सोडिनोकिबी रैंसमवेयर

सोडिनोकिबी रैंसमवेयर विवरण

प्रकार: Ransomware

सोडिनोकिबी रेजीडैंसमाइरेटर्स Sodinokibi Ransomware एक नया मैलवेयर खतरा है जो साइबर क्रिमिनल सर्कल्स में कर्षण प्राप्त कर रहा है। हालांकि सोडिनोकिबी ठेठ रैंसमवेयर फैशन में काम करता है - यह पीड़ित के कंप्यूटर में घुसपैठ करता है, फाइलों को एन्क्रिप्ट करने के लिए एक मजबूत एन्क्रिप्शन एल्गोरिदम का उपयोग करता है, और उनकी बहाली के लिए भुगतान की मांग करता है, इसके अंतर्निहित कोड का विश्लेषण करने से पता चलता है कि यह एक पूरी तरह से नया मैलवेयर तनाव है और अद्यतन नहीं है पहले से मौजूद रैंसमवेयर का संस्करण।

जीरो-डे एक्सप्लॉइट पहले सोडिनोकिबी हमले की सुविधा देता है

सोडिनोकिबी का पहली बार 25 अप्रैल को पता चला था जब इसका इस्तेमाल एक ऐसे हमले में किया गया था जो एक शून्य-दिवसीय Oracle WebLogic सर्वर भेद्यता का शोषण करता था। शून्य-दिन के शोषण की गंभीरता को कम करके नहीं आंका जा सकता क्योंकि यह किसी भी अन्य आवश्यक प्रमाणीकरण क्रेडेंशियल के बिना कोड के दूरस्थ निष्पादन की अनुमति देता है। Oracle ने 26 अप्रैल को अपने नियमित पैच चक्र के बाहर, इसे ठीक करने और CVE-2019-2725 के रूप में भेद्यता निर्दिष्ट करने के लिए एक पैच जारी किया।

शोषण के माध्यम से हमलावर किसी भी उपयोगकर्ता इनपुट की आवश्यकता के बिना सोडिनोकिबी पेलोड को एंडपॉइंट मशीनों पर डाउनलोड करने में सक्षम थे। आमतौर पर रैंसमवेयर के खतरों के लिए संक्रमण शुरू होने से पहले पीड़ितों से कम से कम कुछ बातचीत की आवश्यकता होती है। एक बार अंदर जाने के बाद, सोडिनोकिबी निम्नलिखित एक्सटेंशन के साथ सभी फाइलों को एन्क्रिप्ट करना शुरू कर देता है:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, . prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, . pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, . qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, . सीडीआर, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, , .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, . clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar।

प्रत्येक संक्रमित प्रणाली के लिए, सोडिनोकिबी एक अलग अल्फ़ान्यूमेरिक स्ट्रिंग उत्पन्न करता है जो 5 और 9 वर्णों के बीच लंबा हो सकता है और इसे प्रत्येक सफलतापूर्वक एन्क्रिप्ट की गई फ़ाइल में एक नए एक्सटेंशन के रूप में जोड़ता है। रैंसमवेयर फिर एन्क्रिप्टेड फाइलों वाले प्रत्येक फ़ोल्डर में फिरौती नोट के साथ एक टेक्स्ट या एचटीए फाइल बनाता है। फिरौती नोट का नाम पैटर्न का अनुसरण करता है - [रैंडम एक्सटेंशन]-HOW-TO-DECRYPT.txt। उदाहरण के लिए, यदि सोडिनोकिबी ने विशेष मशीन के विस्तार के रूप में a5b892t उत्पन्न किया है, तो फिरौती नोट का नाम a5b892t-HOW-TO-DECRYPT.txt रखा जाएगा।

