Threat Database Ransomware सोडिनोकिबी रैंसमवेयर

सोडिनोकिबी रैंसमवेयर

खतरा स्कोरकार्ड

ख़तरा स्तर: 100 % (उच्च)
संक्रमित कंप्यूटर: 644
पहले देखा: June 17, 2019
अंतिम बार देखा गया: May 12, 2023
ओएस (एस) प्रभावित: Windows

Sodinokibi Ransomware एक नया मैलवेयर खतरा है जो साइबर क्रिमिनल सर्कल्स में कर्षण प्राप्त कर रहा है। हालांकि सोडिनोकिबी ठेठ रैंसमवेयर फैशन में काम करता है - यह पीड़ित के कंप्यूटर में घुसपैठ करता है, फाइलों को एन्क्रिप्ट करने के लिए एक मजबूत एन्क्रिप्शन एल्गोरिदम का उपयोग करता है, और उनकी बहाली के लिए भुगतान की मांग करता है, इसके अंतर्निहित कोड का विश्लेषण करने से पता चलता है कि यह एक पूरी तरह से नया मैलवेयर तनाव है और अद्यतन नहीं है पहले से मौजूद रैंसमवेयर का संस्करण।

जीरो-डे एक्सप्लॉइट पहले सोडिनोकिबी हमले की सुविधा देता है

सोडिनोकिबी का पहली बार 25 अप्रैल को पता चला था जब इसका इस्तेमाल एक ऐसे हमले में किया गया था जो एक शून्य-दिवसीय Oracle WebLogic सर्वर भेद्यता का शोषण करता था। शून्य-दिन के शोषण की गंभीरता को कम करके नहीं आंका जा सकता क्योंकि यह किसी भी अन्य आवश्यक प्रमाणीकरण क्रेडेंशियल के बिना कोड के दूरस्थ निष्पादन की अनुमति देता है। Oracle ने 26 अप्रैल को अपने नियमित पैच चक्र के बाहर, इसे ठीक करने और CVE-2019-2725 के रूप में भेद्यता निर्दिष्ट करने के लिए एक पैच जारी किया।

शोषण के माध्यम से हमलावर किसी भी उपयोगकर्ता इनपुट की आवश्यकता के बिना सोडिनोकिबी पेलोड को एंडपॉइंट मशीनों पर डाउनलोड करने में सक्षम थे। आमतौर पर रैंसमवेयर के खतरों के लिए संक्रमण शुरू होने से पहले पीड़ितों से कम से कम कुछ बातचीत की आवश्यकता होती है। एक बार अंदर जाने के बाद, सोडिनोकिबी निम्नलिखित एक्सटेंशन के साथ सभी फाइलों को एन्क्रिप्ट करना शुरू कर देता है:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf , .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, . prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, . pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, . qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, . सीडीआर, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, , .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, . clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar।

प्रत्येक संक्रमित प्रणाली के लिए, सोडिनोकिबी एक अलग अल्फ़ान्यूमेरिक स्ट्रिंग उत्पन्न करता है जो 5 और 9 वर्णों के बीच लंबा हो सकता है और इसे प्रत्येक सफलतापूर्वक एन्क्रिप्ट की गई फ़ाइल में एक नए एक्सटेंशन के रूप में जोड़ता है। रैंसमवेयर फिर एन्क्रिप्टेड फाइलों वाले प्रत्येक फ़ोल्डर में फिरौती नोट के साथ एक टेक्स्ट या एचटीए फाइल बनाता है। फिरौती नोट का नाम पैटर्न का अनुसरण करता है - [रैंडम एक्सटेंशन]-HOW-TO-DECRYPT.txt। उदाहरण के लिए, यदि सोडिनोकिबी ने विशेष मशीन के विस्तार के रूप में a5b892t उत्पन्न किया है, तो फिरौती नोट का नाम a5b892t-HOW-TO-DECRYPT.txt रखा जाएगा।

मालवेयर में इस सप्ताह Ep2: Sodinokibi Ransomware एक रैंसमवेयर-ए-ए-सर्विस है

Sodinokibi रैंसमवेयर में "cmd.exe" का उपयोग करने की कार्यक्षमता है, ताकि उपयोगकर्ताओं को डिफ़ॉल्ट विंडोज बैकअप यांत्रिकी के माध्यम से एन्क्रिप्टेड फ़ाइलों को पुनर्स्थापित करने से रोकने के लिए vssadmin उपयोगिता को निष्पादित किया जा सके। अधिक विशेष रूप से, रैंसमवेयर प्रभावित फाइलों की शैडो वॉल्यूम कॉपी को हटाने और विंडोज स्टार्टअप मरम्मत को अक्षम करने के लिए निम्नलिखित कमांड निष्पादित करता है:

