කප්පම්  වෛරසය ( Extoration Virus or Ransomware) ‍

මේ සම්බන්ධව මා සොයාගත් කරුණු පහතින් දක්වන්නම් 

යම් ෆයිල් එකක් වෛරසය මගින් encrypt කිරීමට ප්‍රතම පහත රූප සටහන -1 බලන්න

රූප සටහන -1

මෙහිදී අදාල jpg ෆයිල් එක ඉදිරියේ ඇති නමින් වෙනස් කර tmp ‍ ෆයිල් එකක් කර ඇත. එවැනි ෆයිල් එකක ප්‍රමාණය සහ වෙනස් කරමින් පවතින බොරු ලින්ක් ෆයිල් එකේ ප්‍රමාණය පොඩි kb ප්‍රමාණයකින් වැඩි බව ඔබට නිරීක්ෂණය කළ හැකිවේ. පහත රූප සටහන -2 න් ඔබට ෆයිල් එකේ ප්‍රම‍ාණය සහ එහි ලින්ක් එක open කළ පසු පෙනෙන අයුරු සහ වෙනස් කර එහෙත් අනුමාන ‍ කෙරෙන encrypt වෙමින් පවතින ෆයිල් එක බලාගත හැකිවේ.

රූප සටහන -2

රූප සටහන -3 හි දක්වන්නේ folder ‍ පෙන්වන ආකාරයයි (&Enquequ in KMP ලෙස) 

රූප සටහන -3

 Encrypted files පහත රූප සටහන -4 අනුව වෙනත් තැනෙක වෙනත් ආකාරයකට 

රූප සටහන -4

මා  ‍වෛරසය යයි අනුමාන කළ විෂ්ලේෂණය කරන ලද දත්ත රූ සටහන් මගින් පහතින් දක්වන්නම්

රූප සටහන -5

නිල් පැහැයෙන් දක්වා ඇත්තේ මා අනුමාන කරන ලද key එක විය හැකියි මෙය තව දුරටත් අධ්‍යයන මට්ටමේ පවතී

රූප සටහන -5 

රූප සටහන -4 හි දක්වා ඇති ෆයිල් එකේ ඊතල මගින් දක්වා ඇත්තේ මෙම dll ෆයිල් එක ඉහත ෆයිල් encrypt   

කිරීමට භාවිතා කරන බව මාගේ අනුමානයයි. බලන්න Key ෆයිල් එකක් තිබෙනවා Tik count (‍විරාම ඝටිකාවක් ) එකක් තිබෙනවා 

රූප සටහන -6 

බලන්න ඉහත ෆයිල් එක පෙනෙන විදිහ සහ රූප සටහන -7 මගින් encrypted key එක බලාගත හැකියි නේද

රූප සටහන -7

හොදද මගේ අනුමාන මම වෛරසයක් විෂලේෂනය කරන්නේ මෙහෙමයි මෙම පරිගණක වෛරස පිළිබද ඔබ උනන්දුවක් දක්වන්නේ නම් මා දිරිමත් කිරීමට ඔබත් comment එකක් දාන්න මෙම වෛරසය අධ්‍යයනය තවදුරටත් පසුවට......

Ransomeware Virus - කප්පම් වෛරසය

මේ දවස්වල තියෙන්නේ මහ පුදුම වෛරස වර්ග කවුරු හරි හිතනවද ඔබේ පරිගණකයේ ඇති ෆයිල් ටික ඇපේට තියාගෙන කප්පම් ඉල්ලයි කියල

මේ ඒ වගේ වෛරසයක් ගැන තමයි මම කතා කරන්න යන්නෙ Cryptowall 3.0, 2.0 මෙහි 2.0 කියන එක  attack කරල තියෙන්නේ 2015 ජනවාරි මාසයේ මැද හරියේ දි ඒත් ඒකේ දෙවනි නිකුතුව 3.0 තමයි මම දැක්කේ

