AntiHacker Ransomware

আধুনিক ম্যালওয়্যার হুমকি থেকে ব্যক্তিগত এবং ব্যবসায়িক তথ্য সুরক্ষিত রাখা এখন আর ঐচ্ছিক নয়, এটি একটি কার্যকরী প্রয়োজনীয়তা। র‍্যানসমওয়্যার অপারেটররা তাদের কৌশল, সরঞ্জাম এবং সামাজিক প্রকৌশল পরিকল্পনাগুলিকে আরও উন্নত করে চলেছে যাতে ব্যাঘাত এবং চাঁদাবাজি সর্বাধিক করা যায়। এমনকি ছোট সংস্থা এবং গৃহ ব্যবহারকারীদেরও নিয়মিত লক্ষ্যবস্তু করা হয় এবং প্রস্তুতি ছাড়া পুনরুদ্ধার করা কঠিন বা অসম্ভব হতে পারে। জোরিস্ট পরিবারের সদস্য অ্যান্টিহ্যাকার র‍্যানসমওয়্যার ঠিক এমনই একটি হুমকি।

হুমকির সংক্ষিপ্তসার এবং বংশ

অ্যান্টিহ্যাকার হল একটি ক্ষতিকারক প্রোগ্রাম যা তথ্য সুরক্ষা গবেষকরা আবিষ্কার করেছেন এবং Xorist র‍্যানসমওয়্যার পরিবারের মধ্যে শ্রেণীবদ্ধ করা হয়েছে। Xorist-ভিত্তিক হুমকিগুলি সাধারণত একটি কিট ফ্রেমওয়ার্ক থেকে তৈরি করা হয় যা আক্রমণকারীরা কাস্টমাইজ করতে পারে, প্রদর্শিত মুক্তিপণ বার্তা, ফাইল এক্সটেনশন, ভাষা উপাদান এবং অন্যান্য পরামিতি পরিবর্তন করে। অ্যান্টিহ্যাকার পরিচিত Xorist প্লেবুক অনুসরণ করে: এটি ভিকটিম ডেটা এনক্রিপ্ট করে এবং তারপর একটি কথিত ডিক্রিপশন কী-এর বিনিময়ে অর্থ দাবি করে।

ফাইল এনক্রিপশন আচরণ এবং মার্কিং

একবার অ্যান্টিহ্যাকার কোনও সিস্টেমের সাথে আপস করলে, এটি স্থানীয় ড্রাইভ এবং সম্ভাব্য ম্যাপ করা নেটওয়ার্ক অবস্থানগুলিতেও ব্যবহারকারী-অ্যাক্সেসযোগ্য ডেটা অনুসন্ধান করে। বিভিন্ন ধরণের ফাইল লক্ষ্য করা যায়, যেমন ডকুমেন্ট, ছবি, আর্কাইভ, মাল্টিমিডিয়া ফাইল এবং অন্যান্য মূল্যবান ডেটা স্টোর। প্রতিটি এনক্রিপ্ট করা আইটেমের নাম পরিবর্তন করে মূল ফাইলের নামের শেষে '.antihacker2017' স্ট্রিং যুক্ত করা হয়। উদাহরণস্বরূপ, '1.png' নামের একটি ফাইল '1.png.antihacker2017' হয়ে যায়; '2.pdf' '2.pdf.antihacker2017' হয়ে যায়; এবং এই প্যাটার্নটি সমস্ত প্রক্রিয়াজাত ফাইল জুড়ে পুনরাবৃত্তি হয়। যুক্ত এক্সটেনশনটি দুটি উদ্দেশ্যে কাজ করে: এটি দৃশ্যত ভুক্তভোগীকে আপস করার সংকেত দেয় এবং র‍্যানসমওয়্যারকে এটি ইতিমধ্যে কোন আইটেমগুলি পরিচালনা করেছে তা সনাক্ত করতে সহায়তা করে।

