फ़ाइलकोडर macOS रैंसमवेयर

साइबर अपराधी लगातार अनजान उपयोगकर्ताओं का शोषण करने के नए तरीके विकसित कर रहे हैं, और रैंसमवेयर सबसे खतरनाक खतरों में से एक बना हुआ है। macOS उपयोगकर्ताओं के बीच, FileCoder रैंसमवेयर, जिसे Patcher या Findzip के नाम से भी जाना जाता है, एक कुख्यात उदाहरण है। एक बार सक्रिय होने पर, यह आपकी व्यक्तिगत फ़ाइलों को एन्क्रिप्ट कर देता है और उन्हें रिलीज़ करने के लिए भुगतान की मांग करता है। दुर्भाग्य से, FileCoder की खराब कोडिंग का मतलब है कि भुगतान करने पर भी आपका डेटा पुनर्स्थापित नहीं होगा, इसलिए सख्त रोकथाम रणनीतियाँ आवश्यक हैं।

फाइलकोडर रैनसमवेयर क्या है?

फ़ाइलकोडर एक फ़ाइल-एन्क्रिप्टिंग रैंसमवेयर है जो macOS सिस्टम को निशाना बनाता है। यह अक्सर Adobe Premiere Pro CC और Microsoft Office 2016 जैसे लोकप्रिय सॉफ़्टवेयर के लिए पैचिंग टूल के रूप में प्रकट होता है। शोधकर्ताओं ने सबसे पहले इसे बिटटोरेंट प्लेटफ़ॉर्म के माध्यम से फैलते हुए देखा, जिससे पायरेटेड सॉफ़्टवेयर की तलाश करने वाले उपयोगकर्ता इसके मुख्य शिकार बन गए।

यह मैलवेयर मुख्य रूप से OS X 10.11.x (एल कैपिटन) और macOS 10.12.x चलाने वाले सिस्टम को प्रभावित करता है, हालाँकि पुराने और नए संस्करण भी प्रभावित हो सकते हैं। इसका एक्ज़ीक्यूटेबल Apple द्वारा हस्ताक्षरित नहीं है, जो सतर्क उपयोगकर्ताओं के लिए एक ख़तरे की घंटी है।

फाइलकोडर डिवाइसों को कैसे संक्रमित करता है?

संक्रमण प्रक्रिया तब शुरू होती है जब उपयोगकर्ता टोरेंट साइटों से प्रीमियम सॉफ़्टवेयर के लिए एक 'पैचर' या 'क्रैकर' जैसा कुछ डाउनलोड करते हैं। लॉन्च होने के बाद, नकली पैचर तीन चरणों वाली एक प्रगति विंडो प्रदर्शित करता है, लेकिन यह केवल एक ध्यान भटकाने वाली बात है। उपयोगकर्ता द्वारा 'प्रारंभ' पर क्लिक करने के तुरंत बाद एन्क्रिप्शन प्रक्रिया शुरू हो जाती है। जब तक इंटरफ़ेस चरण 2/3 प्रदर्शित करता है, तब तक नुकसान हो चुका होता है।

FileCoder, Users फ़ोल्डर में मौजूद सभी चीज़ों को एन्क्रिप्ट कर देता है, सिस्टम और एप्लिकेशन फ़ाइलों को बिना छुए। निष्पादन के समय कनेक्टेड बाहरी ड्राइव और नेटवर्क वॉल्यूम भी इसके निशाने पर होते हैं। यह मैलवेयर स्थानीय रूप से 25-वर्णों की एक रैंडम एन्क्रिप्शन कुंजी उत्पन्न करता है और rm कमांड का उपयोग करके मूल फ़ाइलों को हटा देता है। यह diskutil के साथ खाली जगह को मिटाने का भी प्रयास करता है, लेकिन गलत फ़ाइल पथ के कारण विफल हो जाता है, एक ऐसी त्रुटि जो आंशिक डेटा रिकवरी की बहुत कम संभावना प्रदान करती है।

एन्क्रिप्शन के बाद क्या होता है?

एन्क्रिप्शन पूरा होने के बाद, उपयोगकर्ता का डेस्कटॉप README.txt और DECRYPT!.txt जैसे फिरौती के नोटों से भर जाता है। पीड़ितों को निर्देश दिया जाता है कि वे 24 घंटे के भीतर अपनी फ़ाइलों को अनलॉक करने के लिए बिटकॉइन में $280 या तेज़ डिक्रिप्शन के लिए $500 का भुगतान करें। हालाँकि, यह माँग भ्रामक है क्योंकि FileCoder में कमांड-एंड-कंट्रोल सर्वर से संवाद करने या डिक्रिप्शन कुंजी भेजने की क्षमता नहीं है। दूसरे शब्दों में, फिरौती देने से आपकी फ़ाइलों तक पहुँच बहाल नहीं होगी।

