NeZha रैंसमवेयर

रैंसमवेयर व्यक्तियों और संगठनों के सामने सबसे ज़्यादा विध्वंसकारी खतरों में से एक बना हुआ है। एक भी सफल घुसपैठ संचालन को रोक सकती है, संवेदनशील डेटा को दूषित या चुरा सकती है, और महंगे पुनर्प्राप्ति प्रयासों को शुरू कर सकती है। किसी घटना से पहले मज़बूत, स्तरित सुरक्षा तैयार करना ही, हमलावरों के अपनी किस्मत आज़माने पर, न कि तब, प्रभाव को कम करने का एकमात्र विश्वसनीय तरीका है।

खतरे का अवलोकन

शोधकर्ताओं ने नेझा रैंसमवेयर नामक एक परिष्कृत प्रकार की पहचान की है। इस श्रेणी के अन्य रैंसमवेयर परिवारों की तरह, नेझा का मुख्य उद्देश्य सरल है: अधिक से अधिक फ़ाइलों को एन्क्रिप्ट करना और फिर डिक्रिप्शन कुंजी के लिए भुगतान के लिए दबाव डालना। इसके संचालक खुद को पुनर्प्राप्ति का एकमात्र रास्ता बताते हैं और समय सीमा और डेटा लीक के खतरों के साथ दबाव बढ़ाते हैं।

सिस्टम पर व्यवहार और फ़ाइल परिवर्तन

एक बार जब NeZha अपनी पकड़ बना लेता है, तो यह उपयोगकर्ता और व्यावसायिक डेटा को सामान्य स्थानों पर एन्क्रिप्ट करना शुरू कर देता है। एन्क्रिप्शन के दौरान, यह पीड़ित-विशिष्ट पहचानकर्ता और '.NeZha' एक्सटेंशन जोड़कर आइटम का नाम भी बदल देता है। देखे गए मामलों में, फ़ाइल नामों को GUID जैसी पहचान मिल जाती है; उदाहरण के लिए, '1.png' जैसी एक सामान्य फ़ाइल को '1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha' जैसे नाम में बदला गया है। अपना पास पूरा करने के बाद, NeZha प्रभावित निर्देशिकाओं में 'README.TXT' शीर्षक से एक फिरौती नोट छोड़ देता है।

फिरौती नोट और दबाव की रणनीति

नोट में दावा किया गया है कि डेटाबेस, दस्तावेज़, फ़ोटो और अन्य फ़ाइलें एन्क्रिप्टेड हैं और हमलावरों से डिक्रिप्शन कुंजी खरीदना ही एकमात्र उपाय है। विश्वसनीयता बढ़ाने के लिए, अपराधी अक्सर एक गैर-महत्वपूर्ण फ़ाइल को मुफ़्त में डिक्रिप्ट करने की पेशकश करते हैं। वे लॉक की गई फ़ाइलों में बदलाव करने, किसी तीसरे पक्ष के डिक्रिप्टर का इस्तेमाल करने या बाहरी मदद लेने के ख़िलाफ़ चेतावनी देते हैं, क्योंकि उनका दावा है कि इससे नुकसान बढ़ सकता है। शुरुआती संपर्क के लिए 24 घंटे की समय-सीमा तय की जाती है; अगर चूक हो जाती है, तो ऑपरेटर कंपनी के संवेदनशील डेटा को लीक करने या बेचने की धमकी देते हैं, जिसके बारे में उनका दावा है कि उन्होंने उसे चुरा लिया है, जो 'दोहरी जबरन वसूली' का एक उदाहरण है।

वसूली की वास्तविकता और भुगतान की दुविधा

तकनीकी रूप से, अधिकांश आधुनिक रैंसमवेयर को हमलावर की निजी कुंजियों के बिना डिक्रिप्ट नहीं किया जा सकता, जब तक कि मैलवेयर में गंभीर खामियाँ न हों, जो एक असामान्य स्थिति है। हालाँकि, भुगतान करना जोखिम भरा और हतोत्साहित करने वाला है: कई पीड़ितों को धनराशि स्थानांतरित करने के बाद भी काम करने वाले डिक्रिप्टर कभी नहीं मिलते, और भुगतान से आपराधिक गतिविधि जारी रहती है। सुरक्षित तरीका साफ़, ऑफ़लाइन बैकअप और औपचारिक घटना प्रतिक्रिया पर निर्भर रहना है।

