AntiHacker Ransomware

आधुनिक मैलवेयर खतरों से व्यक्तिगत और व्यावसायिक डेटा की सुरक्षा अब वैकल्पिक नहीं, बल्कि एक अनिवार्य आवश्यकता बन गई है। रैंसमवेयर संचालक अपनी रणनीति, उपकरणों और सोशल इंजीनियरिंग योजनाओं को लगातार बेहतर बना रहे हैं ताकि अधिकतम व्यवधान पैदा किया जा सके और पैसे वसूले जा सकें। छोटे संगठनों और घरेलू उपयोगकर्ताओं को भी नियमित रूप से निशाना बनाया जाता है, और बिना तैयारी के इससे उबरना मुश्किल या असंभव हो सकता है। एक्सोरिस्ट परिवार का एक सदस्य, एंटीहैकर रैंसमवेयर, बिल्कुल ऐसा ही एक खतरा है।

ख़तरे का अवलोकन और वंश

एंटीहैकर एक दुर्भावनापूर्ण प्रोग्राम है जिसकी खोज सूचना सुरक्षा शोधकर्ताओं ने की है और इसे ज़ोरिस्ट रैंसमवेयर परिवार में वर्गीकृत किया गया है। ज़ोरिस्ट-आधारित खतरे आमतौर पर एक किट फ्रेमवर्क पर आधारित होते हैं जिसे हमलावर प्रदर्शित फिरौती संदेश, फ़ाइल एक्सटेंशन, भाषा तत्वों और अन्य मापदंडों को बदलकर अनुकूलित कर सकते हैं। एंटीहैकर, ज़ोरिस्ट की जानी-पहचानी रणनीति का पालन करता है: यह पीड़ित के डेटा को एन्क्रिप्ट करता है और फिर एक कथित डिक्रिप्शन कुंजी के बदले में भुगतान की मांग करता है।

फ़ाइल एन्क्रिप्शन व्यवहार और अंकन

एक बार जब एंटीहैकर किसी सिस्टम से छेड़छाड़ करता है, तो यह स्थानीय ड्राइव और संभावित रूप से मैप किए गए नेटवर्क स्थानों पर उपयोगकर्ता-सुलभ डेटा की खोज करता है। कई प्रकार की फ़ाइलों को निशाना बनाया जाता है, जैसे दस्तावेज़, चित्र, अभिलेखागार, मल्टीमीडिया फ़ाइलें और अन्य मूल्यवान डेटा भंडार। प्रत्येक एन्क्रिप्टेड आइटम का नाम मूल फ़ाइल नाम के अंत में '.antihacker2017' स्ट्रिंग जोड़कर बदल दिया जाता है। उदाहरण के लिए, मूल रूप से '1.png' नाम वाली फ़ाइल '1.png.antihacker2017' बन जाती है; '2.pdf' '2.pdf.antihacker2017' बन जाती है; और यह पैटर्न सभी संसाधित फ़ाइलों में दोहराया जाता है। जोड़ा गया एक्सटेंशन दो उद्देश्यों की पूर्ति करता है: यह पीड़ित को छेड़छाड़ का दृश्य संकेत देता है और रैंसमवेयर को यह पहचानने में मदद करता है कि उसने पहले किन आइटम्स को हैंडल किया है।

फिरौती नोट, पॉप-अप और वॉलपेपर संदेश

अपना एन्क्रिप्शन रूटीन पूरा करने के बाद, एंटीहैकर पीड़ित के डेस्कटॉप वॉलपेपर में बदलाव करता है और दो समानांतर स्वरूपों में फिरौती का नोट भेजता है: एक पॉप-अप विंडो और 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (रूसी में 'फ़ाइलों को कैसे डिक्रिप्ट करें') नामक एक टेक्स्ट फ़ाइल। पॉप-अप और टेक्स्ट फ़ाइल में संदेश की सामग्री एक जैसी होती है। हालाँकि, वॉलपेपर वाले संस्करण में अतिरिक्त सोशल इंजीनियरिंग भाषा शामिल है, जो यह तर्क देती है कि हमला इसलिए हुआ क्योंकि उपयोगकर्ता ने विशिष्ट वयस्क-उन्मुख या अवैध वेबसाइट देखी थीं। यह शर्मनाक तरीका पीड़ितों पर जल्दी और चुपचाप भुगतान करने का दबाव बनाने के लिए बनाया गया है।