C:\Windows\System32\cmd.exe" /c vssadmin.exe छाया हटाएं /सभी /शांत और bcdedit /set {डिफ़ॉल्ट} पुनर्प्राप्ति सक्षम नहीं और bcdedit /set {डिफ़ॉल्ट} bootstatuspolicy सभी विफलताओं को अनदेखा करें

सोडिनोकिबी डिक्रिप्शन के लिए मोटी रकम की मांग करता है

फिरौती नोट के मुख्य भाग में अपने निर्देश और मांगों को रखने के बजाय, सोडिनोकिबी के अपराधी सभी प्रभावित उपयोगकर्ताओं को दो वेबसाइटों की ओर निर्देशित करते हैं - एक .ऑनियन साइट जो टीओआर नेटवर्क पर होस्ट की जाती है और एक इंटरनेट के सार्वजनिक भाग पर "डिक्रिप्टर [।]ऊपर।" नोट का पूरा पाठ है:

"--=== स्वागत है। फिर से। ===---

[+] क्या होता है? [+]

आपकी फ़ाइलें एन्क्रिप्ट की गई हैं, और वर्तमान में अनुपलब्ध हैं। आप इसकी जांच कर सकते हैं: आपके कंप्यूटर की सभी फाइलों का विस्तार ---------- है।
वैसे, सब कुछ ठीक करना (बहाल करना) संभव है, लेकिन आपको हमारे निर्देशों का पालन करने की आवश्यकता है। अन्यथा, आप अपना डेटा वापस नहीं कर सकते (कभी नहीं)।

[+] क्या गारंटी? [+]

यह सिर्फ एक व्यवसाय है। लाभ प्राप्त करने के अलावा, हमें आपकी और आपके सौदों की बिल्कुल परवाह नहीं है। अगर हम अपना काम और दायित्व नहीं निभाते हैं - कोई भी हमारा सहयोग नहीं करेगा। यह हमारे हित में नहीं है।
फ़ाइलों को वापस करने की क्षमता की जांच करने के लिए, आपको हमारी वेबसाइट पर जाना चाहिए। वहां आप एक फाइल को मुफ्त में डिक्रिप्ट कर सकते हैं। यही हमारी गारंटी है।
यदि आप हमारी सेवा में सहयोग नहीं करेंगे - हमारे लिए, इससे कोई फर्क नहीं पड़ता। लेकिन आप अपना समय और डेटा खो देंगे, क्योंकि हमारे पास निजी कुंजी है। व्यवहार में - समय धन से कहीं अधिक मूल्यवान है।

[+] वेबसाइट पर कैसे पहुँच प्राप्त करें? [+]

आपके पास दो तरीके हैं:

१) [अनुशंसित] टीओआर ब्राउज़र का उपयोग करना!
ए) इस साइट से टीओआर ब्राउज़र डाउनलोड और इंस्टॉल करें: hxxps://torproject.org/
b) हमारी वेबसाइट खोलें: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) यदि आपके देश में टीओआर अवरुद्ध है, तो वीपीएन का उपयोग करने का प्रयास करें! लेकिन आप हमारी सेकेंडरी वेबसाइट का इस्तेमाल कर सकते हैं। इसके लिए:
a) अपना कोई भी ब्राउज़र खोलें (Chrome, Firefox, Opera, IE, Edge)
बी) हमारी माध्यमिक वेबसाइट खोलें: http://decryptor.top/913AED0B5FE1497D

चेतावनी: द्वितीयक वेबसाइट को अवरुद्ध किया जा सकता है, इसलिए पहला संस्करण बहुत बेहतर और अधिक उपलब्ध है।

जब आप हमारी वेबसाइट खोलते हैं, तो निम्नलिखित डेटा को इनपुट फॉर्म में डालें:
चाभी:

-

एक्सटेंशन का नाम:

-----------

-------------------------------------------------- ---------------------------------------

!!! खतरा !!!
फ़ाइलों को स्वयं बदलने का प्रयास न करें, अपने डेटा या एंटीवायरस समाधानों को पुनर्स्थापित करने के लिए किसी तीसरे पक्ष के सॉफ़्टवेयर का उपयोग न करें - इससे निजी कुंजी को नुकसान हो सकता है और परिणामस्वरूप, सभी डेटा का नुकसान हो सकता है।
!!! !!! !!!
एक बार और: अपनी फ़ाइलें वापस प्राप्त करना आपके हित में है। हमारी ओर से, हम (सर्वश्रेष्ठ विशेषज्ञ) सब कुछ बहाल करने के लिए करते हैं, लेकिन कृपया हस्तक्षेप नहीं करना चाहिए।
!!! !!! !!!"

