Bash 2.0 रैंसमवेयर
रैंसमवेयर व्यक्तियों और संगठनों के सामने सबसे ज़्यादा विध्वंसकारी खतरों में से एक बना हुआ है। एक भी सफल घुसपैठ आपकी फ़ाइलों को गड़बड़ कर सकती है, व्यावसायिक संचालन को रोक सकती है, और संवेदनशील डेटा को जबरन वसूली करने वालों के हवाले कर सकती है। सक्रिय सुरक्षा, स्तरित सुरक्षा नियंत्रण, उपयोगकर्ता सतर्कता और विश्वसनीय बैकअप, अपराधियों को भुगतान करने (और फिर भी आपका डेटा वापस न मिलने) की तुलना में हमेशा कम खर्चीले होंगे। बैश 2.0 रैंसमवेयर, जिसे बैश रेड के नाम से भी जाना जाता है, एक समयोचित चेतावनी है कि उभरते हुए समूह पीड़ितों पर दबाव बनाने की अपनी रणनीति को और बेहतर बनाते हुए, सिद्ध हमले के कोड को दोहराते रहते हैं।
विषयसूची
मिलिए BASH 2.0 (BASH RED) से
शोधकर्ताओं ने नए मैलवेयर गतिविधि का सर्वेक्षण करते हुए बैश 2.0 की पहचान की। यह ख़तरा कैओस रैंसमवेयर कोडबेस पर आधारित है, एक ऐसा ढाँचा जिसका कई स्पिन-ऑफ़ में पुन: उपयोग किया जा चुका है। कैओस का लाभ उठाने से हमलावरों को बढ़त मिलती है: कोर एन्क्रिप्शन, फ़ाइल हैंडलिंग और रैंसम नोट रूटीन पहले से मौजूद हैं और इन्हें नए अभियानों के लिए अनुकूलित किया जा सकता है। बैश 2.0 इन विरासत में मिली क्षमताओं का उपयोग डेटा लॉक करने और भुगतान वसूलने के लिए करता है।
आपकी फ़ाइलों का क्या होता है?
जब Bash 2.0 किसी सिस्टम पर क्रियान्वित होता है, तो यह सुलभ डेटा को एन्क्रिप्ट करने का प्रयास करता है। प्रत्येक प्रभावित फ़ाइल को चार यादृच्छिक वर्णों से बना एक अतिरिक्त एक्सटेंशन प्राप्त होता है, जो '1.png' जैसे कुछ को '1.png.2rf9' में बदल देता है (यादृच्छिक प्रत्यय प्रत्येक संक्रमण के अनुसार भिन्न होता है)। नाम बदलने की यह परंपरा हमलावरों (और स्वचालित उपकरणों) को यह पता लगाने में मदद करती है कि क्या लॉक किया गया है, और साथ ही पीड़ितों को तुरंत संकेत देती है कि उनका डेटा अब उपयोग योग्य नहीं है। रैंसमवेयर जबरन वसूली के संदेश को दृश्य रूप से और भी स्पष्ट करने के लिए डेस्कटॉप वॉलपेपर को भी बदल देता है।
फिरौती का संदेश: BASHRED-README.TXT
एन्क्रिप्शन पूरा होने के बाद, Bash 2.0 'bashred-reAdmE.txt' नाम का एक टेक्स्ट नोट भेजता है। यह संदेश पीड़ित को सूचित करता है कि फ़ाइलें एन्क्रिप्टेड हैं और दावा करता है कि पुनर्प्राप्ति का एकमात्र संभव तरीका हमलावरों से एक विशिष्ट डिक्रिप्शन कुंजी और सॉफ़्टवेयर प्राप्त करना है। पीड़ितों को संपर्क स्थापित करने और भुगतान करने का निर्देश दिया जाता है; नोट में चेतावनी दी गई है कि लॉक किए गए डेटा का नाम बदलने, उसे संशोधित करने या स्वतंत्र रूप से डिक्रिप्ट करने का प्रयास करने से वह स्थायी रूप से दूषित हो सकता है। वॉलपेपर परिवर्तन आमतौर पर उन्हीं विषयों को प्रतिध्वनित करता है, जिससे तात्कालिकता बढ़ जाती है।
डेटा रिकवरी कितनी वास्तविक है?
