Өнгөрсөн шөнө дэлхийн улс орнуудын байгууллагуудын систем рүү чиглэсэн хэдэн мянган ransomware халдлага боллоо. Avast компанийн мэдэгдсэнээр 99 улс орон руу нийт 75 мянган кибер дайралт явагджээ.
Энэхүү дайралтын гол бай нь Англи, АНУ, БНХАУ, Испани, Итали, ОХУ, Украин, Тайвань улсууд байжээ.
Английн эмнэлгүүд, Испанийн Телефоника зэрэг томоохон байгууллагууд халдлагын бай болж, бүх чухал хэрэгцээтэй мэдээллүүдийг нь хакерууд кодолсон байна. Энэхүү нөхцөл байдлаас шалтгаалан Английн эмнэлгүүдэд томоохон хагалгаануудыг хүртэл зогсооход хүрчээ.
Өнгөрсөн шөнө дэлхийн улс орнуудын байгууллагуудын систем рүү чиглэсэн хэдэн мянган ransomware халдлага боллоо. Avast компанийн мэдэгдсэнээр 99 улс орон руу нийт 75 мянган кибер дайралт явагджээ.
Энэхүү дайралтын гол бай нь Англи, АНУ, БНХАУ, Испани, Итали, ОХУ, Украин, Тайвань улсууд байжээ.
Английн эмнэлгүүд, Испанийн Телефоника зэрэг томоохон байгууллагууд халдлагын бай болж, бүх чухал хэрэгцээтэй мэдээллүүдийг нь хакерууд кодолсон байна. Энэхүү нөхцөл байдлаас шалтгаалан Английн эмнэлгүүдэд томоохон хагалгаануудыг хүртэл зогсооход хүрчээ.
ШИНЭЧЛЭЛТ 2: 10:04 цаг...
ХАЛДЛАГЫН ЦАР ХҮРЭЭ
The Financial Times-т бичсэнээр Европын Телефоника, Их Британийн Үндэсний эрүүл мэндийн байгууллага, Америкийн FedEx тэргүүтэй 75 мянган байгууллага өртсөн халдлагыг үйлдсэн этгээдүүд АНУ-ын Үндэсний аюулгүй байдлын агентлагаас хулгайлсан кибер зэвсгийг ашиглажээ.
Хэрвээ таны компьютер дээрх мэдээлэл өртсөн бол жинхэнэ өгөгдлийн нэр нь: жинхэнэ_нэр.jpg.WNCRY болж өөрчлөгдөнө
Өнөөдрийн байдлаар хамгийн хурдацтай тархаж, магадгүй хамгийн их хэмжээний хохирол учруулж мэдэх энэхүү кибер халдлагын талаар нэгэн шинжээч “Хакерууд Америкийн тагнуулуудын бүтээсэн Eternal Blue хэмээх хэрэгслийг ашиглан өөрсдийн хийсэн программын хүчийг улам нэмэгдүүлсэн” гэсэн байна.
АНУ-ын FedEx хүргэлтийн компанийн мэдээлснээр тэдний ашигладаг Windows үйлдлийн систем бүхий зарим компьютеруудад дээрх асуудал үүсчээ.
ОХУ-ын Дотоод хэргийн яамны 1000 гаруй компьютер энэхүү халдлагын бай болсон бөгөөд энэ нь Оросын төрийн албаны нийт компьютерын 0,1 хувьтай тэнцэнэ, харин серверүүд халдлагад өртөөгүй гэсэн байна.
Энэхүү халдлагыг үйлдсэн этгээдүүд “WannaCry” хэмээх хортой кодыг өөрчлөн, сайжруулж тараажээ. WannaCry хэмээх мөнгө нэхдэг, хортой код нь хэрэглэгчийн компьютер дээрх мэдээллүүдийг кодолдог бөгөөд анх энэ оны цахим сүлжээнд гарч ирсэн аж.
Ийм төрлийн хортой код ихэвчлэн цахим шуудангаар дамжин халдварладаг хэдий ч шинэчилсэн хувилбар нь хэн нэгний компьютероор дамжин байгууллагын дотоод сүлжээгээр тархжээ.
Төв Европын цагаар Баасан гарагийн өглөөний 08:00 цагийн үед Avast энэхүү хортой код тархаж эхэлж байгааг тогтоожээ. Ингээд хоёр цагийн дараа гэхэд улам эрчимтэй тархах болсон байна.