नोट में सूचीबद्ध साइटों में से किसी एक तक पहुंचने के लिए, उपयोगकर्ताओं को एक विशिष्ट कुंजी इनपुट करनी होगी जो फिरौती नोट की टेक्स्ट फ़ाइल में पाई जा सकती है। एक बार कोड दर्ज करने के बाद, उन्हें निम्नलिखित लैंडिंग पृष्ठ पर ले जाया जाएगा जो कंप्यूटर सिस्टम के लिए विशिष्ट एक्सटेंशन आईडी कोड प्रदर्शित करेगा और एक उलटी गिनती टाइमर दिखाएगा कि दो दिनों में फिरौती राशि आकार में दोगुनी हो जाएगी - $ 2500 से $ 5000 तक, बिटकॉइन क्रिप्टोक्यूरेंसी में देय। वेबसाइट हर 3 घंटे में बिटकॉइन/यूएसडी दर की पुनर्गणना करती है और दिखाए गए नंबरों को अपडेट करती है।

सोडिनोकिबी रेफर

सोडिनोकिबी रैनसमवेयर ने अपनी पहुंच का विस्तार किया

ओरेकल वेबलॉजिक जीरो-डे को बंद करने वाले पैच के बाद, शोधकर्ताओं ने देखा कि सोडिनोकिबी रैंसमवेयर को वितरित करने के लिए नियोजित हमले वैक्टर में वृद्धि हुई है। वास्तव में, लगभग सभी संभावित वितरण विधियों का अब प्रयास किया गया है:

स्पैम ईमेल अभियान - जर्मन उपयोगकर्ताओं को एक दुर्भावनापूर्ण स्पैम अभियान द्वारा लक्षित किया गया था, जिसमें सोडिनोकिबी पेलोड को समझौता किए गए ईमेल अनुलग्नकों में तत्काल फौजदारी सूचनाओं के रूप में प्रस्तुत किया गया था। एक अन्य ईमेल अभियान ने Booking.com से "नई बुकिंग" होने का दिखावा किया। कथित बुकिंग जानकारी तक पहुँचने के लिए, उपयोगकर्ताओं को एक शब्द फ़ाइल खोलनी होगी और फिर मैक्रोज़ के निष्पादन की अनुमति देनी होगी। ऐसा करने से सोडिनोकिबी रैंसमवेयर संक्रमण शुरू हो जाएगा।

वैध सॉफ्टवेयर डाउनलोड को बदलना - TG सॉफ्ट के अनुसार , एक इतालवी WinRar वितरक ने अपनी साइट से छेड़छाड़ की, जिसके परिणामस्वरूप WinRar प्रोग्राम के बजाय Sodinokibi रैंसमवेयर डाउनलोड हो गया।

हैक किए गए प्रबंधित सेवा प्रदाता (MSPs) - कई प्रबंधित सेवा प्रदाताओं को उनके ग्राहकों को सोडिनोकिबी रैंसमवेयर वितरित करने के लिए हैक किया गया था। जाहिर तौर पर हमलावरों ने प्रभावित एमएसपी के नेटवर्क में प्रवेश करने के लिए रिमोट डेस्कटॉप सर्विसेज का इस्तेमाल किया और फिर रैंसमवेयर फाइलों को मैनेजमेंट कंसोल के जरिए क्लाइंट्स की एंडपॉइंट मशीनों पर धकेल दिया।

एक्सप्लॉइट किट - पॉपकैश विज्ञापन नेटवर्क पर विज्ञापनों के माध्यम से विज्ञापन अभियान कुछ शर्तों के तहत उपयोगकर्ताओं को आरआईजी एक्सप्लॉइट किट ले जाने वाली वेबसाइटों पर पुनर्निर्देशित करता प्रतीत होता है।

यह स्पष्ट से अधिक है कि सोडिनोकिबी सहयोगी अधिक महत्वाकांक्षी हो रहे हैं और अब गैंडक्रैब रैनसमवेयर ऑपरेटरों द्वारा अपने संचालन को बंद करने और फिरौती के भुगतान में $ 2 बिलियन से अधिक उत्पन्न होने का दावा करने के परिणामस्वरूप पैदा हुए शून्य को भरने की कोशिश कर रहे हैं।