वर्ण एन्कोडिंग विचित्रता

उन सिस्टम पर जो सिरिलिक वर्ण सेट का उपयोग नहीं करते, पॉप-अप में प्रदर्शित फिरौती का पाठ अपठनीय अस्पष्ट लग सकता है। इसलिए, पीड़ितों को एक दूषित संदेश विंडो दिखाई दे सकती है, लेकिन फिर भी हटाई गई टेक्स्ट फ़ाइल के अंदर पठनीय निर्देश मिल सकते हैं। हमलावर अक्सर स्थानीयकरण विवरणों को अनदेखा कर देते हैं; रक्षक ऐसे आर्टिफैक्ट्स का उपयोग संबंधित घटनाओं को समूहबद्ध करने में मदद के लिए कर सकते हैं।

बल प्रयोग यांत्रिकी: प्रमुख प्रवेश सीमाएँ और धमकी के दावे

फिरौती के निर्देशों में कहा गया है कि पीड़ितों को डिक्रिप्शन कुंजी प्राप्त करने के लिए हमलावरों से संपर्क करना होगा। ये निर्देश एक उच्च-दबाव प्रतिबंध भी लगाते हैं: कुंजी दर्ज करने के केवल 50 प्रयास ही मान्य हैं, जिसके बाद संदेश में दावा किया जाता है कि एन्क्रिप्टेड डेटा स्थायी रूप से नष्ट हो जाएगा। अतिरिक्त चेतावनियाँ यह भी बताती हैं कि सुरक्षा उपकरणों का उपयोग करने, मशीन को रीबूट करने या बंद करने से फ़ाइलें डिक्रिप्ट नहीं हो पाएँगी। ये डराने वाली रणनीतियाँ रैंसमवेयर प्लेबुक में आम हैं और इनका उद्देश्य उपयोगकर्ताओं को पेशेवर मदद लेने या सुरक्षित उपचार प्रक्रियाओं का प्रयास करने से हतोत्साहित करना है।

फिरौती देना जोखिम भरा क्यों है?

इस बात की कोई गारंटी नहीं है कि एंटीहैकर (या किसी भी रैंसमवेयर) के पीछे छिपे साइबर अपराधी भुगतान के बाद एक कारगर डिक्रिप्शन समाधान प्रदान करेंगे। भुगतान करने वाले पीड़ितों को अक्सर कुछ नहीं मिलता, एक टूटी हुई कुंजी मिलती है, या वे बार-बार जबरन वसूली का शिकार बन जाते हैं। भुगतान से चल रहे आपराधिक अभियानों को भी धन मिलता है और आगे के हमलों को बढ़ावा मिलता है। समझदारी इसी में है कि जब भी संभव हो, भुगतान करने से बचें और अपने नियंत्रण में पुनर्प्राप्ति मार्गों पर ध्यान केंद्रित करें।

पुनर्प्राप्ति वास्तविकताएँ

संक्रमित सिस्टम से एंटीहैकर को हटाने से आगे की फ़ाइल एन्क्रिप्शन प्रक्रिया रुक सकती है, लेकिन यह पहले से लॉक किए गए डेटा को डिक्रिप्ट नहीं करता। रिकवरी का सबसे विश्वसनीय तरीका उन बैकअप से प्रभावित फ़ाइलों की साफ़ प्रतियाँ पुनर्स्थापित करना है जो अलग-थलग, ऑफ़लाइन या मैलवेयर की पहुँच से बाहर थे। यदि कोई व्यवहार्य बैकअप मौजूद नहीं है, तो डेटा रिकवरी विकल्प अत्यधिक सीमित हो जाते हैं।

प्राथमिक संक्रमण वेक्टर

रैंसमवेयर बनाने वाले उसी व्यापक वितरण तंत्र पर निर्भर करते हैं जो अन्य मैलवेयर श्रेणियों को बढ़ावा देता है। एंटीहैकर भी इसका अपवाद नहीं है। हमलावर अक्सर पेलोड को वैध सॉफ़्टवेयर के रूप में छिपाते हैं या उन्हें क्रैक या पायरेटेड प्रोग्राम, दस्तावेज़ या इंस्टॉलर के साथ बंडल कर देते हैं। किसी भी संदिग्ध फ़ाइल को खोलने मात्र से डाउनलोड या निष्पादन श्रृंखला शुरू हो सकती है।