Wannacry хэмээх хортой код нь халдварласан өгөгдлийн өргөтгөлийг нь “.WNCRY” болгон өөрчилдөг бөгөөд хэрвээ таны компьютер дээрх мэдээлэл өртсөн бол жинхэнэ өгөгдлийн нэр нь: жинхэнэ_нэр.jpg.WNCRY болж өөрчлөгдөх аж.
Харин үүний дараа хэрэглэгчдэд доорх агуулга бүхий зурвас харагдана:
А: Миний файлууд яачихсан юм бэ?
Х: Уучлаарай, таны чухал файлуудыг кодолчихлоо. Энэ нь та кодыг тайлах хүртэл файлуудаа нээж чадахгүй гэсэн үг. Хэрвээ бидний зааврыг дагавал та богино хугацаанд, ямар ч асуудалгүйгээр файлуудаа сэргээж чадна. Тайлж эхэлцгээе.
А: Одоо яах вэ?
Х: Эхлээд та кодыг тайлах төлбөрийг төлөх ёстой. Бидний 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw гэсэн биткойн хаяг руу 300 ам. доллартой тэнцэх биткойн илгээнэ үү.
Дараа нь та “@wanaDecryptor@.exe” гэсэн файлыг олох хэрэгтэй. Энэ нь код тайлах программ юм. Зааврын дагуу ажиллуулаарай! (Та хэсэг хугацаанд антивирусийн программаа унтраах хэрэг гарах байх)
А: Би яаж итгэх вэ?
Х: Санаа зоволтгүй. Бид таны файлыг заавал тайлж өгнө, үгүй бол хэн ч бидэнд итгэхгүй шүү дээ.
Халдагч этгээдүүд нийт 300 ам. доллартой тэнцэх биткойн шаардсан бөгөөд хэрхэн төлбөр шилжүүлэх, юу болсон зэргээс гадна төлбөрийн хэмжээ нэмэгдэж, файлууд бүр мөсөн устах хугацааг “WanaDecrypt0r 2.0” программын харилцах цонхонд харуулжээ:
Түүнчлэн халдлагад өртсөн хэрэглэгчийн нүүр хуудасны зураг ингэж өөрчлөгдөх аж:
ШИНЭЧЛЭЛТ 2: 10:04 цаг...
ХАЛДЛАГЫН ЦАР ХҮРЭЭ
The Financial Times-т бичсэнээр Европын Телефоника, Их Британийн Үндэсний эрүүл мэндийн байгууллага, Америкийн FedEx тэргүүтэй 75 мянган байгууллага өртсөн халдлагыг үйлдсэн этгээдүүд АНУ-ын Үндэсний аюулгүй байдлын агентлагаас хулгайлсан кибер зэвсгийг ашиглажээ.
Хэрвээ таны компьютер дээрх мэдээлэл өртсөн бол жинхэнэ өгөгдлийн нэр нь: жинхэнэ_нэр.jpg.WNCRY болж өөрчлөгдөнө
Өнөөдрийн байдлаар хамгийн хурдацтай тархаж, магадгүй хамгийн их хэмжээний хохирол учруулж мэдэх энэхүү кибер халдлагын талаар нэгэн шинжээч “Хакерууд Америкийн тагнуулуудын бүтээсэн Eternal Blue хэмээх хэрэгслийг ашиглан өөрсдийн хийсэн программын хүчийг улам нэмэгдүүлсэн” гэсэн байна.
АНУ-ын FedEx хүргэлтийн компанийн мэдээлснээр тэдний ашигладаг Windows үйлдлийн систем бүхий зарим компьютеруудад дээрх асуудал үүсчээ.
ОХУ-ын Дотоод хэргийн яамны 1000 гаруй компьютер энэхүү халдлагын бай болсон бөгөөд энэ нь Оросын төрийн албаны нийт компьютерын 0,1 хувьтай тэнцэнэ, харин серверүүд халдлагад өртөөгүй гэсэн байна.
Энэхүү халдлагыг үйлдсэн этгээдүүд “WannaCry” хэмээх хортой кодыг өөрчлөн, сайжруулж тараажээ. WannaCry хэмээх мөнгө нэхдэг, хортой код нь хэрэглэгчийн компьютер дээрх мэдээллүүдийг кодолдог бөгөөд анх энэ оны цахим сүлжээнд гарч ирсэн аж.
Ийм төрлийн хортой код ихэвчлэн цахим шуудангаар дамжин халдварладаг хэдий ч шинэчилсэн хувилбар нь хэн нэгний компьютероор дамжин байгууллагын дотоод сүлжээгээр тархжээ.
