श्रिंकलॉकर रैनसमवेयर

कई रैनसमवेयर ऑपरेटर अपने मैलवेयर खतरों में क्रिप्टो-लॉकिंग तंत्र को एकीकृत करने की आवश्यकता पर सवाल उठा रहे हैं, क्योंकि विंडोज के भीतर माइक्रोसॉफ्ट के मजबूत एन्क्रिप्शन सॉफ्टवेयर की उपलब्धता है। साइबर सुरक्षा विशेषज्ञों द्वारा उजागर किया गया एक उल्लेखनीय उदाहरण श्रिंकलॉकर है। यह रैनसमवेयर वैरिएंट विंडोज बिटलॉकर का उपयोग करके कॉर्पोरेट सिस्टम को एन्क्रिप्ट करने के लिए एक नया बूट पार्टीशन स्थापित करता है।

ख़तरा पैदा करने वाले लोग वैध विंडोज फ़ीचर का दुरुपयोग करके डेटा लॉक करते हैं

रैनसमवेयर द्वारा कंप्यूटर को एन्क्रिप्ट करने के लिए बिटलॉकर का उपयोग करने के उदाहरण असामान्य नहीं हैं। एक मामले में, एक ख़तरनाक अभिनेता ने बेल्जियम के एक अस्पताल में 40 सर्वरों में 100TB डेटा एन्क्रिप्ट करने के लिए Windows के भीतर इस सुरक्षा सुविधा का लाभ उठाया। इसी तरह, एक अन्य हमलावर ने मास्को स्थित मांस उत्पादक और वितरक के सिस्टम को एन्क्रिप्ट करने के लिए बिटलॉकर का उपयोग किया। Microsoft ने सितंबर 2022 में एक चेतावनी जारी की, जिसमें खुलासा किया गया कि एक ईरानी राज्य-प्रायोजित हमलावर ने Windows 10, Windows 11 या Windows Server 2016 और नए चलाने वाले सिस्टम को एन्क्रिप्ट करने के लिए बिटलॉकर का उपयोग किया था।

हालांकि, श्रिंकलॉकर की जांच करने पर, विशेषज्ञों ने चेतावनी दी है कि इस खतरे में पहले से अज्ञात विशेषताएं हैं, जिनका उद्देश्य हमले के प्रभाव की सीमा को बढ़ाना है।

ShrinkLocker केवल तभी क्रियान्वित किया जाता है जब कुछ विनिर्देश पूरे किए जाते हैं

श्रिंकलॉकर, विजुअल बेसिक स्क्रिप्टिंग (VBScript) में कोडित है, जो माइक्रोसॉफ्ट द्वारा 1996 में शुरू की गई एक भाषा है और अब यह समाप्त होने वाली है। इसकी कार्यक्षमताओं में, यह खतरा Win32_OperatingSystem वर्ग के साथ Windows प्रबंधन इंस्ट्रूमेंटेशन (WMI) का उपयोग करके लक्ष्य मशीन पर चल रहे विशिष्ट Windows संस्करण की पहचान करने की क्षमता प्रदर्शित करता है।

हमला केवल विशिष्ट परिस्थितियों में ही होता है, जैसे कि वर्तमान डोमेन लक्ष्य से मेल खाता हो और ऑपरेटिंग सिस्टम (OS) संस्करण विस्टा से नया हो। अन्यथा, ShrinkLocker स्वचालित रूप से समाप्त हो जाता है और स्वयं को हटा देता है। जब लक्ष्य हमले के मानदंडों को पूरा करता है, तो मैलवेयर विंडोज में डिस्क पार्ट यूटिलिटी का उपयोग करके प्रत्येक गैर-बूट विभाजन को 100MB तक छोटा कर देता है, जिससे आवंटित स्थान समान आकार के नए प्राथमिक वॉल्यूम में विभाजित हो जाता है।

शोधकर्ताओं ने पाया कि विंडोज 2008 और 2012 में, श्रिंकलॉकर रैनसमवेयर शुरू में बूट फ़ाइलों को अन्य वॉल्यूम के इंडेक्स के साथ सुरक्षित रखता है। शोधकर्ताओं के तकनीकी विश्लेषण में उल्लिखित अनुसार, इसी तरह के आकार बदलने के ऑपरेशन अन्य विंडोज ओएस संस्करणों पर भी किए जाते हैं, हालांकि अलग-अलग कोड सेगमेंट के साथ। इसके बाद, मैलवेयर नए बनाए गए विभाजनों पर बूट फ़ाइलों को फिर से स्थापित करने के लिए BCDEdit कमांड-लाइन टूल का उपयोग करता है।

श्रिंकलॉकर रैनसमवेयर पूरे ड्राइव पार्टीशन पर मौजूद डेटा को अनुपयोगी बना देता है

श्रिंकलॉकर रिमोट डेस्कटॉप कनेक्शन को अक्षम करने या ट्रस्टेड प्लेटफ़ॉर्म मॉड्यूल (TPM) के बिना होस्ट पर बिटलॉकर एन्क्रिप्शन को सक्षम करने के लिए रजिस्ट्री प्रविष्टियों को भी संशोधित करता है। यह समर्पित चिप हार्डवेयर-आधारित, सुरक्षा-संबंधी फ़ंक्शन प्रदान करता है।

