DeadLock Ransomware
आधुनिक रैंसमवेयर अभियान आपके व्यक्तिगत या संगठनात्मक डेटा को लाभ में बदलने के उद्देश्य से बनाए गए हैं। एक बार महत्वपूर्ण फ़ाइलें एन्क्रिप्ट हो जाने के बाद, हमलावरों के पास सभी कार्ड होते हैं, जब तक कि आपने पहले से तैयारी न की हो। मज़बूत सुरक्षा, स्तरित सुरक्षा और मज़बूत बैकअप रणनीतियाँ इस संभावना को नाटकीय रूप से कम कर देती हैं कि एक भी दुर्भावनापूर्ण अटैचमेंट, क्रैक्ड इंस्टॉलर, या नकली डाउनलोड व्यवसाय में व्यवधान या स्थायी डेटा हानि का कारण बन सकता है। डेडलॉक रैंसमवेयर इस बात का एक अच्छा उदाहरण है कि ये बुनियादी बातें क्यों महत्वपूर्ण हैं।
विषयसूची
डेडलॉक को क्या अलग बनाता है?
डेडलॉक एक फ़ाइल-एन्क्रिप्टिंग रैंसमवेयर परिवार है जो प्रत्येक पीड़ित को एक विशिष्ट पहचानकर्ता से टैग करता है। हमले के दौरान, यह उपयोगकर्ता डेटा को नष्ट कर देता है और प्रत्येक एन्क्रिप्टेड फ़ाइल का नाम बदलकर पीड़ित की आईडी और '.dlock' एक्सटेंशन को मूल फ़ाइल नाम में जोड़ देता है। उदाहरण के लिए: '1.png' '1.png.F8C6A8.dlock' बन जाता है और '2.pdf' '2.pdf.F8C6A8.dlock' बन जाता है। इस आईडी का उपयोग पूरी जबरन वसूली प्रक्रिया के दौरान पीड़ित को ट्रैक करने और भुगतान को डिक्रिप्शन कुंजियों से जोड़ने के लिए किया जाता है। डेडलॉक एक फिरौती नोट भी छोड़ता है जिसके फ़ाइल नाम में वही पहचानकर्ता (जैसे, "READ ME.F8C6A8.txt") अंतर्निहित होता है और डेस्कटॉप वॉलपेपर बदलकर यह पुष्टि करता है कि सिस्टम से छेड़छाड़ की गई है।
फिरौती नोट के अंदर
नोट में पीड़ित के अगले कदमों को दिशा देने के लिए कई महत्वपूर्ण बिंदु दिए गए हैं। इसमें ज़ोर देकर कहा गया है कि एन्क्रिप्टेड फ़ाइलों को एक 'विशिष्ट डिक्रिप्शन कुंजी' के बिना पुनर्स्थापित नहीं किया जा सकता, जो केवल हमलावरों के पास होती है। पीड़ितों को गोपनीयता-केंद्रित सत्र मैसेंजर स्थापित करने और दिए गए सत्र आईडी (फ़ाइल नामों में अंतर्निहित प्रति-पीड़ित पहचानकर्ता से मिलान करते हुए) का उपयोग करके संपर्क करने के लिए कहा जाता है। हमलावर पीड़ित से सत्यापन के लिए एक एन्क्रिप्टेड फ़ाइल और 'व्यक्तिगत कुंजी' (उनकी विशिष्ट आईडी) भेजने के लिए कहते हैं। यह एक सामान्य रणनीति है जिसका उद्देश्य एक हानिरहित नमूने को डिक्रिप्ट करके विश्वास बनाना है।
भुगतान और दबाव की रणनीति
डेडलॉक ऑपरेटर क्रिप्टोकरेंसी, खासकर बिटकॉइन या मोनेरो, की मांग करते हैं। वे वादा करते हैं कि भुगतान के बाद, वे एक कार्यशील डिक्रिप्टर प्रदान करेंगे। अधिकांश रैंसमवेयर ऑपरेशनों की तरह, इसकी कोई लागू करने योग्य गारंटी नहीं है। नोट स्वतंत्र पुनर्प्राप्ति प्रयासों को हतोत्साहित करने के लिए भय का भी उपयोग करता है: यह पीड़ितों को एन्क्रिप्टेड फ़ाइलों का नाम न बदलने और तृतीय-पक्ष डिक्रिप्शन टूल का उपयोग न करने की चेतावनी देता है, यह दावा करते हुए कि ऐसी कार्रवाइयाँ डेटा को स्थायी रूप से दूषित कर सकती हैं या पुनर्प्राप्ति की लागत बढ़ा सकती हैं। ये चेतावनियाँ आंशिक रूप से तकनीकी हैं (अनुचित संचालन वास्तव में पुनर्प्राप्ति को जटिल बना सकता है) और आंशिक रूप से मनोवैज्ञानिक दबाव।
डिक्रिप्शन वास्तविकता जांच
