Solara रैंसमवेयर

सोलारा हाल ही में देखा गया एक रैंसमवेयर स्ट्रेन है जिसके बारे में शोधकर्ताओं का कहना है कि यह सार्वजनिक रूप से प्रसारित कैओस फ़ैमिली कोड पर आधारित है। सोलारा जैसे रैंसमवेयर उपयोगकर्ता फ़ाइलों को एन्क्रिप्ट करते हैं, भुगतान की मांग करते हैं, और महत्वपूर्ण डेटा तक पहुँच को स्थायी रूप से बाधित कर सकते हैं, इसलिए उपकरणों और बैकअप की सुरक्षा ज़रूरी है।

सोलारा क्या करता है

विश्लेषण के दौरान, सोलारा को फ़ाइलों को एन्क्रिप्ट करते और फ़ाइल नामों में '.solara' टेक्स्ट स्ट्रिंग जोड़ते हुए देखा गया (उदाहरण के लिए, '1.png' → '1.png.solara')। मैलवेयर 'read_it.txt' नाम का एक फिरौती नोट भी छोड़ता है, जिसमें दावा किया जाता है कि पीड़ित ने 'एंटी-क्रैक' सुरक्षा शुरू कर दी है और पीड़ितों को एक ऑनलाइन एक्टर से डिक्रिप्शन टूल प्राप्त करने का निर्देश देता है। कई लेख और नमूना विश्लेषण सोलारा को कैओस रैंसमवेयर परिवार से जोड़ते हैं और समान व्यवहार (एन्क्रिप्शन, एक्सटेंशन प्रतिस्थापन, और एक प्लेनटेक्स्ट फिरौती नोट) का वर्णन करते हैं।

फिरौती नोट और भुगतान दावे

विश्लेषकों द्वारा जाँचे गए फिरौती संदेश में दावा किया गया है कि हमलावर के डिक्रिप्शन टूल के बिना फ़ाइल रिकवरी 'लगभग असंभव' है। नोट में पीड़ितों को एक डिस्कॉर्ड उपयोगकर्ता (xenqxd) से संपर्क करने का निर्देश दिया गया है और पेसेफकार्ड (पोलैंड में) या एक छोटी बिटकॉइन राशि जैसे भुगतान विकल्प सुझाए गए हैं। उल्लेखनीय है कि कुछ नमूनों में सार्थक संपर्क माध्यमों का उल्लेख नहीं है, जो एक अपरिपक्व या शरारत जैसे अभियान का संकेत हो सकता है, या ऐसे ऑपरेटरों का संकेत हो सकता है जो बातचीत करने की उम्मीद ही नहीं करते। ऐसी सभी माँगों को अत्यधिक संदेह की दृष्टि से देखें।

क्या आप बिना भुगतान किये फ़ाइलें पुनर्प्राप्त कर सकते हैं?

सामान्यतः, कैओस-फ़ैमिली थ्रेट्स द्वारा एन्क्रिप्ट की गई फ़ाइलें उचित डिक्रिप्शन कुंजी के बिना पुनर्प्राप्त नहीं की जा सकतीं। यदि आपके पास संक्रमण से पहले के साफ़, ऑफ़लाइन बैकअप हैं, तो उन्हें पुनर्स्थापित करना सबसे सुरक्षित तरीका है। भुगतान करने की सलाह नहीं दी जाती, क्योंकि अपराधी अक्सर उपयोगी डिक्रिप्टर नहीं देते, और भुगतान करने से आपराधिक गतिविधियों को और बढ़ावा मिलता है।

सामान्य संक्रमण वाहक

• मैलवेयर से छुपे हुए पायरेटेड सॉफ्टवेयर, कीजेन्स और 'क्रैक्ड' उपयोगिताएँ।
• दुर्भावनापूर्ण ईमेल अनुलग्नक और लिंक (Office मैक्रोज़, स्क्रिप्ट, EXEs).
• संक्रमित विज्ञापन, समझौता किए गए या अनधिकृत डाउनलोड साइटें, पी2पी/टोरेंट नेटवर्क, यूएसबी ड्राइव और तृतीय-पक्ष डाउनलोडर।

यदि आपको संक्रमण का संदेह हो तो तत्काल कार्रवाई करें

मशीन को तुरंत अलग करें : नेटवर्क (वायर्ड/वाईफाई) से डिस्कनेक्ट करें और पार्श्व प्रसार को रोकने के लिए किसी भी साझा/नेटवर्क ड्राइव को अनमाउंट करें।