පරිගණකයේ තියෙන සියළුම ෆයිල් වල extension වලට එහායින් ccc කියල(Ex:-kapila cv.docx.ccc) ති‍බෙනව එය open කරන්න ගියහම පහත විදිහට message එකක්

            word file එක corrupt විදිහට බ්‍රන්ත පෙන්වනව open වෙන්නේ නැති නිසා තව ටිකක් හොදට බලන කොට පහත විදිහේ html ‍ෆයිල් දකින්න ලැබෙනව (මේවන විට ක්‍රියාවලිය සිදුවී දින 03 ක් පමන ගතවි ඇත) 

how to recover html file එක open කළහම පහත warnning එක ලැබෙනව

අපි හැ‍මෝම proxy block කරල තියනවනම් හුගදෙනෙක් කරන්නේ tor පාවිච්චි කරන එකනේ එහෙම නේද බලන්න එහෙම කළහම වෙන දේ
සියළුම ෆයිල් encrypt වෙල‍ා සියළු දත්ත ඕනෑ නම් කපපම විදිහට පහත මුදල පහත පරිදි ගෙවන්න ඕන කියල පෙන්වනවා ‍ලිපි‍ කිසිවක් ගන්න බැහැ ගෙවන්නත් එපා
 

ලින්ක් එකේ තියන tor system එක on කර ගත්තොත් එහිදී පහත දැක්වෙන රූපසටහනේ පරිදි පැය 96 කදී ඔබේ සියළු දත්ත විනාශ වෙනවා  windows සමගම මකා දමනු ලැබේ.

මෙහිදී පහත කරුණු මෙම attack එක මගින් සිදු කරනු ලැබේ

          1. ෆයිල් encrypt කිරීම
          2. එම encrypt කරන ෆයිල් වෙනත් තැනෙක ලියා shortcut නමුත් නිසි ෆයිල් එකේ කරුණු දින තුනක් යන තෙක් පෙන්වන අතර දින තුනක් ඇවෑමෙන් එම ලින්ක් එකද නැතිකර ඉහත දක්වන මුදල් ඉල්ලයි.
         


මෙය පිළිබද කරුණු දැනට සොයමින් පවතින නිසා වැඩිදුර විස්තර පසුවට දන්වන්නම්
මෙවැනි encryption files පිළිබද Kaspersky ආයතනයේ වෙබ් පිටුව මගින් Tools කිහිපයක් දක්වා ඇත කෙසේ වෙතත් ඔවුන්ගේ ආයතනයේ Tools වලින්ද මෙම ෆයිල් Recover කරගත නොහැකියි.

LED Blinking Virus

මෙන්න නවතම වෛරස් එකක් මේක ලියල තියෙන්නේ Sujith maduranga කියල සිංහල කෙනෙක්............. ආඩම්බරද වෛරසයක් සිංහල කෙනෙක් ලියල කියල ........

දුක්වෙන්න Sri Lanka අනන්‍යතාවය කොහොමද වෙනස් උනොත් ‍හොරු සහ පරිගණක වැඩසටහන් විනාසකරන්නො කියල හොදයිද?................

අපි වෛරසය ගැන කතා කරමු. .....මේක එයා ලැබ් ටෙස්ට් කරන මුවාවෙන් තමයි ලියල තියෙන්නේ මේකෙන් වෙන්නෙ එයා හදල තියන ictpanthiya.wordpass.com කියල site එකක් ප්‍රචාර කරගැනීම තමයි මේක මුවාවෙන් කරන්නෙ මූලිකව මේ project1 විදිහට ලියල තියෙන්නේ VBS විදිහට

මේ විදිහට ලිව්වහම software එකට O/S එකක common software මගින් ඕන දෙයක් run කරගත හැකියි මේකෙන් keyboard එකේ තියන LED ඒ කියන්නේ Numlock, scroll lock, caps lock, LED එක දිගට blink වෙන එක