अधिकांश रैंसमवेयर घटनाओं में, हमलावरों के सहयोग के बिना डिक्रिप्शन तकनीकी रूप से असंभव है क्योंकि एन्क्रिप्शन को क्रिप्टोग्राफ़िक रूप से मज़बूत बनाया गया है। केवल दुर्लभ मामलों में, आमतौर पर जब मैलवेयर निर्माता गंभीर कार्यान्वयन संबंधी गलतियाँ करते हैं, तो उनकी भागीदारी के बिना डिक्रिप्शन संभव होता है। भुगतान की भी कोई गारंटी नहीं है: पीड़ित नियमित रूप से रिपोर्ट करते हैं कि उन्हें कभी भी काम करने वाले उपकरण नहीं मिले, आंशिक डिक्रिप्टर मिले, या दूषित कुंजियाँ मिलीं। भुगतान करने से आगे की आपराधिक गतिविधियों को भी वित्तपोषित किया जाता है, जिससे आप बार-बार निशाना बन सकते हैं। इन कारणों से, सुरक्षा पेशेवर फिरौती की माँगों को पूरा करने की सख़्त मनाही करते हैं।
रक्तस्राव रोकें: निष्कासन और रोकथाम
अतिरिक्त फ़ाइलों को एन्क्रिप्ट होने से रोकने और कनेक्टेड सिस्टम में खतरे को फैलने से रोकने के लिए, संक्रमित वातावरण से Bash 2.0 को हटाना ज़रूरी है। हालाँकि, मैलवेयर साफ़ करने से पहले से लॉक किए गए डेटा को डिक्रिप्ट नहीं किया जा सकता। वास्तविक रिकवरी सुरक्षित, ऑफ़लाइन और बिना किसी समझौते के बैकअप पर निर्भर करती है। रिकवरी से पहले, प्रभावित मशीनों को नेटवर्क से अलग करें, अपडेट किए गए टूल्स से पूरी तरह से मैलवेयर स्कैन करें, और जहाँ भरोसा न हो सके, वहाँ रीबिल्ड या रीइमेज करें। रीस्टोर किए गए सिस्टम के साफ़ होने की पुष्टि करने के बाद ही उन्हें दोबारा कनेक्ट करें।
BASH 2.0 कैसे फैला?
हमलावरों ने एक व्यापक जाल बिछाया। रैंसमवेयर अभियानों से जुड़े और बैश 2.0 से संबंधित सामान्य वितरण वेक्टर्स में शामिल हैं:
- स्पैम, स्पीयर-फ़िशिंग या सोशल मैसेजिंग प्लेटफ़ॉर्म के माध्यम से वितरित दुर्भावनापूर्ण अनुलग्नक या लिंक।
- बंडल या ट्रोजनकृत इंस्टॉलर जो वैध सॉफ्टवेयर, गेम, मीडिया कोडेक्स या उत्पादकता उपकरण के रूप में प्रस्तुत होते हैं।
- ड्राइव-बाय डाउनलोड समझौता या दुर्भावनापूर्ण साइटों के माध्यम से ट्रिगर होते हैं, जो अक्सर मैलवेयर द्वारा पहुंचते हैं।
- कमजोर अखंडता नियंत्रण वाले तृतीय-पक्ष, फ्रीवेयर और पीयर-टू-पीयर डाउनलोड चैनल।
- अवैध सॉफ्टवेयर "क्रैक", कीजेन्स, तथा नकली एक्टिवेशन उपयोगिताएं जो चुपचाप पेलोड वितरित करती हैं।
- नकली अपडेट संकेत (ब्राउज़र, प्लगइन, ओएस या एप्लिकेशन) जो पैच के बजाय मैलवेयर इंस्टॉल करते हैं।
कुछ खतरे वाले बिल्ड पार्श्व गति या स्व-प्रसार में सक्षम होते हैं, स्थानीय नेटवर्क को पार करने या स्वयं को हटाने योग्य मीडिया जैसे यूएसबी फ्लैश ड्राइव और बाहरी डिस्क पर कॉपी करने का प्रयास करते हैं।
अपनी सुरक्षा को बढ़ाने के लिए सर्वोत्तम सुरक्षा अभ्यास
- संस्करणबद्ध, ऑफ़लाइन और नियमित रूप से परीक्षण किए गए बैकअप बनाए रखें। कम से कम एक बैकअप सेट ऑफ-नेटवर्क (अपरिवर्तनीय संग्रहण या एक बार लिखने योग्य मीडिया को प्राथमिकता दी जाती है) संग्रहीत करें।
- ऑपरेटिंग सिस्टम, एप्लिकेशन, सुरक्षा सूट और फ़र्मवेयर को पूरी तरह से पैच करके रखें। जहाँ संभव हो, स्वचालित अपडेट सक्षम करें।
- व्यवहारिक रैनसमवेयर का पता लगाने और रोलबैक क्षमताओं के साथ प्रतिष्ठित एंटी-मैलवेयर/EDR समाधान तैनात करें।
- फ़िशिंग जोखिम को कम करने के लिए ईमेल फ़िल्टरिंग, अटैचमेंट सैंडबॉक्सिंग और लिंक-स्कैनिंग गेटवे का उपयोग करें; उपयोगकर्ताओं को नकली प्रेषकों और अप्रत्याशित अटैचमेंट को पहचानने के लिए प्रशिक्षित करें।