Төв Европын цагаар Баасан гарагийн өглөөний 08:00 цагийн үед Avast энэхүү хортой код тархаж эхэлж байгааг тогтоожээ. Ингээд хоёр цагийн дараа гэхэд улам эрчимтэй тархах болсон байна.
Wannacry хэмээх хортой код нь халдварласан өгөгдлийн өргөтгөлийг нь “.WNCRY” болгон өөрчилдөг бөгөөд хэрвээ таны компьютер дээрх мэдээлэл өртсөн бол жинхэнэ өгөгдлийн нэр нь: жинхэнэ_нэр.jpg.WNCRY болж өөрчлөгдөх аж.
Харин үүний дараа хэрэглэгчдэд доорх агуулга бүхий зурвас харагдана:
А: Миний файлууд яачихсан юм бэ?
Х: Уучлаарай, таны чухал файлуудыг кодолчихлоо. Энэ нь та кодыг тайлах хүртэл файлуудаа нээж чадахгүй гэсэн үг. Хэрвээ бидний зааврыг дагавал та богино хугацаанд, ямар ч асуудалгүйгээр файлуудаа сэргээж чадна. Тайлж эхэлцгээе.
А: Одоо яах вэ?
Х: Эхлээд та кодыг тайлах төлбөрийг төлөх ёстой. Бидний 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw гэсэн биткойн хаяг руу 300 ам. доллартой тэнцэх биткойн илгээнэ үү.
Дараа нь та “@wanaDecryptor@.exe” гэсэн файлыг олох хэрэгтэй. Энэ нь код тайлах программ юм. Зааврын дагуу ажиллуулаарай! (Та хэсэг хугацаанд антивирусийн программаа унтраах хэрэг гарах байх)
А: Би яаж итгэх вэ?
Х: Санаа зоволтгүй. Бид таны файлыг заавал тайлж өгнө, үгүй бол хэн ч бидэнд итгэхгүй шүү дээ.
Халдагч этгээдүүд нийт 300 ам. доллартой тэнцэх биткойн шаардсан бөгөөд хэрхэн төлбөр шилжүүлэх, юу болсон зэргээс гадна төлбөрийн хэмжээ нэмэгдэж, файлууд бүр мөсөн устах хугацааг “WanaDecrypt0r 2.0” программын харилцах цонхонд харуулжээ:
Түүнчлэн халдлагад өртсөн хэрэглэгчийн нүүр хуудасны зураг ингэж өөрчлөгдөх аж:
ШИНЭЧЛЭЛТ 3: 10:34 цаг...
ХАЛДЛАГЫН АРД ХЭН БАЙГАА ВЭ?
Зарим шинжээчдийн хэлж буйгаар хакерууд Microsoft-ын үйлдлийн системд байдаг цоорхойг ашиглажээ. Анх АНУ-ын Үндэсний аюулгүй байдлын агентлаг бүтээсэн EternalBlue хэмээх хэрэгслийг хакерууд ашигласан аж.
Энэхүү хэрэгслийг The Shadow Brokers хэмээх хакерын бүлэг хулгайлсан бөгөөд цахим орчинд дуудлага худалдаагаар кодолсон файлаа борлуулахыг оролдож байжээ. Гэхдээ тэд дөрөвдүгээр сарын 8-ны өдөр дээрх файлаа үнэгүй болгож, кодлолыг тайлах нууц үгээ дэлгэсэн юм.
Тухайн үед зарим кибер аюулгүйн шинжээчид энэхүү хортой кодыг хэтэрхий хуучин хэмээн мэдэгдэж Microsoft компани дээрх асуудалтай холбогдуулан гуравдугаар сард үйлдлийн системүүддээ зориулсан “patch” гаргажээ.
Гэвч маш олон хэрэглэгч системээ тогтмол шинэчилдэггүй учраас халдлагын бай болох гол шалтгаан болсон байна.
АНТИВИРУС үйлдвэрлэгчид ИНГЭЖ ЗӨВЛӨЖЭЭ
Norton антивирусийг хөгжүүлэгч Symantec компани өөрсдийн цахим хуудсандаа дараах зөвлөгөөг бичжээ.
“Одоогийн байдлаар кодлогдсон файлуудыг тайлах арга олдоогүй байна. Symantec бүх аргаар ажиллаж байгаа бөгөөд хакеруудын шаардсан төлбөрийг төлөхийг санал болгохгүй. Кодлогдсон файлуудыг нөөц сангаас сэргээх боломжтой” гэжээ.
