RDAT रैंसमवेयर

रैंसमवेयर घरेलू उपयोगकर्ताओं और संगठनों के सामने सबसे ज़्यादा विध्वंसकारी खतरों में से एक बना हुआ है। एक छोटी सी घुसपैठ मिनटों में दस्तावेज़ों, फ़ोटो और व्यावसायिक डेटा को नष्ट कर सकती है, और फिर पीड़ितों से एक्सेस के लिए पैसे ऐंठ सकती है। RDAT रैंसमवेयर, जो कि विपुल धर्मा परिवार की एक शाखा है, यह दर्शाता है कि स्तरित सुरक्षा और अनुशासित पुनर्प्राप्ति योजना क्यों ज़रूरी है।

ख़तरा प्रोफ़ाइल: आरडीएटी पर एक नज़र

इन्फोसेक के शोधकर्ताओं ने उभरते मैलवेयर की व्यापक समीक्षा के दौरान आरडीएटी की पहचान की। यह डेटा जबरन वसूली के लिए बनाया गया एक धर्मा-प्रकार है: यह फ़ाइलों को एन्क्रिप्ट करता है और पीड़ितों पर डिक्रिप्शन के लिए भुगतान करने का दबाव डालता है। आरडीएटी स्थानीय ड्राइव और नेटवर्क शेयर, दोनों को निशाना बनाता है, जानबूझकर महत्वपूर्ण सिस्टम फ़ाइलों से बचता है ताकि डिवाइस बूट करने योग्य रहे और पीड़ित फिरौती के नोट पढ़ सके।

पीड़ित क्या देखते हैं

एक बार RDAT लागू हो जाने पर, यह कई प्रकार की फ़ाइलों को एन्क्रिप्ट कर देता है। फ़ाइल नामों में एक विशिष्ट पीड़ित आईडी, हमलावर का ईमेल पता और '.RDAT' एक्सटेंशन शामिल करने के लिए बदलाव किए जाते हैं, उदाहरण के लिए:
1.png बन जाता है 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

इसके बाद दो फिरौती के नोट आते हैं: एक पॉप-अप विंडो जिसमें बताया गया है कि फ़ाइलें एन्क्रिप्टेड हैं और 'DAT_INFO.txt' नाम की एक टेक्स्ट फ़ाइल जिसमें संपर्क निर्देश हैं। ऑपरेटर सबूत के तौर पर अधिकतम तीन फ़ाइलों (आकार/प्रारूप सीमा के अधीन) को डिक्रिप्ट करने की पेशकश करते हैं, साथ ही चेतावनी देते हैं कि तृतीय-पक्ष टूल का उपयोग करने या एन्क्रिप्टेड डेटा में बदलाव करने से स्थायी नुकसान हो सकता है। ये हथकंडे विश्वसनीयता और तात्कालिकता बढ़ाने के लिए बनाए गए हैं, आपकी मदद करने के लिए नहीं।

आरडीएटी कैसे रहता है और फैलता है

RDAT, Dharma की दृढ़ता और पुनर्प्राप्ति-विरोधी कार्य-प्रणाली को अपनाता है। यह मैलवेयर स्वयं को %LOCALAPPDATA% में कॉपी करता है, विशिष्ट रन कुंजियों के माध्यम से ऑटोरन प्रविष्टियों को पंजीकृत करता है, और रीबूट के बाद पुनः लॉन्च होता है। त्वरित पुनर्स्थापना को रोकने के लिए, यह वॉल्यूम शैडो कॉपीज़ को हटा देता है। एन्क्रिप्ट करने से पहले, यह उन प्रक्रियाओं को समाप्त कर देता है जो फ़ाइलों को खुला रख सकती हैं (डेटाबेस, दस्तावेज़ रीडर, आदि), जिससे अधिकतम कवरेज सुनिश्चित होता है। यह अन्य रैंसमवेयर द्वारा पहले से ही प्रभावित डेटा को 'दोहरे एन्क्रिप्ट' से बचाने के लिए एक ज्ञात सूची, जो एक अपूर्ण सुरक्षा जाँच है, के विरुद्ध जाँच करता है।

लक्ष्य चयन और जियोफेंसिंग

मैलवेयर यह जानने के लिए भौगोलिक स्थान का डेटा एकत्र करता है कि पीड़ित भुगतान करने की संभावना रखता है या नहीं। यदि क्षेत्र आर्थिक या भू-राजनीतिक कारणों से प्रतिकूल प्रतीत होता है, तो यह एन्क्रिप्शन को पूरी तरह से छोड़ सकता है। यह व्यवहार विशुद्ध रूप से फिरौती की अधिकतम प्राप्ति के लिए होता है।