• फ़िशिंग और सोशल इंजीनियरिंग के प्रलोभन ईमेल, निजी संदेश, या दुर्भावनापूर्ण अनुलग्नकों या एम्बेडेड लिंक के साथ प्रत्यक्ष संदेशों द्वारा भेजे जाते हैं।
• स्पष्ट उपयोगकर्ता सहमति के बिना समझौता किए गए या दुर्भावनापूर्ण वेबसाइटों से शुरू किए गए ड्राइव-बाय या भ्रामक डाउनलोड।
• ट्रोजन लोडर और बैकडोर जो एक बार एम्बेड हो जाने पर चुपचाप रैनसमवेयर को पुनः प्राप्त कर लेते हैं और लॉन्च कर देते हैं।
• अविश्वसनीय डाउनलोड स्रोत जैसे फ्रीवेयर साइटें, तृतीय-पक्ष होस्टिंग पृष्ठ और पीयर-टू-पीयर (पी2पी) फ़ाइल-शेयरिंग नेटवर्क।
• ऑनलाइन घोटाले और मैलवेयर अभियान जो उपयोगकर्ताओं को एक्सप्लॉइट किट या नकली पेलोड की ओर पुनर्निर्देशित करते हैं।
• अवैध सॉफ्टवेयर सक्रियण उपकरण ('क्रैक' / कीजेन्स) और नकली सॉफ्टवेयर अपडेट जो वैध पैच के बजाय मैलवेयर इंस्टॉल करते हैं।
• अभिलेख (ज़िप, आरएआर, आदि), निष्पादन योग्य फ़ाइलें (ईएक्सई, रन, आदि), स्क्रिप्ट फ़ाइलें (जैसे, जावास्क्रिप्ट), और दस्तावेज़ प्रारूप (पीडीएफ, माइक्रोसॉफ्ट ऑफिस, वननोट, और अन्य) को संक्रमण श्रृंखला शुरू करने के लिए हथियार बनाया गया।

रक्षात्मक रणनीति का अवलोकन

प्रभावी रैंसमवेयर सुरक्षा लोगों, प्रक्रियाओं और तकनीक को परतों में बाँधती है। आप किसी एक सुरक्षात्मक नियंत्रण पर निर्भर नहीं रह सकते; मान लें कि कम से कम एक परत विफल हो जाएगी। उपयोगकर्ता जागरूकता, कठोर कॉन्फ़िगरेशन, कठोर पैचिंग, मज़बूत बैकअप प्रक्रियाओं और मज़बूत पहचान/प्रतिक्रिया क्षमताओं को मिलाकर एंटीहैकर-शैली की घुसपैठ की संभावना और प्रभाव दोनों को कम करें।

• महत्वपूर्ण डेटा का बैकअप बनाए रखें.
• ऑपरेटिंग सिस्टम, एप्लिकेशन और सुरक्षा उपकरणों को पूरी तरह से अद्यतन रखें; पैच तुरंत लागू करें, विशेष रूप से रिमोट एक्सेस और फ़ाइल-शेयरिंग सेवाओं के लिए।
• जहां समर्थित हो, वहां व्यवहारिक रैनसमवेयर पहचान और स्वचालित रोलबैक क्षमताओं के साथ प्रतिष्ठित एंटी-मैलवेयर / एंडपॉइंट डिटेक्शन और रिस्पांस (EDR) समाधानों का उपयोग करें।
• न्यूनतम-विशेषाधिकार वाले उपयोगकर्ता अधिकारों को लागू करें; गैर-व्यवस्थापक खातों के अंतर्गत दैनिक कार्यों का संचालन करें और साझा डेटा भंडारों तक लेखन पहुंच को प्रतिबंधित करें।
• नेटवर्क को विभाजित करें और पार्श्व गति को सीमित करें; बैकअप रिपॉजिटरी और महत्वपूर्ण सर्वरों को अलग-अलग एक्सेस स्तरों पर अलग करें।
• दूरस्थ लॉगिन, विशेषाधिकार प्राप्त कार्यों और बैकअप प्रबंधन कंसोल के लिए बहु-कारक प्रमाणीकरण (MFA) की आवश्यकता होती है।

निष्कर्ष

एंटीहैकर रैनसमवेयर दर्शाता है कि कैसे ख़तरा पैदा करने वाले लोग ज़ॉरिस्ट जैसे किट-आधारित फ़ैमिली को शक्तिशाली, क्षेत्रीय रूप से लक्षित जबरन वसूली योजनाएँ बनाने के लिए अपनाते हैं। इसके डेटा एन्क्रिप्शन, फ़ाइल नाम टैगिंग, बहुभाषी फिरौती नोट आर्टिफ़ैक्ट्स और ज़बरदस्ती संदेश, सभी भुगतान को बढ़ावा देने के लिए डिज़ाइन किए गए हैं। फिर भी, सबसे मज़बूत प्रतिकार तैयारी ही है: अलग-अलग बैकअप, स्तरित सुरक्षा, सूचित उपयोगकर्ता, और एक अनुशासित प्रतिक्रिया योजना। जो संगठन और व्यक्ति इन सुरक्षा उपायों में निवेश करते हैं, वे संभावित रूप से विनाशकारी रैनसमवेयर घटना को एक ऐसी घटना में बदल सकते हैं जिसे ठीक किया जा सके।