मालवेयर में इस सप्ताह Ep2: Sodinokibi Ransomware एक रैंसमवेयर-ए-ए-सर्विस है

Sodinokibi रैंसमवेयर में "cmd.exe" का उपयोग करने की कार्यक्षमता है, ताकि उपयोगकर्ताओं को डिफ़ॉल्ट विंडोज बैकअप यांत्रिकी के माध्यम से एन्क्रिप्टेड फ़ाइलों को पुनर्स्थापित करने से रोकने के लिए vssadmin उपयोगिता को निष्पादित किया जा सके। अधिक विशेष रूप से, रैंसमवेयर प्रभावित फाइलों की शैडो वॉल्यूम कॉपी को हटाने और विंडोज स्टार्टअप मरम्मत को अक्षम करने के लिए निम्नलिखित कमांड निष्पादित करता है:

C:\Windows\System32\cmd.exe" /c vssadmin.exe छाया हटाएं /सभी /शांत और bcdedit /set {डिफ़ॉल्ट} पुनर्प्राप्ति सक्षम नहीं और bcdedit /set {डिफ़ॉल्ट} bootstatuspolicy सभी विफलताओं को अनदेखा करें

सोडिनोकिबी डिक्रिप्शन के लिए मोटी रकम की मांग करता है

फिरौती नोट के मुख्य भाग में अपने निर्देश और मांगों को रखने के बजाय, सोडिनोकिबी के अपराधी सभी प्रभावित उपयोगकर्ताओं को दो वेबसाइटों की ओर निर्देशित करते हैं - एक .ऑनियन साइट जो टीओआर नेटवर्क पर होस्ट की जाती है और एक इंटरनेट के सार्वजनिक भाग पर "डिक्रिप्टर [।]ऊपर।" नोट का पूरा पाठ है:

"--=== स्वागत है। फिर से। ===---

[+] क्या होता है? [+]

आपकी फ़ाइलें एन्क्रिप्ट की गई हैं, और वर्तमान में अनुपलब्ध हैं। आप इसकी जांच कर सकते हैं: आपके कंप्यूटर की सभी फाइलों का विस्तार ---------- है।
वैसे, सब कुछ ठीक करना (बहाल करना) संभव है, लेकिन आपको हमारे निर्देशों का पालन करने की आवश्यकता है। अन्यथा, आप अपना डेटा वापस नहीं कर सकते (कभी नहीं)।

[+] क्या गारंटी? [+]

यह सिर्फ एक व्यवसाय है। लाभ प्राप्त करने के अलावा, हमें आपकी और आपके सौदों की बिल्कुल परवाह नहीं है। अगर हम अपना काम और दायित्व नहीं निभाते हैं - कोई भी हमारा सहयोग नहीं करेगा। यह हमारे हित में नहीं है।
फ़ाइलों को वापस करने की क्षमता की जांच करने के लिए, आपको हमारी वेबसाइट पर जाना चाहिए। वहां आप एक फाइल को मुफ्त में डिक्रिप्ट कर सकते हैं। यही हमारी गारंटी है।
यदि आप हमारी सेवा में सहयोग नहीं करेंगे - हमारे लिए, इससे कोई फर्क नहीं पड़ता। लेकिन आप अपना समय और डेटा खो देंगे, क्योंकि हमारे पास निजी कुंजी है। व्यवहार में - समय धन से कहीं अधिक मूल्यवान है।

[+] वेबसाइट पर कैसे पहुँच प्राप्त करें? [+]

आपके पास दो तरीके हैं:

१) [अनुशंसित] टीओआर ब्राउज़र का उपयोग करना!
ए) इस साइट से टीओआर ब्राउज़र डाउनलोड और इंस्टॉल करें: hxxps://torproject.org/
b) हमारी वेबसाइट खोलें: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) यदि आपके देश में टीओआर अवरुद्ध है, तो वीपीएन का उपयोग करने का प्रयास करें! लेकिन आप हमारी सेकेंडरी वेबसाइट का इस्तेमाल कर सकते हैं। इसके लिए:
a) अपना कोई भी ब्राउज़र खोलें (Chrome, Firefox, Opera, IE, Edge)
बी) हमारी माध्यमिक वेबसाइट खोलें: http://decryptor.top/913AED0B5FE1497D