भुगतान करना क्यों एक हारी हुई शर्त है

रैंसमवेयर हमले के बाद डिक्रिप्शन आमतौर पर हमलावर की कुंजियों के बिना असंभव होता है, जब तक कि स्ट्रेन में गंभीर खामियाँ न हों। फिर भी, भुगतान करना जोखिम भरा है: कई पीड़ितों को कभी भी काम करने वाले डिक्रिप्टर नहीं मिलते। भुगतान से और भी हमलों को बढ़ावा मिलता है। ज़िम्मेदारी भरा रास्ता मैलवेयर को खत्म करना, विश्वसनीय बैकअप से पुनर्निर्माण करना और ऐसी घटनाओं की पुनरावृत्ति को रोकने के लिए सिस्टम को मज़बूत बनाना है।

पुष्टिकृत वितरण चैनल

धर्मा-परिवार की घुसपैठ अक्सर उजागर या कमज़ोर रूप से संरक्षित रिमोट डेस्कटॉप प्रोटोकॉल (RDP) से शुरू होती है। हमलावर ब्रूट-फोर्स और डिक्शनरी हमलों का सहारा लेते हैं और एक बार अंदर घुसने पर, होस्ट फ़ायरवॉल को निष्क्रिय कर सकते हैं। RDP के अलावा, यह पारिस्थितिकी तंत्र फ़िशिंग और सोशल इंजीनियरिंग, मैलवेयर, अविश्वसनीय सॉफ़्टवेयर स्रोतों, स्पैम अटैचमेंट और लोडर/बैकडोर ट्रोजन का भी लाभ उठाता है। दुर्भावनापूर्ण पेलोड आमतौर पर अभिलेखागार (RAR/ZIP), निष्पादन योग्य फ़ाइलों, स्क्रिप्ट (जावास्क्रिप्ट सहित), और दस्तावेज़ों (PDF, Office, OneNote) के रूप में भेजे जाते हैं। कुछ परिवार स्थानीय नेटवर्क और हटाने योग्य मीडिया के माध्यम से भी फैलते हैं।

रोकथाम और पुनर्प्राप्ति

आगे के एन्क्रिप्शन को रोकने के लिए रैंसमवेयर को हटा दें, लेकिन ध्यान रखें कि हटाने से लॉक की गई फ़ाइलें वापस नहीं आतीं। रिकवरी के लिए साफ़, वर्ज़न वाले बैकअप की ज़रूरत होती है। सबसे ज़रूरी मानक यह है कि कई जगहों और मीडिया प्रकारों में कॉपी बनाए रखी जाएँ, जिसमें ऑफ़लाइन स्टोरेज भी शामिल है जिसे मैलवेयर छू नहीं सकता।

रैनसमवेयर खतरों के लिए सामान्य पहुंच और वितरण वैक्टर में शामिल हैं:

• उजागर/कमजोर RDP सेवाएँ, क्रेडेंशियल स्टफिंग, और ब्रूट-फोर्स लॉगिन
• फ़िशिंग ईमेल, सामाजिक इंजीनियरिंग प्रलोभन, स्पैम संलग्नक और लिंक, मैलवेयर, ट्रोजन डाउनलोड, ड्राइव-बाय डाउनलोड, पायरेटेड सॉफ़्टवेयर और 'क्रैक', नकली अपडेटर, और लोडर/बैकडोर संक्रमण; लैन और हटाने योग्य यूएसबी/भंडारण उपकरणों के माध्यम से पार्श्व प्रसार

जमीनी स्तर

आरडीएटी रैनसमवेयर एक अनुशासित, लाभ-केंद्रित धर्मा संस्करण है: यह रीबूट के दौरान भी बना रहता है, रिकवरी पॉइंट्स को मिटा देता है, स्थानीय और साझा दोनों तरह के डेटा को निशाना बनाता है, और भुगतान प्राप्त करने के लिए दबाव की रणनीति को हथियार बनाता है। लचीलेपन का सबसे विश्वसनीय तरीका सक्रिय रूप से कठोरीकरण के साथ-साथ मज़बूत, ऑफ़लाइन-सक्षम बैकअप और अच्छी तरह से अभ्यास की गई रिकवरी है। भुगतान न करें; मिटाएँ, पुनर्स्थापित करें, और अगली कोशिश को रोकने के लिए सुरक्षा को मज़बूत करें।