြုံလေး ပြောပြပေးပါဦး။ ကိုယ့်ရဲ့ကွန်ပျူတာမှာ ဘာတွေဖြစ်သွားလဲ။ ဒီအချိန် ညီလေး ဘာဆက်လုပ်သလဲ စသဖြင့်ပေါ့။
ကျွန်တော် အကိုတို့ mmCERT Page မှာ အကူညီတောင်းခဲ့ပါတယ်။ “ကျွန်တော့်ရဲ့ Unique ID အတွက် Decryptor ကအလုပ်မလုပ်နိုင်သေးပါ။” ဆိုတဲ့ mail လက်ခံရရှိတဲ့အချိန်မှာ အကိုတို့ group ကနေ ပေးတဲ့ Link ကိုဝင်ပြီး Bleeping computer ထဲက STOP Decryptor ကိုရေးထားတဲ့ Developer ကို ID နဲ့ MAC address ပို့ပေးပြီး အကူညီတောင်းခဲ့တာပါ။ အဲ့ကနေတစ်ဆင့် ကျွန်တော့်ရဲ့ File တွေအကုန် ပြန်ရခဲ့ပါတယ်။
mmCERT။ ညီလေးက မယုံကြည်ရတဲ့ Website တစ်ခုကနေ ဖိုင်ကို Download ဆွဲရင်းနဲ့ ဖြစ်ခဲ့တယ်လို့ ဖြေခဲ့တယ်နော်။ အဲဒီအချိန်မှာ ညီလေးက Anti-virus ကို ပိတ်ထားခဲ့တာလား၊ ဒါမှမဟုတ် Website က Anti-virus ကို ပိတ်ပေးပါလို့ ခိုင်းဆိုခဲ့လို့ ပိတ်လိုက်တာလား။ ကိုယ့်သဘောနဲ့ ကိုယ်ပိတ်ထားတယ်ဆိုရင် ဘာအကြောင်းကြောင့် ပိတ်ထားခဲ့တာလဲဆိုတာကို ဖြေပေးပါဦး။
Antivirus ကိုကျွန်တော်က ပိတ်ထားမိတာကို သတိမထားမိတဲ့ အချိန်လေးအတွင်းမှာပဲ ဖြစ်သွားတာပါ။ Antivirus ကိုပိတ်ထားမိတယ်ဆိုတာကလည်း ကျွန်တော်က Software တွေစမ်းတဲ့အချိန်ဆို ပိတ်ပိတ်ထားတက်ပါတယ်။ အဲ့တာကြောင့်ပါ။
mmCERT။ အရင်ကကော customer တွေက Ransomware တိုက်ခိုက်ခံရလို့ လာပြကြတာ ကြုံဖူးပါသလား။ ကိုယ်တိုင်တိုက်ခိုက်မခံရခင်မှာ ကိုယ့်ပတ်ဝန်းကျင်မှာ တိုက်ခိုက်ခံရတာတွေကို မြင်ဖူးပါသလား။
WannCry ransomware အကြောင်းတော့ ကြားဖူးပါတယ်။ ကျွန်တော့်ကို Ransomware တိုက်ခိုက်တာနဲ့ပတ်သက်တာမျိုး လာပြတာ မကြုံဖူးပါဘူး။ အခုမှ ဒါကျွန်တော့်စက် ပထမဆုံး ကြုံဖူးခဲ့တာပါ။ Online မှာတော့ တိုက်ခိုက်တဲ့ပုံစံတွေမြင်ဖူးလေ့လာဖူးပါတယ်။
mmCERT။ Ransomware တိုက်ခိုက်မခံရအောင် ဘယ်လိုကာကွယ်ရမလဲဆိုတာကို ညီလေးသိသလောက် ဖောက်သည်ပြန်ချပေးပါလား။
Ransomeware တိုက်ခိုက်မခံရအောင်ဆိုရင်တော့ ကျွန်တော်သင်ခန်းစာရခဲ့သလောက် မျှဝေရရင် အဓိကလုပ်ရမယ့်အချက်တွေက Software တွေ၊ file တွေကို Online က Download ရယူတဲ့အချိန်မှာ သေချာစစ်ဆေးပါ။ Pirated software တွေရဲ့ keygen တွေ၊ crack တွေ အယောင်ဆောင်ဝင်လာတဲ့နေရာတွေကို စစ်ဆေးပါ။ Antivirus ကို စိတ်ချယုံကြည်ရအောင် Security update ကို up to date ထားဖို့ပါပဲ။
mmCERT။ တကယ်လို့ပေါ့။ အကြောင်းတစ်ခုခုကြောင့် Ransomware တိုက်ခိုက်ခံလိုက်ရပြီဆိုရင် ဘယ်လိုဆက်လုပ်သင့်တာလေး နားလည်သလောက် အကြံပြုပေးပါဦး။
Ransomware တိုက်ခံလိုက်ရပြီဆိုတာသိတာနဲ့ ကွန်ပျူတာကို Safe mode နဲ့တက်လိုက်ပါ။ Windows ကို ပြန်မတင်ဖို့က အရေးကြီးပါတယ်။ Startup program တွေဝင်ပိတ်ပါ။ Third party software တွေ၊ မမြင်ဖူးတဲ့ tool တွေ၊ file တွေကို uninstall လုပ်ပစ်ပါ။ Antivirus Software နဲ့စက်တစ်ခုလုံး စစ်ချပြီး အရင် Ransomware ကို ရှင်းပြစ်သင့်ပါတယ်ဗျ။ တချို့ Ransomware တွေကတော့ Windows ကို ပြန်တင်မှရပါတယ်ဗျ။ ကိုယ့်ရဲ့ login credential တွေပါမသွားအောင် တိုက်ခံနေရတဲ့အချိန်မှာ လုံး၀ browser မသုံးဖို့ပါပဲ။