साक्ष्य को सुरक्षित रखें : यदि आप मेमोरी या फोरेंसिक कलाकृतियों को एकत्रित कर रहे हैं तो पावर-साइकिल का प्रयोग न करें, इसके बजाय यदि आपके पास क्षमता है तो मेमोरी और डिस्क इमेज को कैप्चर करें, या घटना प्रतिक्रिया को कॉल करें।

बैकअप का उपयोग करें : मैलवेयर हटा दिए जाने और सिस्टम के पुनर्निर्माण के बाद विश्वसनीय बैकअप से पुनर्स्थापित करें; उन बैकअप को पुनर्स्थापित न करें जो संक्रमण के समय कनेक्ट किए गए थे।

जब तक घटना प्रतिक्रिया दल सभी विकल्पों और परिणामों का आकलन न कर ले, तब तक भुगतान न करें; भुगतान के सफल होने की गारंटी नहीं है और इससे भविष्य में हमलों को बढ़ावा मिल सकता है।

सर्वोत्तम सुरक्षा प्रथाएँ

एक अद्यतन, स्तरित रक्षा बनाए रखें जिसमें दैनिक कार्यों में निम्नलिखित अभ्यास शामिल हों:

पैच प्रबंधन : ओएस और अनुप्रयोग सुरक्षा अद्यतनों को तुरंत लागू करें; कई रैनसमवेयर स्ट्रेन ज्ञात और पैच की गई कमजोरियों का फायदा उठाते हैं।

न्यूनतम विशेषाधिकार और खाता स्वच्छता : गैर-व्यवस्थापक खातों वाले उपयोगकर्ताओं को चलाएं, दूरस्थ पहुंच और विशेषाधिकार प्राप्त खातों के लिए मजबूत बहुकारक प्रमाणीकरण लागू करें, और असामान्य लॉगिन व्यवहार की निगरानी करें।

बैकअप रणनीति : नियमित रूप से बैकअप बनाएँ और उन्हें नेटवर्क से अलग रखें। आखिरकार, एन्क्रिप्शन हमलों के खिलाफ बैकअप ही सबसे प्रभावी रिकवरी नियंत्रण है।

एंडपॉइंट सुरक्षा और EDR : ऐसे प्रतिष्ठित एंडपॉइंट डिटेक्शन और रिस्पांस समाधान लागू करें जो निष्पादन विसंगतियों का पता लगा सकें, दुर्भावनापूर्ण पेलोड को ब्लॉक कर सकें और त्वरित नियंत्रण सक्षम कर सकें। सिग्नेचर और टेलीमेट्री सक्षम रखें।

उपयोगकर्ता शिक्षा और फ़िशिंग प्रतिरोध : उपयोगकर्ताओं को क्रैक/कीजेन्स चलाने से बचने, ईमेल भेजने वालों और लिंक की पुष्टि करने, और अनपेक्षित अनुलग्नकों को संदेह की दृष्टि से देखने के लिए प्रशिक्षित करें। कृत्रिम फ़िशिंग और जागरूकता अभियान मानव जोखिम कारक को कम करते हैं।

अनुप्रयोग नियंत्रण और मैक्रो प्रतिबंध : Office मैक्रो को डिफ़ॉल्ट रूप से अक्षम करें, सामान्य दुरुपयोग स्थानों (जैसे, %AppData%, अस्थायी फ़ोल्डर) से निष्पादन को अवरुद्ध करें, और जहां संभव हो, अनुप्रयोग अनुमति-सूची का उपयोग करें।

समापन नोट्स

सोलारा सार्वजनिक रूप से उपलब्ध रैंसमवेयर बिल्डरों से जुड़े सामान्य जोखिमों को दर्शाता है: फ़ॉर्क और वेरिएंट का प्रसार होता है, और हमलावर विशिष्ट समुदायों को लक्षित करने के लिए वितरण विधियों को लगातार बदलते रहते हैं (रिपोर्ट गेमिंग फ़ोरम और पायरेटेड सॉफ़्टवेयर चैनलों को संभावित प्रलोभन के रूप में उजागर करती हैं)। सबसे अच्छे बचाव हैं रोकथाम, मज़बूत बैकअप, तेज़ नियंत्रण, और प्रशिक्षित प्रतिक्रिया टीमों के साथ काम करना, न कि फिरौती देना। यदि आपको किसी समझौते का संदेह है और आपको चरण-दर-चरण सफाई सहायता की आवश्यकता है, तो नमूना संकेतक (फ़ाइल नाम, हैश, फिरौती नोट टेक्स्ट) एकत्र करें और नियंत्रण और पुनर्प्राप्ति मार्गदर्शन के लिए किसी विश्वसनीय घटना प्रतिक्रिया प्रदाता या अपने सुरक्षा विक्रेता से परामर्श लें।