चेतावनी: द्वितीयक वेबसाइट को अवरुद्ध किया जा सकता है, इसलिए पहला संस्करण बहुत बेहतर और अधिक उपलब्ध है।

जब आप हमारी वेबसाइट खोलते हैं, तो निम्नलिखित डेटा को इनपुट फॉर्म में डालें:
चाभी:

-

एक्सटेंशन का नाम:

-----------

-------------------------------------------------- ---------------------------------------

!!! खतरा !!!
फ़ाइलों को स्वयं बदलने का प्रयास न करें, अपने डेटा या एंटीवायरस समाधानों को पुनर्स्थापित करने के लिए किसी तीसरे पक्ष के सॉफ़्टवेयर का उपयोग न करें - इससे निजी कुंजी को नुकसान हो सकता है और परिणामस्वरूप, सभी डेटा का नुकसान हो सकता है।
!!! !!! !!!
एक बार और: अपनी फ़ाइलें वापस प्राप्त करना आपके हित में है। हमारी ओर से, हम (सर्वश्रेष्ठ विशेषज्ञ) सब कुछ बहाल करने के लिए करते हैं, लेकिन कृपया हस्तक्षेप नहीं करना चाहिए।
!!! !!! !!!"

नोट में सूचीबद्ध साइटों में से किसी एक तक पहुंचने के लिए, उपयोगकर्ताओं को एक विशिष्ट कुंजी इनपुट करनी होगी जो फिरौती नोट की टेक्स्ट फ़ाइल में पाई जा सकती है। एक बार कोड दर्ज करने के बाद, उन्हें निम्नलिखित लैंडिंग पृष्ठ पर ले जाया जाएगा जो कंप्यूटर सिस्टम के लिए विशिष्ट एक्सटेंशन आईडी कोड प्रदर्शित करेगा और एक उलटी गिनती टाइमर दिखाएगा कि दो दिनों में फिरौती राशि आकार में दोगुनी हो जाएगी - $ 2500 से $ 5000 तक, बिटकॉइन क्रिप्टोक्यूरेंसी में देय। वेबसाइट हर 3 घंटे में बिटकॉइन/यूएसडी दर की पुनर्गणना करती है और दिखाए गए नंबरों को अपडेट करती है।

सोडिनोकिबी रेफर

सोडिनोकिबी रैनसमवेयर ने अपनी पहुंच का विस्तार किया

ओरेकल वेबलॉजिक जीरो-डे को बंद करने वाले पैच के बाद, शोधकर्ताओं ने देखा कि सोडिनोकिबी रैंसमवेयर को वितरित करने के लिए नियोजित हमले वैक्टर में वृद्धि हुई है। वास्तव में, लगभग सभी संभावित वितरण विधियों का अब प्रयास किया गया है:

स्पैम ईमेल अभियान - जर्मन उपयोगकर्ताओं को एक दुर्भावनापूर्ण स्पैम अभियान द्वारा लक्षित किया गया था, जिसमें सोडिनोकिबी पेलोड को समझौता किए गए ईमेल अनुलग्नकों में तत्काल फौजदारी सूचनाओं के रूप में प्रस्तुत किया गया था। एक अन्य ईमेल अभियान ने Booking.com से "नई बुकिंग" होने का दिखावा किया। कथित बुकिंग जानकारी तक पहुँचने के लिए, उपयोगकर्ताओं को एक शब्द फ़ाइल खोलनी होगी और फिर मैक्रोज़ के निष्पादन की अनुमति देनी होगी। ऐसा करने से सोडिनोकिबी रैंसमवेयर संक्रमण शुरू हो जाएगा।

वैध सॉफ्टवेयर डाउनलोड को बदलना - TG सॉफ्ट के अनुसार , एक इतालवी WinRar वितरक ने अपनी साइट से छेड़छाड़ की, जिसके परिणामस्वरूप WinRar प्रोग्राम के बजाय Sodinokibi रैंसमवेयर डाउनलोड हो गया।