ShrinkLocker के पीछे का खतरा पैदा करने वाला व्यक्ति पीड़ित के साथ संचार चैनल स्थापित करने के लिए फिरौती की फ़ाइल नहीं छोड़ता है। इसके बजाय, वे नए बूट पार्टीशन के लेबल के रूप में एक संपर्क ईमेल पता (onboardingbinder@proton.me, conspiracyid9@protonmail.com) प्रदान करते हैं। हालाँकि, यह लेबल एडमिन को तब तक दिखाई नहीं देगा जब तक कि वे रिकवरी एनवायरनमेंट या अन्य डायग्नोस्टिक टूल के माध्यम से डिवाइस को बूट नहीं करते हैं, जिससे इसे मिस करना काफी आसान हो जाता है।

ड्राइव को एन्क्रिप्ट करने के बाद, खतरा पैदा करने वाला व्यक्ति बिटलॉकर प्रोटेक्टर्स (जैसे, टीपीएम, पिन, स्टार्टअप कुंजी, पासवर्ड, रिकवरी पासवर्ड, रिकवरी कुंजी) को हटा देता है, ताकि पीड़ित को बिटलॉकर की एन्क्रिप्शन कुंजी को पुनर्प्राप्त करने का कोई विकल्प न मिल सके, जिसे हमलावर को भेजा जाता है।

फ़ाइलों को एन्क्रिप्ट करने के लिए उत्पन्न कुंजी 0-9 संख्याओं, विशेष वर्णों और होलोअल्फाबेटिक वाक्य 'द क्विक ब्राउन फॉक्स जंप्स ओवर द लेज़ी डॉग' के साथ एक चर के यादृच्छिक गुणन और प्रतिस्थापन का 64-वर्ण संयोजन है। कुंजी TryCloudflare टूल के माध्यम से वितरित की जाती है, जो डेवलपर्स के लिए CloudFlare के DNS में साइट जोड़े बिना CloudFlare के टनल के साथ प्रयोग करने के लिए एक वैध सेवा है।

हमले के अंतिम चरण में, ShrinkLocker सभी परिवर्तनों को प्रभावी करने के लिए सिस्टम को बंद करने के लिए मजबूर करता है और उपयोगकर्ता के पास ड्राइव लॉक हो जाती है तथा बिटलॉकर रिकवरी विकल्प नहीं बचता।

श्रिंकलॉकर के खतरे वाले अभिनेता शायद वित्तीय रूप से प्रेरित नहीं हैं

बिटलॉकर रिकवरी स्क्रीन पर एक व्यक्तिगत संदेश तैयार करने का विकल्प प्रदान करता है, जो पीड़ितों को जबरन वसूली का संदेश प्रदर्शित करने के लिए एक आदर्श मंच प्रदान करता है। प्रमुख रूप से प्रदर्शित फिरौती नोट की अनुपस्थिति और केवल ड्राइव लेबल के रूप में निर्दिष्ट ईमेल से यह संकेत मिल सकता है कि ये हमले वित्तीय उद्देश्यों से प्रेरित होने के बजाय प्रकृति में अधिक विनाशकारी होने का इरादा रखते हैं।

शोधकर्ताओं ने पता लगाया है कि श्रिंकलॉकर कई रूपों में प्रकट होता है और इसे सरकारी संस्थाओं के साथ-साथ मैक्सिको, इंडोनेशिया और जॉर्डन में इस्पात और वैक्सीन निर्माण क्षेत्रों के संगठनों के खिलाफ तैनात किया गया है।

अपने सिस्टम पर बिटलॉकर का उपयोग करने वाली कंपनियों को रिकवरी कुंजियों के सुरक्षित भंडारण को सुनिश्चित करने और नियमित ऑफ़लाइन बैकअप बनाए रखने की दृढ़ता से सलाह दी जाती है, जिनका समय-समय पर परीक्षण किया जाता है। इसके अलावा, संगठनों से बिटलॉकर के दुरुपयोग के प्रयासों का पता लगाने, न्यूनतम उपयोगकर्ता विशेषाधिकार लागू करने, नेटवर्क ट्रैफ़िक (GET और POST अनुरोधों सहित) की व्यापक लॉगिंग और निगरानी सक्षम करने, VBS और PowerShell निष्पादन से जुड़ी घटनाओं को ट्रैक करने और प्रासंगिक स्क्रिप्ट लॉग करने के लिए उचित रूप से कॉन्फ़िगर किए गए एंडपॉइंट प्रोटेक्शन प्लेटफ़ॉर्म (EPP) समाधान को तैनात करने का आग्रह किया जाता है।

श्रिंकलॉकर रैनसमवेयर वीडियो

युक्ति: अपनी ध्वनि चालू करें और वीडियो को पूर्ण स्क्रीन मोड में देखें ।