Барьцаа нэхдэг, хортой кодоос хэрхэн сэргийлэх вэ?
- Шинэ, шинэ ийм хортой код ойрхон давтамжтай гарч байдаг. Тиймээс өөрийн ашиглаж буй аюулгүйн системийг үргэлж шинэчилж байх шаардлагатай.
- Үйлдлийн систем болон бусад программ хангамжуудаа шинэчилж байх хэрэгтэй. Ямар нэгэн цоорхой илэрсэн тохиолдолд компаниуд үйлдлийн систем, программ хангамжууддаа шинэчлэлт хийж байдаг.
- Цахим шуудан нь энэ төрлийн халдвар тархах үндсэн аргуудын нэг юм. Тиймээс ямар нэгэн холбоос, нэмэлт файл бүхий цахим шууданг нээхээс зайлсхийх.
- Хэнээс ирсэн, ямар учиртай гэдгийг нь баттай мэдэхгүй тохиолдолд дээрх цахим шууданг шууд устгах.
- Барьцаа нэхдэг, хортой кодноос өөрийгөө хамгаалах хамгийн энгийн, хамгийн үр дүнтэй арга нь өөрийн хэрэгцээт мэдээллүүдийг өөр газарт давхар хадгалах юм.
ШИНЭЧЛЭЛТ 3: 10:34 цаг...
ХАЛДЛАГЫН АРД ХЭН БАЙГАА ВЭ?
Зарим шинжээчдийн хэлж буйгаар хакерууд Microsoft-ын үйлдлийн системд байдаг цоорхойг ашиглажээ. Анх АНУ-ын Үндэсний аюулгүй байдлын агентлаг бүтээсэн EternalBlue хэмээх хэрэгслийг хакерууд ашигласан аж.
Энэхүү хэрэгслийг The Shadow Brokers хэмээх хакерын бүлэг хулгайлсан бөгөөд цахим орчинд дуудлага худалдаагаар кодолсон файлаа борлуулахыг оролдож байжээ. Гэхдээ тэд дөрөвдүгээр сарын 8-ны өдөр дээрх файлаа үнэгүй болгож, кодлолыг тайлах нууц үгээ дэлгэсэн юм.
Тухайн үед зарим кибер аюулгүйн шинжээчид энэхүү хортой кодыг хэтэрхий хуучин хэмээн мэдэгдэж Microsoft компани дээрх асуудалтай холбогдуулан гуравдугаар сард үйлдлийн системүүддээ зориулсан “patch” гаргажээ.
Гэвч маш олон хэрэглэгч системээ тогтмол шинэчилдэггүй учраас халдлагын бай болох гол шалтгаан болсон байна.
АНТИВИРУС үйлдвэрлэгчид ИНГЭЖ ЗӨВЛӨЖЭЭ
Norton антивирусийг хөгжүүлэгч Symantec компани өөрсдийн цахим хуудсандаа дараах зөвлөгөөг бичжээ.
“Одоогийн байдлаар кодлогдсон файлуудыг тайлах арга олдоогүй байна. Symantec бүх аргаар ажиллаж байгаа бөгөөд хакеруудын шаардсан төлбөрийг төлөхийг санал болгохгүй. Кодлогдсон файлуудыг нөөц сангаас сэргээх боломжтой” гэжээ.
Барьцаа нэхдэг, хортой кодоос хэрхэн сэргийлэх вэ?
- Шинэ, шинэ ийм хортой код ойрхон давтамжтай гарч байдаг. Тиймээс өөрийн ашиглаж буй аюулгүйн системийг үргэлж шинэчилж байх шаардлагатай.
- Үйлдлийн систем болон бусад программ хангамжуудаа шинэчилж байх хэрэгтэй. Ямар нэгэн цоорхой илэрсэн тохиолдолд компаниуд үйлдлийн систем, программ хангамжууддаа шинэчлэлт хийж байдаг.
- Цахим шуудан нь энэ төрлийн халдвар тархах үндсэн аргуудын нэг юм. Тиймээс ямар нэгэн холбоос, нэмэлт файл бүхий цахим шууданг нээхээс зайлсхийх.
- Хэнээс ирсэн, ямар учиртай гэдгийг нь баттай мэдэхгүй тохиолдолд дээрх цахим шууданг шууд устгах.
- Барьцаа нэхдэг, хортой кодноос өөрийгөө хамгаалах хамгийн энгийн, хамгийн үр дүнтэй арга нь өөрийн хэрэгцээт мэдээллүүдийг өөр газарт давхар хадгалах юм.