মুক্তিপণ নোট, পপ-আপ এবং ওয়ালপেপার মেসেজিং

এনক্রিপশন রুটিন সম্পন্ন করার পর, অ্যান্টিহ্যাকার ভুক্তভোগীর ডেস্কটপ ওয়ালপেপার পরিবর্তন করে এবং দুটি সমান্তরাল ফর্ম্যাটে একটি মুক্তিপণ নোট ফেলে: একটি পপ-আপ উইন্ডো এবং 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (রাশিয়ান ভাষায় 'কীভাবে ফাইল ডিক্রিপ্ট করবেন') নামে একটি টেক্সট ফাইল। পপ-আপ এবং টেক্সট ফাইলে উপস্থাপিত বার্তার বিষয়বস্তু একই। তবে, ওয়ালপেপার ভেরিয়েন্টে অতিরিক্ত সামাজিক প্রকৌশল ভাষা অন্তর্ভুক্ত করা হয়েছে, যা একটি যুক্তি হিসেবে দেখা যায় যে ব্যবহারকারী নির্দিষ্ট প্রাপ্তবয়স্ক-ভিত্তিক বা অবৈধ ওয়েবসাইট পরিদর্শন করার কারণে আক্রমণটি ঘটেছে। এই লজ্জাজনক দৃষ্টিকোণটি দ্রুত এবং নীরবে অর্থ প্রদানের জন্য ভুক্তভোগীদের চাপ দেওয়ার জন্য ডিজাইন করা হয়েছে।

চরিত্র এনকোডিং কুইর্ক

যেসব সিস্টেমে সিরিলিক অক্ষর সেট ব্যবহার করা হয় না, সেখানে পপ-আপে প্রদর্শিত মুক্তিপণ লেখাটি অপাঠ্য বাজে কথা হিসেবে দেখাতে পারে। অতএব, ভুক্তভোগীরা একটি দূষিত বার্তা উইন্ডো দেখতে পারেন কিন্তু তবুও বাদ পড়া টেক্সট ফাইলের ভিতরে পঠনযোগ্য নির্দেশাবলী খুঁজে পান। আক্রমণকারীরা প্রায়শই স্থানীয়করণের বিবরণ উপেক্ষা করে; ডিফেন্ডাররা ক্লাস্টার সম্পর্কিত ঘটনাগুলিকে সাহায্য করার জন্য এই ধরনের শিল্পকর্ম ব্যবহার করতে পারে।

জবরদস্তি কৌশল: প্রবেশের মূল সীমাবদ্ধতা এবং হুমকি দাবি

মুক্তিপণের নির্দেশাবলীতে বলা হয়েছে যে ডিক্রিপশন কী পেতে ভুক্তভোগীদের আক্রমণকারীদের সাথে যোগাযোগ করতে হবে। তারা একটি উচ্চ-চাপের সীমাবদ্ধতাও আরোপ করে: কীটি ইনপুট করার জন্য মাত্র ৫০ বার প্রচেষ্টা অনুমোদিত, যার পরে বার্তাটি দাবি করে যে এনক্রিপ্ট করা ডেটা স্থায়ীভাবে হারিয়ে যাবে। অতিরিক্ত সতর্কতাগুলি জোর দিয়ে বলে যে সুরক্ষা সরঞ্জামগুলি ব্যবহার করে, পুনরায় বুট করা বা মেশিন বন্ধ করে দেওয়ার ফলে ফাইলগুলি ডিক্রিপ্ট করা যাবে না। র‍্যানসমওয়্যার প্লেবুকগুলিতে এই ভয় দেখানোর কৌশলগুলি সাধারণ এবং ব্যবহারকারীদের পেশাদার সাহায্য নেওয়া বা নিরাপদ প্রতিকার পদ্ধতির চেষ্টা করা থেকে নিরুৎসাহিত করা।