इसके अतिरिक्त, रैंसमवेयर अज्ञात कारणों से एन्क्रिप्टेड फ़ाइलों की संशोधन तिथि को 13 फ़रवरी, 2010 कर देता है। सिस्टम रीबूट करने पर 'iCloud में साइन इन करें' स्क्रीन दिखाई देती है, क्योंकि उपयोगकर्ता की प्राथमिकताएँ और सेटिंग्स डेटा के साथ एन्क्रिप्टेड होती हैं।

कमज़ोरियाँ और पुनर्प्राप्ति विकल्प

अपनी विनाशकारी क्षमता के बावजूद, फ़ाइलकोडर में कई खामियां हैं:

• यह फ़ाइलों को धीरे-धीरे एन्क्रिप्ट करता है, 250 एमबी की वीडियो फ़ाइल को एन्क्रिप्ट करने में लगभग 30 सेकंड लगते हैं। त्वरित कार्रवाई से एन्क्रिप्शन को रोका जा सकता है।
• एप्लिकेशन को प्रक्रिया के बीच में ही बंद करने से आगे की फ़ाइल एन्क्रिप्शन रुक जाती है।
• गलत डिस्कुटिल पथ पूर्ण सुरक्षित वाइपिंग को रोकता है, तथा डेटा रेस्क्यू जैसे उपकरणों का उपयोग करके आंशिक पुनर्प्राप्ति के लिए एक विंडो प्रदान करता है।

शोधकर्ताओं ने फ़ाइलकोडर-एन्क्रिप्टेड फ़ाइलों को डिक्रिप्ट करने का एक तरीका भी विकसित किया है। यह प्रक्रिया थकाऊ है और इसके लिए तकनीकी ज्ञान की आवश्यकता होती है, लेकिन यह पीड़ितों के लिए एक अंतिम उपाय है।

फ़ाइल पुनर्प्राप्ति का प्रयास करने के लिए, पीड़ितों को कई संसाधनों की आवश्यकता होती है: एक दूसरा कार्यशील कंप्यूटर, एन्क्रिप्टेड फ़ाइलों में से कम से कम एक की अनएन्क्रिप्टेड प्रतिलिपि, एक विश्वसनीय टेक्स्ट एडिटर, Xcode कमांड-लाइन टूल और pkcrack, एक उपयोगिता जो ज़िप फ़ाइल एन्क्रिप्शन पर ज्ञात-प्लेनटेक्स्ट हमला करता है।

हालाँकि, किसी फ़ाइल का मूल, अनएन्क्रिप्टेड संस्करण होना हमेशा अनिवार्य नहीं होता। अगर ऐसी कोई फ़ाइल उपलब्ध नहीं है, तो उपयोगकर्ता रैंसमवेयर का इस्तेमाल खुद के खिलाफ कर सकते हैं। ऐसे मामलों में जहाँ फ़ाइलकोडर ऐप को उपयोगकर्ता फ़ोल्डर, जैसे कि डाउनलोड निर्देशिका, से चलाया गया था, मैलवेयर ने संभवतः अपने ही एक्ज़ीक्यूटेबल को एन्क्रिप्ट कर दिया था। पीड़ित डिक्रिप्शन प्रक्रिया में सहायता के लिए संक्रमित एप्लिकेशन की एक नई कॉपी डाउनलोड कर सकते हैं।

शोधकर्ताओं ने चेतावनी दी है कि यह तरीका धीमा और श्रमसाध्य है, क्योंकि बल्क डिक्रिप्शन संभव नहीं है। फिर भी, जो लोग अपने डेटा तक फिर से पहुँच प्राप्त करना चाहते हैं, उनके लिए यह तरीका एक व्यवहार्य अंतिम उपाय है।

संक्रमण को रोकने के लिए सिद्ध सुरक्षा उपाय

FileCoder जैसे रैंसमवेयर संक्रमणों को रोकना, उनसे उबरने से कहीं ज़्यादा आसान है। अपने सिस्टम की सुरक्षा के लिए इन सुरक्षा उपायों का पालन करें:

1. सुरक्षित कंप्यूटिंग आदतें

• टोरेंट साइटों या अन्य असत्यापित स्रोतों से सॉफ्टवेयर या पैच डाउनलोड करने से बचें।
• हमेशा एप्लिकेशन हस्ताक्षरों की जांच करें और केवल विश्वसनीय डेवलपर्स या आधिकारिक मैक ऐप स्टोर से ही एप्लिकेशन इंस्टॉल करें।
• नवीनतम खतरों और सुरक्षा सलाह के बारे में जानकारी रखें।

2. मजबूत सिस्टम सुरक्षा

• एक प्रतिष्ठित एंटी-मैलवेयर समाधान सक्षम करें और उसे अद्यतन रखें।

इन प्रथाओं को संयोजित करके, आप रैनसमवेयर खतरों के प्रति अपने जोखिम को काफी हद तक कम कर सकते हैं और यह सुनिश्चित कर सकते हैं कि सबसे खराब स्थिति में भी, आपका डेटा सुरक्षित और पुनर्प्राप्त करने योग्य बना रहे।