සහ 192.168.1.1 සිට 192.168.1.20 දක්වා පරිගණක කිහිපයක් සම්බන්ධ කර ති‍බෙන කුඩා කාර්යාලයකට හෝ ගෙදරකට එකදිගට ටික වේලාවක් යනතුරු මේ සුජිත් යන කෙනාගේ https://ictpanthiya.wordpress.com කියල site එක පෙන්වන එක තමයි මේකෙන් කරන කරදරය වෛරසයක් කියන්නේ ඉතින් කරදර කරන එකනේ කරන්නේ නේද

බලන්න මම මෙහි ඇතිකරන කරදරය සොය‍ාගත් ආකාරය මේක run වෙන්නේ task manager වල පෙන්වන්නේ dllhost.exe

දැන් ඔබට මා පෙන්වන්නේ වෛරසය නිර්මාණකරුගේ සැබෑ අරමුණ

මූලිකම අදහස AD මගින් අදහස් කරන්නේ ඇඩ්වරටීස්මන්ට් එකක් දමාගැනීම Virusprojects යනුවෙන් දක්වා ඇත්තේ නීතියෙන් බේරීම‍ට මොකක්ද මේ advertisement එක http://ictpanthiya.wordpress.com

මේකෙන් ඔහු සිතා සිටින්නේ ජනප්‍රිය site එකක හිමිකරුවෙක් වීමට නම් එය ගැන ඔහු දැනසිටිය යුතු කරුණ නම්

මේවන විට නීතිය ඔහු සදහා ක්‍රියාත්මක වෙමින් පවතින බවට කළයුතු අණතුරු ඇගවීමකනි. solution link

https://www.dropbox.com/s/bzuzahbfutbqjxf/NIGHTRIDER.BAT?dl=0

Extruster.exe Virus Behavior (Yesterday posted) කරුණාකර ඊයේ මා post කරන ලද වෛරස විස්ථරය බලන්න

මෙහිදි files ටික ගන්න Attrib command එකෙන් පුළුවන්

හැබැයි මේ තියෙන්නේ වෛරසයට තියන නියම පිලිතුර නෙවෙයි ඒක තවම computer එකේ run වෙනවා දවසෙන දවස මා සොයාගන්නා solutions මා ඔබ වෙනුවෙන් දමන්නම් පුළුවන්නම් COMMENT දාන්න

මෙය 2015-ජූනි මාසයේ ක්‍රියාකාරී වූ පරිගණක වෛරසයකි දැනට මේ සදහා නිසි ප්‍රතිකාරයක් තවම හරිහැටි නිකුත් කර නැත මෙය ක්‍රියාකාරී වී පෙන්වන්නේ USB pen වල පමනි එහෙත් මෙම වෛරසය attack කරන ලද පරිගණකයක පහත ක්‍රියාවලීන් සිදුවේ. පරිගණක ක්‍රියාකාරීත්වය cpu usage 100% physical memory usage 22% සහ process 35 ක්‍රියාකරවීම මත පරිගණකයේ වැඩකටයුතු බොහෝදුරට අඩාල වේ.

ඉහත දක්වන පින්තූරයේ දක්වා ඇති දෝෂය වෛරසය මගින් ඇතුලත් කලත් මෙය ඕනෑම පරිගණක පරිශීලකයකුට ලෙහෙසියෙන් මෙය දැමීමට හෝ ඉවත් කිරීමට හැකියි. user check box මගින්

ඉහත පලමු රූපසටහනේ දක්වන ලද දෝෂය නිවැරදි කරගත හැකියි එහෙත් වෛරසය සදහා නිසි පිලියමක් දැනට පවතින වෛරස ගාඩ් වලින් සපයා නැත. පහත දැක්වෙන විවිධ රූපසටහන් තුලින් මා මේ පිළිබද විස්ථර සොයාගැනිම සදහා යොදන ලද උත්සහයන් පහත දක්වන්නෙමි මෙයට යම් අදහසක් ඔබත් දක්වයි නම් මාහට දුරකථන මගින් (0713870093 හෝ 0774960372) විද්‍යුත් තැපැල මගින් අදහස් දක්වතැයි බලාපොරොන්තුවෙමි.