মুক্তিপণ প্রদান কেন ঝুঁকিপূর্ণ

অ্যান্টিহ্যাকার (অথবা যেকোনো র‍্যানসমওয়্যার) এর পেছনে থাকা সাইবার অপরাধীরা অর্থ প্রদানের পরে একটি কার্যকর ডিক্রিপশন সমাধান প্রদান করবে এমন কোনও গ্যারান্টি নেই। যারা অর্থ প্রদান করে তারা প্রায়শই কিছুই পায় না, ভাঙা চাবি পায় না, অথবা বারবার চাঁদাবাজির লক্ষ্যবস্তুতে পরিণত হয়। অর্থ প্রদান চলমান অপরাধমূলক কার্যক্রমের জন্যও অর্থায়ন করে এবং আরও আক্রমণকে উৎসাহিত করে। বিচক্ষণ অবস্থান হল যখনই সম্ভব অর্থ প্রদান এড়িয়ে চলা এবং আপনার নিয়ন্ত্রণে থাকা পুনরুদ্ধারের পথগুলিতে মনোনিবেশ করা।

পুনরুদ্ধারের বাস্তবতা

সংক্রামিত সিস্টেম থেকে অ্যান্টিহ্যাকার অপসারণ করলে আরও ফাইল এনক্রিপশন বন্ধ হয়ে যেতে পারে, কিন্তু এটি ইতিমধ্যেই লক করা ডেটা ডিক্রিপ্ট করে না। পুনরুদ্ধারের সবচেয়ে নির্ভরযোগ্য উপায় হল বিচ্ছিন্ন, অফলাইন বা অন্যথায় ম্যালওয়্যারের নাগালের বাইরে থাকা ব্যাকআপ থেকে প্রভাবিত ফাইলগুলির পরিষ্কার কপি পুনরুদ্ধার করা। যদি কোনও কার্যকর ব্যাকআপ না থাকে, তাহলে ডেটা পুনরুদ্ধারের বিকল্পগুলি অত্যন্ত সীমাবদ্ধ হয়ে পড়ে।

প্রাথমিক সংক্রমণ ভেক্টর

র‍্যানসমওয়্যার লেখকরা একই বিস্তৃত বিতরণ ইকোসিস্টেমের উপর নির্ভর করে যা অন্যান্য ম্যালওয়্যার বিভাগগুলিকে ইন্ধন জোগায়। অ্যান্টিহ্যাকারও এর ব্যতিক্রম নয়। আক্রমণকারীরা প্রায়শই পেলোডগুলিকে বৈধ সফ্টওয়্যার হিসাবে ছদ্মবেশ ধারণ করে বা ক্র্যাকড বা পাইরেটেড প্রোগ্রাম, ডকুমেন্ট বা ইনস্টলার দিয়ে বান্ডিল করে। কেবল একটি বুবি-ট্র্যাপড ফাইল খোলার ফলে ডাউনলোড বা এক্সিকিউশন চেইন শুরু হতে পারে।

• ইমেল, ব্যক্তিগত বার্তা, অথবা ক্ষতিকারক সংযুক্তি বা এমবেডেড লিঙ্ক সহ সরাসরি বার্তার মাধ্যমে ফিশিং এবং সামাজিক প্রকৌশলের প্রলোভন দেখানো হয়।
• ব্যবহারকারীর স্পষ্ট সম্মতি ছাড়াই ঝুঁকিপূর্ণ বা ক্ষতিকারক ওয়েবসাইট থেকে ড্রাইভ-বাই বা প্রতারণামূলক ডাউনলোড শুরু করা হয়েছে।
• ট্রোজান লোডার এবং ব্যাকডোর যা র‍্যানসমওয়্যার একবার এম্বেড হয়ে গেলে নীরবে উদ্ধার করে এবং চালু করে।
• অবিশ্বস্ত ডাউনলোড উৎস যেমন ফ্রিওয়্যার সাইট, থার্ড-পার্টি হোস্টিং পেজ এবং পিয়ার-টু-পিয়ার (P2P) ফাইল-শেয়ারিং নেটওয়ার্ক।
• অনলাইন স্ক্যাম এবং ম্যালভার্টাইজিং প্রচারণা যা ব্যবহারকারীদের কিট বা দুর্বৃত্ত পেলোড ব্যবহার করার দিকে পুনঃনির্দেশিত করে।
• অবৈধ সফ্টওয়্যার অ্যাক্টিভেশন টুল ('ক্র্যাকস' / কীজেন) এবং জাল সফ্টওয়্যার আপডেট যা বৈধ প্যাচের পরিবর্তে ম্যালওয়্যার ইনস্টল করে।
• সংক্রমণ শৃঙ্খল চালু করার জন্য আর্কাইভ (ZIP, RAR, ইত্যাদি), এক্সিকিউটেবল ফাইল (EXE, RUN, ইত্যাদি), স্ক্রিপ্ট ফাইল (যেমন, জাভাস্ক্রিপ্ট), এবং ডকুমেন্ট ফরম্যাট (PDF, Microsoft Office, OneNote, এবং অন্যান্য) অস্ত্র ব্যবহার করা হয়েছে।