रैंसमवेयर के साथ सामान्य अनुभव, और ऑपरेटरों के अपने संदेश, एक कठोर सत्य का समर्थन करते हैं: अधिकांश मामलों में, आप हमलावरों के सहयोग और उपकरणों के बिना डेडलॉक-स्क्रैम्बल की गई फ़ाइलों को डिक्रिप्ट नहीं कर सकते। इससे पुनर्प्राप्ति के दो यथार्थवादी रास्ते बचते हैं: (1) कार्यशील बैकअप जो ऑफ़लाइन, ऑफ-साइट, संस्करणित, या अन्यथा हमले के समय मैलवेयर के लिए सुलभ नहीं थे; या (2) फिरौती का भुगतान करना और उम्मीद करना कि अपराधी सौदे का सम्मान करेंगे। भुगतान करना जोखिम भरा है: हमलावर गायब हो सकते हैं, एक टूटा हुआ डिक्रिप्टर दे सकते हैं, या भुगतान को एक संकेत के रूप में उपयोग कर सकते हैं कि आप भविष्य में जबरन वसूली के लिए एक आसान लक्ष्य हैं। जहाँ तक संभव हो, फिरौती का भुगतान करने के बजाय अप्रभावित बैकअप पर भरोसा करें।
पूर्ण निष्कासन क्यों महत्वपूर्ण है
एन्क्रिप्शन पूरा होने के बाद भी, सिस्टम पर रैंसमवेयर को छोड़ना खतरनाक है। अवशिष्ट घटक नई बनाई गई फ़ाइलों को पुनः एन्क्रिप्ट कर सकते हैं, क्रेडेंशियल्स चुरा सकते हैं, बैकडोर खोल सकते हैं, या स्थानीय नेटवर्क में तिरछे तरीके से आगे बढ़ने का प्रयास कर सकते हैं। एंडपॉइंट स्कैनिंग, मेमोरी निरीक्षण, और शेड्यूल किए गए कार्यों, स्टार्टअप प्रविष्टियों और डोमेन नियंत्रकों की समीक्षा द्वारा रैंसमवेयर का उन्मूलन, बार-बार होने वाले नुकसान को रोकने के लिए महत्वपूर्ण है।
सामान्य डेडलॉक संक्रमण वेक्टर
हमलावरों को शुरुआती पैर जमाने की ज़रूरत होती है। रैंसमवेयर अभियान कई वितरण चैनलों से जुड़े रहे हैं जो उपयोगकर्ता के विश्वास, जिज्ञासा और लागत में कटौती के शॉर्टकट का फायदा उठाते हैं:
- पायरेटेड या 'क्रैक्ड' वाणिज्यिक सॉफ्टवेयर, जिसमें बंडल कुंजी जनरेटर और लाइसेंस बाईपास टूल शामिल हैं, जो गुप्त रूप से मैलवेयर इंस्टॉल करते हैं।
- सॉफ्टवेयर क्रैक, कीजेन्स, तथा अनधिकृत एक्टिवेटर्स को वेयरज़ या टोरेंट साइटों से निकाला गया।
- दुर्भावनापूर्ण ईमेल अनुलग्नक: वर्ड दस्तावेज़ (अक्सर मैक्रो-सक्षम), पीडीएफ, ज़िप अभिलेखागार, स्क्रिप्ट फ़ाइलें, या चालान, शिपमेंट नोटिस, या तत्काल एचआर फॉर्म के रूप में प्रच्छन्न निष्पादन योग्य पेलोड।
- मालवेयर विज्ञापन (दुर्भावनापूर्ण विज्ञापन) जो उपयोगकर्ताओं को शोषण किट या नकली डाउनलोड पृष्ठों पर पुनर्निर्देशित करते हैं।
- पीयर-टू-पीयर शेयरिंग प्लेटफॉर्म और थर्ड-पार्टी डाउनलोड हब जो इंस्टॉलर्स को छिपे हुए पेलोड के साथ पुनः पैकेज करते हैं।
- हटाने योग्य मीडिया (जैसे, संक्रमित यूएसबी ड्राइव) जो स्वतः चलती हैं या उपयोगकर्ताओं को दूषित फ़ाइलें चलाने के लिए प्रेरित करती हैं।
- फर्जी तकनीकी सहायता पोर्टल जो उपयोगकर्ताओं पर 'फिक्स' या 'अपडेट' डाउनलोड करने का दबाव डालते हैं, जिनमें वास्तव में रैनसमवेयर लोडर होता है।
- समझौता की गई वैध वेबसाइटें, जिनमें ड्राइव-बाय डाउनलोड या इंजेक्टेड स्क्रिप्ट्स शामिल हैं, जो पेलोड प्रदान करती हैं।
अपनी सुरक्षा को मजबूत करने के लिए सर्वोत्तम सुरक्षा अभ्यास
स्तरित सुरक्षा रैंसमवेयर घटना के विस्फोट के दायरे को तेज़ी से कम कर देती है। नीचे प्राथमिकता वाले रक्षात्मक कदम दिए गए हैं जो डेडलॉक और इसी तरह के अन्य खतरों को सफल होने से रोकने में मदद करते हैं:
- महत्वपूर्ण डेटा का विश्वसनीय, ऑफ़लाइन बैकअप बनाए रखें।
- ऑपरेटिंग सिस्टम, अनुप्रयोगों और फर्मवेयर को तुरंत पैच करें, विशेष रूप से मैक्रो या शोषण दुरुपयोग के लिए प्रवण सेवाओं और उत्पादकता सूट को पैच करें।