हैक किए गए प्रबंधित सेवा प्रदाता (MSPs) - कई प्रबंधित सेवा प्रदाताओं को उनके ग्राहकों को सोडिनोकिबी रैंसमवेयर वितरित करने के लिए हैक किया गया था। जाहिर तौर पर हमलावरों ने प्रभावित एमएसपी के नेटवर्क में प्रवेश करने के लिए रिमोट डेस्कटॉप सर्विसेज का इस्तेमाल किया और फिर रैंसमवेयर फाइलों को मैनेजमेंट कंसोल के जरिए क्लाइंट्स की एंडपॉइंट मशीनों पर धकेल दिया।

एक्सप्लॉइट किट - पॉपकैश विज्ञापन नेटवर्क पर विज्ञापनों के माध्यम से विज्ञापन अभियान कुछ शर्तों के तहत उपयोगकर्ताओं को आरआईजी एक्सप्लॉइट किट ले जाने वाली वेबसाइटों पर पुनर्निर्देशित करता प्रतीत होता है।

यह स्पष्ट से अधिक है कि सोडिनोकिबी सहयोगी अधिक महत्वाकांक्षी हो रहे हैं और अब गैंडक्रैब रैनसमवेयर ऑपरेटरों द्वारा अपने संचालन को बंद करने और फिरौती के भुगतान में $ 2 बिलियन से अधिक उत्पन्न होने का दावा करने के परिणामस्वरूप पैदा हुए शून्य को भरने की कोशिश कर रहे हैं।

Sodinokibi Ransomware रफ खेलना शुरू करता है

सोडिनोकिबी रैंसमवेयर के पीछे के खतरे वाले अभिनेताओं ने 2019 को एक उच्च नोट पर समाप्त कर दिया , जो यूके में स्थित एक विदेशी मुद्रा कंपनी ट्रैवेलेक्स को मार रहा था, और दुनिया भर में 70 से अधिक देशों में काम कर रहा था। लगभग 30 देशों में ट्रैवेलेक्स की वेबसाइटों को नए साल की पूर्व संध्या पर हटाना पड़ा, जो 'नियोजित रखरखाव' प्रतीत होता था, लेकिन सोडिनोकिबी रैंसमवेयर को फैलने से रोकने के लिए एक प्रतिवाद साबित हुआ। हमले ने ट्रैवेलेक्स के भागीदारों को भी प्रभावित किया, जैसे एचएसबीसी, बार्कलेज, सेन्सबरी बैंक, वर्जिन मनी, असडा मनी और फर्स्ट डायरेक्ट।

हमले के पैमाने और ट्रैवेलेक्स के व्यवसाय की प्रकृति को ध्यान में रखते हुए, यह कोई आश्चर्य नहीं था कि हैकर्स ने फिरौती के भुगतान की मांग की जो कुछ ही दिनों में $ 3 मिलियन से बढ़कर $ 6 मिलियन हो गया। धमकी देने वाले अभिनेताओं ने चोरी की संवेदनशील जानकारी जारी करने की धमकी देकर सभी को यह दिखाने का भी फैसला किया कि उनका मतलब व्यापार है। दूसरी ओर, ट्रैवेलेक्स ने इस बात से इनकार किया कि किसी भी जानकारी को बाहर निकाला गया था। कुछ दिनों बाद, हालांकि, एक रूसी हैकिंग फोरम पर एक उपयोगकर्ता, अज्ञात नाम से जा रहा है, ट्रैवेलेक्स और चीनी कंपनी सीडीएच इन्वेस्टमेंट्स के खिलाफ साइबर बदमाश की धमकियों को दोहराया। यह 337MB डेटा के प्रकाशन द्वारा किया गया था जो कथित तौर पर Arttech सूचना प्रणाली से चुराया गया था।