প্রতিরক্ষামূলক কৌশলের সারসংক্ষেপ

কার্যকর র‍্যানসমওয়্যার প্রতিরক্ষা ব্যবস্থা মানুষ, প্রক্রিয়া এবং প্রযুক্তিকে স্তরে

• গুরুত্বপূর্ণ তথ্যের ব্যাকআপ রাখুন।
• অপারেটিং সিস্টেম, অ্যাপ্লিকেশন এবং নিরাপত্তা সরঞ্জামগুলি সম্পূর্ণরূপে আপডেট রাখুন; দ্রুত প্যাচ প্রয়োগ করুন, বিশেষ করে দূরবর্তী অ্যাক্সেস এবং ফাইল-শেয়ারিং পরিষেবাগুলির জন্য।
• আচরণগত র‍্যানসমওয়্যার সনাক্তকরণ এবং যেখানে সমর্থিত সেখানে স্বয়ংক্রিয় রোলব্যাক ক্ষমতা সহ স্বনামধন্য অ্যান্টি-ম্যালওয়্যার / এন্ডপয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া (EDR) সমাধান ব্যবহার করুন।
• ন্যূনতম সুবিধাপ্রাপ্ত ব্যবহারকারীর অধিকার প্রয়োগ করুন; অ-প্রশাসক অ্যাকাউন্টের অধীনে দৈনন্দিন কাজ পরিচালনা করুন এবং ভাগ করা ডেটা স্টোরগুলিতে লেখার অ্যাক্সেস সীমাবদ্ধ করুন।
• নেটওয়ার্কগুলিকে সেগমেন্ট করুন এবং পার্শ্বীয় চলাচল সীমিত করুন; ব্যাকআপ রিপোজিটরি এবং গুরুত্বপূর্ণ সার্ভারগুলিকে পৃথক অ্যাক্সেস স্তরে বিচ্ছিন্ন করুন।
• রিমোট লগইন, বিশেষাধিকারপ্রাপ্ত অ্যাকশন এবং ব্যাকআপ ম্যানেজমেন্ট কনসোলের জন্য মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) প্রয়োজন।

উপসংহার

অ্যান্টিহ্যাকার র‍্যানসমওয়্যার কীভাবে হুমকিদাতারা জোরিস্টের মতো কিট-ভিত্তিক পরিবারগুলিকে শক্তিশালী, আঞ্চলিকভাবে লক্ষ্যবস্তু চাঁদাবাজি স্কিম তৈরির জন্য অভিযোজিত করে তা চিত্রিত করে। এর ডেটা এনক্রিপশন, ফাইলের নাম ট্যাগিং, বহুভাষিক র‍্যানসম নোট আর্টিফ্যাক্ট এবং জবরদস্তিমূলক বার্তাপ্রেরণ - এই সবকিছুই অর্থপ্রদানকে চালিত করার জন্য তৈরি করা হয়েছে। তবুও সবচেয়ে শক্তিশালী প্রতিরোধমূলক ব্যবস্থা হল প্রস্তুতি: বিচ্ছিন্ন ব্যাকআপ, স্তরযুক্ত প্রতিরক্ষা, অবগত ব্যবহারকারী এবং একটি সুশৃঙ্খল প্রতিক্রিয়া পরিকল্পনা। এই সুরক্ষা ব্যবস্থাগুলিতে বিনিয়োগকারী সংস্থা এবং ব্যক্তিরা সম্ভাব্য বিপর্যয়কর র‍্যানসমওয়্যার ঘটনাকে পুনরুদ্ধারযোগ্য ঘটনায় পরিণত করতে পারে।