මෙහිදී ඔබට දක්වන්නේ E-set තුලින් මෙම වෛරසය අල්ලා ගන්නා බව නොවේ එමගින් අල්ලාගන්නා බවට ප්‍රෝඩාවක් කරන බව ඔබට පෙන්වීමටයි මෙවැනි ලෙසම සියළු වෛරස ගාඩ් සමාගම් (kaspersky, avg, avast, antivira, bit defender etc...) ක්‍රියා කරන අතර ඔවුනට mother company එක මගින් යහපත් ප්‍රතිචාරයක් දක්වන තෙක් virus guard විකිණීම සම්බන්ධ මෙරට සමාගම් මගින් පහත පරිදි කටයුතු කරන බව කාලීනව කරන ලද අත්දැකීම් තුලින් පුද්ගලිකවම මා අවබෝධ කරගෙන ඒ පිළිබද ඔප්පුකරද ඇත. මෙහිදී වෛරස ගාඩ් එක වෛරසය හදුනාගන්නා බව දක්වා ඇතත් Repair එක Postpone කර ඇති බව ඔබට දැකගත හැකියි පහත රූපසටහන බලන්න

මීට ඉහත දී මෙම වෛර‍සයේ මුල් කාලීන attack එකේදී E-set ක්‍රියාකරන ලද්දේ වෛරසය මූලිකව ඉවත් කරන ලද මුත් පහත දැක්වෙන ලෙස AVG virus guard එක මගින් ඉවත් කරන ලෙසට වෛරසය මගින් ඇති කරන ලද C:\skypee සහ c:\Google යන folder සහ එවා මගින් ඇති කරන ලද අමතර දෝෂ නිරාකරණය නොකිරීම shotcut *.lnk files E-SET මගින් CLEAN නොකරන ලද අතර වෛරසය පමණක් ඉවත් කර shotcut *.lnk files ඉවත් කිරීමට නොහැකි යයි වාචිකව පවසන ලදී. මේවා AVG Guard එක මගින් Clean කර ඉවත් කරන අකාරය පහත දැක්වෙන රූ සටහන් තුලින් දැක්වේ.

මේ පොස්ට් එක බලන ඔයාලා හිතයි මම ‍වෛරස සොයාගෙන ඒවා ඉවත් කරන හැටි වෙනත් අය වගේ කියල දෙන එකක් නැහැ කියල

සිම්පල් කියල ලිව්වේ මයික්‍රෝසොෆ්ට් ආයතනය මේ ආකාරයේ වෛරසයක ක්‍රියා පිලිවෙත සොයා ගැනීම සදහා  sysinternals suite එකක් සාදා තිබෙනවා එහි ලින්ක් එකක් ඔබට භාගත හැකි පරිදි මම ලින්ක් එක දාන්නම්

http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

මෙහි අඩංගු දෑ ගැන පැහැදිලි විස්ථර  

වෛරසයක ක්‍රියා කාරීත්වය

  මේ තිබෙන්නේ බොහොම සුලබව දක්නට ලැබෙන වෛරසයක්
සහ එහි

ක්‍රියා කාරීත්වය දැක්වෙන රූප සටහන් කිහිපයක් (Antvrs.exe යන වෛරසයේ)

මෙහි ස්වභාවය (Behavior) එක තමයි වෛරස් ගාඩ් එකක් අකාරයට ක්‍රියා කරමින් පරිගණකයේ භාවිතා කරන්නා රැවටීමයි

 


පරිගණකයේ වෛරස විසාල ප්‍රමාණයක් ඇති බවත් ඒවා ඉවත්කිරීමට මුදල් ගෙවා ගාඩ් එක ගත යුතු යැයි අනතුරු අගවයි.

     

කෙ‍ාහොමද මේක ඉවත් කරන්නේ ?

සිම්පල් වැඩක් තමයි කරන්න තියෙන්නෙ ..... මම ඊලග පොස්ට් එකෙන් ඒ ගැන විස්ථර කරන්නම්