ШИНЭЧЛЭЛТ 4: 11:50 цаг...
Одоогийн байдлаар WannaCry хортой код халдварласан 98759 компьютер байгаа бөгөөд Европын холбооны орнууд, АНУ, БНХАУ хамгийн их халдвар авчээ. Хакерууд энэхүү хортой кодыг тайлахын тулд 300 ам. доллартой тэнцэх хэмжээний биткойныг хэрэглэчдээс шаардсан юм.
Тэгвэл өчигдрөөс хойш хакеруудын байршуулсан биткойн хэтэвчинд одоог хүртэл нийт 13 хэрэглэгчээс мөнгө шилжүүлж нийт 3700 орчим ам. доллартой тэнцэх 2,2 битконыг байршуулсан байна.
ШИНЭЧЛЭЛТ 4: 11:50 цаг...
Одоогийн байдлаар WannaCry хортой код халдварласан 98759 компьютер байгаа бөгөөд Европын холбооны орнууд, АНУ, БНХАУ хамгийн их халдвар авчээ. Хакерууд энэхүү хортой кодыг тайлахын тулд 300 ам. доллартой тэнцэх хэмжээний биткойныг хэрэглэчдээс шаардсан юм.
Тэгвэл өчигдрөөс хойш хакеруудын байршуулсан биткойн хэтэвчинд одоог хүртэл нийт 13 хэрэглэгчээс мөнгө шилжүүлж нийт 3700 орчим ам. доллартой тэнцэх 2,2 битконыг байршуулсан байна.
ШИНЭЧЛЭЛТ 5: 13:10 цаг...
Intel.malwaretech.com сайтын хяналтын газрын зурагт харуулж буйгаар нийт 104,130 компьютер энэхүү хортой кодоор халдварлажээ. Европын холбооны орнууд, БНХАУ, АНУ, Энэтхэг зэрэг газруудад хамгийн их халдвар тархсан бөгөөд Монгол улсын хэмжээнд мөн хоёр газарт халдвар илэрсэн байна.
Энэ талаар бид хуучнаар Кибер аюулгүйн байдлын газар буюу одоогийн Төрийн мэдээлэл холбооны газрын лавлах утсанд холбогдон тодруулахад энэ чиглэлийн асуудал хариуцсан инженерийн утсыг өгсөн юм.
Болж байгаа нөхцөл байдлын талаар, ямар учиртай, халдварын талаар анхааруулга гаргах эсэхийг асуухад:
"Төрийн мэдээлэл холбооны газар нь ТТГ-ын харъяа байгууллага бөгөөд ямар нэгэн мэдээллийг ажилтнууд гаргах эрх байхгүй, албан бичгээр хандсан тохиолдолд мэдээлэл өгөх боломжтой" гэв.
Энэхүү болж байгаа асуудлын талаар мэдэж байгаа эсэхийг тодруулахад "Албан бичиг байхгүй бол мэдээлэл өгөхгүй" гээд утсаа салгасан юм.
ШИНЭЧЛЭЛТ 5: 13:10 цаг...
Intel.malwaretech.com сайтын хяналтын газрын зурагт харуулж буйгаар нийт 104,130 компьютер энэхүү хортой кодоор халдварлажээ. Европын холбооны орнууд, БНХАУ, АНУ, Энэтхэг зэрэг газруудад хамгийн их халдвар тархсан бөгөөд Монгол улсын хэмжээнд мөн хоёр газарт халдвар илэрсэн байна.
Энэ талаар бид хуучнаар Кибер аюулгүйн байдлын газар буюу одоогийн Төрийн мэдээлэл холбооны газрын лавлах утсанд холбогдон тодруулахад энэ чиглэлийн асуудал хариуцсан инженерийн утсыг өгсөн юм.
Болж байгаа нөхцөл байдлын талаар, ямар учиртай, халдварын талаар анхааруулга гаргах эсэхийг асуухад:
"Төрийн мэдээлэл холбооны газар нь ТТГ-ын харъяа байгууллага бөгөөд ямар нэгэн мэдээллийг ажилтнууд гаргах эрх байхгүй, албан бичгээр хандсан тохиолдолд мэдээлэл өгөх боломжтой" гэв.
Энэхүү болж байгаа асуудлын талаар мэдэж байгаа эсэхийг тодруулахад "Албан бичиг байхгүй бол мэдээлэл өгөхгүй" гээд утсаа салгасан юм.