- दस्तावेज़ प्रारूपों में मैक्रोज़ और सक्रिय सामग्री को अक्षम या प्रतिबंधित करें; अवांछित दस्तावेज़ों को संरक्षित दृश्य में खोलें।
- न्यूनतम विशेषाधिकार वाले उपयोगकर्ता खातों के साथ काम करें; समर्पित, सुरक्षित सत्रों के लिए प्रशासनिक क्रेडेंशियल्स आरक्षित करें।
- नेटवर्क को खंडित करें और पहुंच नियंत्रण लागू करें ताकि एक भी समझौता किया गया अंतबिंदु सभी महत्वपूर्ण शेयरों तक न पहुंच सके।
- दूरस्थ पहुँच, विशेषाधिकार प्राप्त कार्यों और बैकअप प्रशासन कंसोल के लिए बहुकारक प्रमाणीकरण की आवश्यकता होती है।
- हटाने योग्य मीडिया पर ऑटोरन/ऑटो-प्ले को अक्षम करें; उत्पादन प्रणालियों पर माउंट करने से पहले बाह्य ड्राइव को स्कैन करें।
समापन विचार
बैश 2.0 रैंसमवेयर यह दर्शाता है कि ख़तरा पैदा करने वाले कितनी तेज़ी से मौजूदा कोडबेस को नए जबरन वसूली उपकरणों में बदल सकते हैं। जो रक्षक केवल हस्ताक्षर-आधारित पहचान या अंतिम समय की प्रतिक्रिया पर निर्भर रहते हैं, वे नुकसान में रहेंगे। अनुशासित बैकअप रणनीतियों, मज़बूत पैच हाइजीन, स्तरित एंडपॉइंट और ईमेल सुरक्षा, न्यूनतम-विशेषाधिकार डिज़ाइन और अभ्यास की गई प्रतिक्रिया प्लेबुक को मिलाकर, आप रैंसमवेयर घटना की संभावना और प्रभाव दोनों को नाटकीय रूप से कम कर सकते हैं।
संदेशों
Bash 2.0 रैंसमवेयर से जुड़े निम्नलिखित संदेश पाए गए:
|
!!!ATTENTION!!! Your Files Have Been Encrypted By Bash Ransomware (v2.0)! Your Downloads, Documents, Desktop, Videos, etc. We Understand That This Is A Scary Situation For You. But We Are Confident That If You Are Willing To Cooperate With Us. We Can Work Towards A Reasonable Outcome. COMMONLY ASKED QUESTIONS. -------------------------- What Happened To My Files? --------------------------- Your Files Have Been Encrypted Using The AES-256 Encryption Algorithm. RSA-2048 Was Also Used To Encrypt The AES Encryption And Decryption Keys. The Only Way Possable To Restore Your Files Is With The Unique, RSA Private Key That Was Generated Specifically For This Ransomware. As Well As Its Corresponding Decryption Software. In Order To Obtain Them, You Must Pay A Reasonable Fee. How Do I Pay? -------------- In Order To Pay The Fee, You Must First Download The TOR Browser At hxxps://torproject.org/ After Installing The Browser. Please Visit One Of Our Darknet Sites Listed Below: - Once Your Connected To Our Servers, Enter You Own Personal ID Listed Below. You Will Then Be Taken Through The Payment Process. Your Personal ID: - Once Payment Has Been Verified, You Will Be Sent A Copy Of The Private RSA Key And The Decryptor From Our Email Address At: bashID72@protonmail.com ------------------------------- WARNING! DO NOT MODIFY, RENAME Or Attempt Decryption With Third-Party Software, It Will Not Work And May Render Decryption Impossable! ------------------- We Look Foward To Finding A Common Ground. Thank You Version:(BashRed-2.0-213) |