- व्यवहार-आधारित रैनसमवेयर पहचान और स्वचालित अलगाव के साथ प्रतिष्ठित एंडपॉइंट सुरक्षा/EDR का उपयोग करें।
- न्यूनतम-विशेषाधिकार वाले उपयोगकर्ता खातों को लागू करें; जहां आवश्यक न हो, वहां स्थानीय व्यवस्थापक को अक्षम करें; व्यवस्थापक क्रेडेंशियल्स को दैनिक उपयोग से अलग करें।
- समूह नीति, अनुप्रयोग अनुमति सूचीकरण, और नियंत्रित फ़ोल्डर पहुँच के माध्यम से मैक्रो निष्पादन, स्क्रिप्ट इंटरप्रेटर, और अहस्ताक्षरित बाइनरी को प्रतिबंधित करें।
- ईमेल सुरक्षा फ़िल्टरिंग लागू करें: सैंडबॉक्स अनुलग्नक, लिंक का निरीक्षण करें, और संदिग्ध फ़ाइल प्रकारों या नकली प्रेषक डोमेन को चिह्नित करें।
- हटाने योग्य मीडिया पर ऑटोरन को अक्षम करें और माउंट करने से पहले USB डिवाइस को स्कैन करें।
- दूरस्थ पहुँच, एडमिन कंसोल और बैकअप प्रबंधन इंटरफेस के लिए बहुकारक प्रमाणीकरण (MFA) की आवश्यकता होती है।
दीर्घकालिक पाठ
डेडलॉक रैंसमवेयर परिवारों में एक बार-बार आने वाली समस्या को और पुष्ट करता है: अगर अंतिम उपयोगकर्ता नियमित रूप से क्रैक किए गए टूल डाउनलोड करते हैं, असत्यापित अटैचमेंट खोलते हैं, या अविश्वसनीय विज्ञापन नेटवर्क ब्राउज़ करते हैं, तो हमलावरों को अत्याधुनिक शोषण की आवश्यकता नहीं है। बुनियादी सुरक्षा तकनीकें, पैचिंग अनुशासन, एक्सेस नियंत्रण, निगरानी वाले बैकअप और उपयोगकर्ता जागरूकता, किसी भी संभावित संकट को एक संभावित घटना में बदल देती हैं। इन सुरक्षा उपायों में अभी निवेश करें; इनकी लागत दबाव में दी गई फिरौती से कहीं कम है।
समापन विचार
रैंसमवेयर के प्रति प्रतिरोधक क्षमता किसी हमले के आपके स्क्रीन पर आने से बहुत पहले ही विकसित हो जाती है। डेडलॉक कैसे काम करता है, यह समझकर और स्तरित निवारक और पुनर्प्राप्ति नियंत्रणों को लागू करके, आप इस खतरे और इसके जैसे अन्य खतरों का सामना करने के लिए खुद को तैयार कर सकते हैं। ऐसी किसी भी चीज़ के प्रति संशयी रहें जिसकी आपने जानबूझकर खोज या सत्यापन नहीं किया है। आपकी सतर्कता ही पहली और अक्सर सबसे अच्छी सुरक्षा पंक्ति होती है।
संदेशों
DeadLock Ransomware से जुड़े निम्नलिखित संदेश पाए गए:
|
# All your important files are encrypted! # Your important files have been encrypted by DeadLock using military-grade encryption. This includes all documents, photos, videos, databases, and other critical data. You cannot access them without our decryption key. # There is only one way to get your files back: 1. Download Session to contact us https://getsession.org/ 2. Contact with us (session id: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78) 3. Send us 1 any encrypted your file and your personal key 4. We will decrypt 1 file for test (maximum file size - 1 MB), its guarantee what we can decrypt your files 5. Pay 6. We send for you decryptor software # We accept Bitcoin/Monero Attention! Do not rename encrypted files. Do not try to decrypt using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) Contact information: 05084f9b14b02f4ffa97795a60ab1fafaf5128e3259c75459aaaeaebc80c14da78 # Your personal id: READ ME.F8C6A8.txt |