ट्रैवेलेक्स सिस्टम से कथित रूप से निकाले गए 5GB की तुलना में चोरी किए गए डेटा की यह मात्रा कम है। हैकर्स ने कसम खाई है कि ट्रैवेलेक्स भुगतान करेगा, एक तरह से, या कोई अन्य। इस बीच, ट्रैवेलेक्स ने कहा है कि कंपनी मामले को सुलझाने में मेट्रोपॉलिटन पुलिस और राष्ट्रीय साइबर सुरक्षा केंद्र (एनसीएससी) के साथ सहयोग कर रही है। ट्रैवेलेक्स आपातकालीन ब्रांड प्रबंधन में भी चला गया है, पारदर्शिता का वादा करता है, और एक रिकवरी रोडमैप जारी करता है।

सोडिनोकिबी जनवरी ९, २०२० को न्यू जर्सी सिनेगॉग पर हमला करने, और धमकी देने वाले अभिनेताओं के बारे में संवेदनशील डेटा जारी करने की धमकी के तहत $ ५०० हजार की फिरौती की मांग करते हुए, धीमा होने का कोई संकेत नहीं दिखा रहा है।

कोई फर्क नहीं पड़ता कि सोडिनोकिबी शीर्ष वर्तमान रैंसमवेयर की जगह लेने का प्रबंधन करेगा, कुछ निश्चित कदम हैं जो सभी उपयोगकर्ताओं को ऐसे रैंसमवेयर हमलों के खिलाफ एक मजबूत रक्षा बनाने में मदद कर सकते हैं। सबसे विश्वसनीय तरीकों में से एक एक सिस्टम बैकअप बनाना है जो उस ड्राइव पर संग्रहीत है जो नेटवर्क से कनेक्ट नहीं है। इस तरह के बैकअप तक पहुंच होने से, उपयोगकर्ता केवल उन फ़ाइलों को पुनर्स्थापित कर सकते हैं जिन्हें मैलवेयर द्वारा बंधक बना लिया गया है और डेटा की न्यूनतम हानि होती है। इसके अलावा, एक वैध एंटी-मैलवेयर प्रोग्राम का उपयोग करने और इसे अप-टू-डेट रखने का मतलब यह हो सकता है कि कुछ रैंसमवेयर खतरों को उनके दुर्भावनापूर्ण कोडिंग को निष्पादित करने का मौका मिलने से पहले ही रोक दिया जाता है।

तकनीकी जानकारी

फ़ाइल सिस्टम विवरण

सोडिनोकिबी रैंसमवेयर निम्न फ़ाइल बनाता है:
# फ़ाइल का नाम आकार MD5 पता लगाने वाली गिनती
1 C:\Users\SSW08\Desktop\celfa_.exe 890,880 9dbb65b1a435a2b3fb6a6e1e08efb2d0 11

साइट अस्वीकरण

Enigmasoftware.com is not associated, affiliated, sponsored or owned by the malware creators or distributors mentioned on this article. This article should NOT be mistaken or confused in being associated in any way with the promotion or endorsement of malware. Our intent is to provide information that will educate computer users on how to detect, and ultimately remove, malware from their computer with the help of SpyHunter and/or manual removal instructions provided on this article.

This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.

उत्तर छोड़ दें

कृपया समर्थन या बिलिंग प्रश्नों के लिए इस टिप्पणी प्रणाली का उपयोग न करें। SpyHunter तकनीकी सहायता अनुरोधों के लिए, कृपया अपने SpyHunter के माध्यम से ग्राहक सहायता टिकट खोलकर हमारी तकनीकी सहायता टीम से सीधे संपर्क करें। बिलिंग समस्याओं के लिए, कृपया हमारे " बिलिंग प्रश्न या समस्याएँ? " पृष्ठ देखें। सामान्य पूछताछ (शिकायत, कानूनी, प्रेस, विपणन, कॉपीराइट) के लिए, हमारे " पूछताछ और प्रतिक्रिया " पृष्ठ पर जाएं।


HTML is not allowed.