रोकथाम और निष्कासन

NeZha को हटाने से आगे एन्क्रिप्शन रुक जाता है, लेकिन पहले से प्रभावित फ़ाइलें अनलॉक नहीं होतीं। प्राथमिकताएँ संक्रमित सिस्टम को नेटवर्क से अलग करना, फोरेंसिक जाँच के लिए सबूत सुरक्षित रखना, विश्वसनीय टूल या क्लीन रीबिल्ड का इस्तेमाल करके मैलवेयर को हटाना, और फिर ज्ञात-अच्छे बैकअप से पुनर्स्थापित करना होनी चाहिए। अगर आपको डेटा एक्सफ़िल्ट्रेशन का संदेह है, तो अपनी ब्रीच रिस्पांस प्लान को सक्रिय करें और कानूनी, नियामक और ग्राहक सूचना संबंधी दायित्वों पर विचार करें।

नेझा आमतौर पर कैसे फैलता है

नेज़ा कई रैंसमवेयर अभियानों की रणनीति का पालन करता है, और उपयोगकर्ता-संचालित और हमलावर-संचालित, दोनों तरह के वितरण तरीकों का इस्तेमाल करता है। हमलावर पेलोड को वैध सामग्री के रूप में छिपा सकते हैं या उन्हें सॉफ़्टवेयर बंडलों में डाल सकते हैं, और फिर जब कोई फ़ाइल खोली जाती है या कोई स्क्रिप्ट चलाई जाती है, तो निष्पादन शुरू कर सकते हैं। कुछ प्रकार स्थानीय नेटवर्क में पार्श्विक रूप से भी फैल सकते हैं या खुद को हटाने योग्य मीडिया पर कॉपी कर सकते हैं।

सामान्य वितरण वेक्टर

• फ़िशिंग और सोशल इंजीनियरिंग के कारण संदिग्ध अनुलग्नक (Office/OneNote/PDF), स्क्रिप्ट (JavaScript), अभिलेख (ZIP/RAR), या निष्पादनयोग्य (.exe/.run) खुल जाते हैं।
• ट्रोजनकृत इंस्टॉलर, लोडर और बैकडोर जो दूसरे चरण के रूप में रैनसमवेयर को खींचते हैं।
• समझौता किए गए या दुर्भावनापूर्ण साइटों से ड्राइव-बाय और भ्रामक डाउनलोड।
• अविश्वसनीय डाउनलोड स्रोत (फ्रीवेयर पोर्टल, तृतीय-पक्ष मिरर, पी2पी नेटवर्क)।
• स्पैम अभियान, ऑनलाइन घोटाले और मालवेयर विज्ञापन जो पेलोड पर पुनर्निर्देशित करते हैं।
• अवैध सक्रियण उपकरण ('क्रैक'), पायरेटेड सॉफ्टवेयर/मीडिया, और नकली अपडेट संकेत।
• स्थानीय नेटवर्क और हटाने योग्य भंडारण (यूएसबी ड्राइव, बाहरी एचडीडी) के माध्यम से स्वयं प्रसार।

समापन विचार

NeZha आधुनिक रैंसमवेयर के अनुरूप है: तेज़ एन्क्रिप्शन, कड़ी ज़बरदस्ती, और डेटा एक्सपोज़र के विश्वसनीय खतरे। किसी भी घटना से पहले, कड़ी सफ़ाई, स्तरित नियंत्रण, परीक्षित बैकअप और अभ्यासपूर्ण प्रतिक्रिया के ज़रिए, आपको सबसे अच्छा लाभ मिलता है। तकनीकी सुरक्षा उपायों को उपयोगकर्ता शिक्षा और अनुशासित संचालन के साथ मिलाकर NeZha हमले की संभावना और उसके प्रभाव क्षेत्र को कम करें।