Sodinokibi Ransomware रफ खेलना शुरू करता है

सोडिनोकिबी रैंसमवेयर के पीछे के खतरे वाले अभिनेताओं ने 2019 को एक उच्च नोट पर समाप्त कर दिया , जो यूके में स्थित एक विदेशी मुद्रा कंपनी ट्रैवेलेक्स को मार रहा था, और दुनिया भर में 70 से अधिक देशों में काम कर रहा था। लगभग 30 देशों में ट्रैवेलेक्स की वेबसाइटों को नए साल की पूर्व संध्या पर हटाना पड़ा, जो 'नियोजित रखरखाव' प्रतीत होता था, लेकिन सोडिनोकिबी रैंसमवेयर को फैलने से रोकने के लिए एक प्रतिवाद साबित हुआ। हमले ने ट्रैवेलेक्स के भागीदारों को भी प्रभावित किया, जैसे एचएसबीसी, बार्कलेज, सेन्सबरी बैंक, वर्जिन मनी, असडा मनी और फर्स्ट डायरेक्ट।

हमले के पैमाने और ट्रैवेलेक्स के व्यवसाय की प्रकृति को ध्यान में रखते हुए, यह कोई आश्चर्य नहीं था कि हैकर्स ने फिरौती के भुगतान की मांग की जो कुछ ही दिनों में $ 3 मिलियन से बढ़कर $ 6 मिलियन हो गया। धमकी देने वाले अभिनेताओं ने चोरी की संवेदनशील जानकारी जारी करने की धमकी देकर सभी को यह दिखाने का भी फैसला किया कि उनका मतलब व्यापार है। दूसरी ओर, ट्रैवेलेक्स ने इस बात से इनकार किया कि किसी भी जानकारी को बाहर निकाला गया था। कुछ दिनों बाद, हालांकि, एक रूसी हैकिंग फोरम पर एक उपयोगकर्ता, अज्ञात नाम से जा रहा है, ट्रैवेलेक्स और चीनी कंपनी सीडीएच इन्वेस्टमेंट्स के खिलाफ साइबर बदमाश की धमकियों को दोहराया। यह 337MB डेटा के प्रकाशन द्वारा किया गया था जो कथित तौर पर Arttech सूचना प्रणाली से चुराया गया था।

ट्रैवेलेक्स सिस्टम से कथित रूप से निकाले गए 5GB की तुलना में चोरी किए गए डेटा की यह मात्रा कम है। हैकर्स ने कसम खाई है कि ट्रैवेलेक्स भुगतान करेगा, एक तरह से, या कोई अन्य। इस बीच, ट्रैवेलेक्स ने कहा है कि कंपनी मामले को सुलझाने में मेट्रोपॉलिटन पुलिस और राष्ट्रीय साइबर सुरक्षा केंद्र (एनसीएससी) के साथ सहयोग कर रही है। ट्रैवेलेक्स आपातकालीन ब्रांड प्रबंधन में भी चला गया है, पारदर्शिता का वादा करता है, और एक रिकवरी रोडमैप जारी करता है।

सोडिनोकिबी जनवरी ९, २०२० को न्यू जर्सी सिनेगॉग पर हमला करने, और धमकी देने वाले अभिनेताओं के बारे में संवेदनशील डेटा जारी करने की धमकी के तहत $ ५०० हजार की फिरौती की मांग करते हुए, धीमा होने का कोई संकेत नहीं दिखा रहा है।

कोई फर्क नहीं पड़ता कि सोडिनोकिबी शीर्ष वर्तमान रैंसमवेयर की जगह लेने का प्रबंधन करेगा, कुछ निश्चित कदम हैं जो सभी उपयोगकर्ताओं को ऐसे रैंसमवेयर हमलों के खिलाफ एक मजबूत रक्षा बनाने में मदद कर सकते हैं। सबसे विश्वसनीय तरीकों में से एक एक सिस्टम बैकअप बनाना है जो उस ड्राइव पर संग्रहीत है जो नेटवर्क से कनेक्ट नहीं है। इस तरह के बैकअप तक पहुंच होने से, उपयोगकर्ता केवल उन फ़ाइलों को पुनर्स्थापित कर सकते हैं जिन्हें मैलवेयर द्वारा बंधक बना लिया गया है और डेटा की न्यूनतम हानि होती है। इसके अलावा, एक वैध एंटी-मैलवेयर प्रोग्राम का उपयोग करने और इसे अप-टू-डेट रखने का मतलब यह हो सकता है कि कुछ रैंसमवेयर खतरों को उनके दुर्भावनापूर्ण कोडिंग को निष्पादित करने का मौका मिलने से पहले ही रोक दिया जाता है।

SpyHunter सोडिनोकिबी रैंसमवेयर . का पता लगाता है और हटाता है

फ़ाइल सिस्टम विवरण

सोडिनोकिबी रैंसमवेयर निम्न फ़ाइल बना सकता है:
# फ़ाइल का नाम MD5 जांच
1. celfa_.exe 9dbb65b1a435a2b3fb6a6e1e08efb2d0 11

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...