mmCERT။ User တစ်ယောက်ဟာ သူ့ကွန်ပျူတာကို Ransomware တိုက်ခိုက်ခံရပြီဆိုတာ သိတာနဲ့ သူ့အနေနဲ့ ချက်ချင်း ဘာလုပ်သင့်သလဲ။ (က) ကွန်ပျူတာကို Shutdown လုပ်ရမလား။ (ခ) ကွန်ပျူတာကို Sleep လုပ်ရမလား။ (ဂ) ကွန်ပျူတာကို Restart လုပ်ရမလား။ (ဃ) ကွန်ပျူတာကို Hibernate လုပ်ရမလား။ ဒီ(၄)ခုထဲက ဘယ်ဟာကို လုပ်ဆောင်သင့်တယ်လို့ မြင်သလဲ။ ဘာကြောင့်လည်းဆိုတာလေး ဖြေပေးပါဦး။
(ဂ) ကွန်ပျူတာ ကို Restart ပြုလုပ်လိုက်ပြီး Safe mode ထဲတန်းဝင်တာ အကောင်းဆုံးပါ။ Ransomware ဝင်လာပြီဆိုတာ သိလိုက်တာနဲ့ File တွေ encrypt လုပ်ခံရတဲ့ အခြေအနေကနေ ကင်းဝေးအောင် အရင်လုပ်ရမယ့် အဆင့်ဖြစ်ပါတယ်ခင်ဗျ။
mmCERT။ ၂၀၁၈ ခုနှစ် မတိုင်ခင်က mmCERT ကို Ransomware နဲ့ ပတ်သက်ပြီး တိုင်ကြားခဲ့ဖူးခြင်း မရှိပါဘူး။ ဒီနောက်ပိုင်း တိုင်ကြားမှုတွေ အတော်စိတ်လာတယ်။ တိုင်ကြားမှုတွေကို စိစစ်လိုက်တဲ့အခါမှာ တိုက်ခိုက်ခံရမှုတွေက STOP Ransomware၊ GandCrab Ransomware၊ Rapid Ransomware၊ Scarab Ransomware တို့တိုက်ခိုက်ထားတာ တွေ့ရပါတယ်။ တိုက်ခိုက်ခံရမှုအများဆုံးကတော့ STOP နဲ့ GandCrab ပေါ့။ STOP နဲ့ GandCrab ကတော့ Decryptor တွေထွက်တော့ ဝှက်ခံလိုက်ရတဲ့ဖိုင်တွေကို ပြန်လည်ရရှိကြတာ များပါတယ်။ တကယ်လို့ Decryptor Tool မထွက်ခဲ့ရင် မိမိတို့ဖိုင်တွေ ပြန်လည်ရရှိအောင် ဘယ်လိုလုပ်ဆောင်သင့်သလဲဆိုတာကို Service သမားတစ်ယောက်အနေနဲ့ ဘယ်လိုများ အကြံပြုချင်ပါသလဲ။
ကျွန်တော့်အနေနဲ့ တကယ်လို့ Decryptor tool မထွက်လာခဲ့ဘူးဆိုရင် Ransomware က encrypt လုပ်သွားတဲ့ file တွေကို extension ဖျက်ပြီး Repair tool တွေနဲ့ ဖြေရှင်းလို့လဲရသလို File recovery software တွေလဲသုံးပြီး Data တွေကို အနည်းနဲ့အများတော့ ပြန်ယူလို့ရပါတယ်ခင်ဗျ။ ဟုတ်၊ အခုလိုအကြုံပြုချင်ပါတယ်။
mmCERT။ အခြားဖြည့်စွက်ပြောကြားလိုတာလေးများရှိရင်လည်း ဖြေကြားပေးပါဦး။
နောက်ထပ်ဖြည့်စွက်ပြောချင်တာရှိပါတယ်ခင်ဗျ။ တခြားကျွန်တော်ပြောချင်တာက ဖြစ်နိုင်ရင် ကိုယ်သုံးနေတဲ့ OS ကို crack version ထက် လိုင်စင် Version ကိုဝယ်သုံးစေချင်ပါတယ်။ ပြီးတော့ စိတ်ချယုံကြည့်ရတဲ့ Antivirus နဲ့ Internet security တွေ Malware remover တွေကိုသုံးပါ။ Security database တွေကို up to date ထားပါ။ ကိုယ်သုံးနေတဲ့စက်ကို စိတ်ချယုံကြည်ရတဲ့ Junk file တွေ၊ တခြားမလိုအပ် မယုံကြည်ရတဲ့ file တွေကို ရှင်းပေးတဲ့ Software တစ်ခုခုသွင်းထားပါလို့ ဖြည့်စွက်ပြောကြားလိုပါတယ်ခင်ဗျ။