Yanluowang Ransomware
एक नए अत्यधिक लक्षित हमले के ऑपरेशन को पहले कभी नहीं देखा गया रैंसमवेयर खतरे को इंफोसेक शोधकर्ताओं द्वारा उजागर किया गया था। धमकी भरे ऑपरेशन के लक्ष्य का खुलासा नहीं किया गया है लेकिन इसे एक प्रमुख बड़े संगठन के रूप में वर्णित किया गया है। इस खतरे को Yanluowang Ransomware यरनाम दिया गया है, क्योंकि यह उन फ़ाइलों को चिह्नित करने के लिए उपयोग करता है जो इसे एन्क्रिप्ट करती हैं। इसमें कार्यात्मकताओं की एक विस्तृत सूची है, लेकिन साइबर सुरक्षा विशेषज्ञों के निष्कर्षों के अनुसार, Yanluowang Ransomware अभी भी अपने विकास के चरण में है और भविष्य में और भी अधिक खतरनाक हो सकता है।
विषयसूची
पर्यावरण की तैयारी
रैंसमवेयर को समझौता किए गए सिस्टम तक पहुंचाने से पहले, हमलावर AdFind नाम के वैध कमांड-लाइन एक्टिव डायरेक्ट्री क्वेरी टूल का फायदा उठाते हैं। साइबर अपराधियों द्वारा इस विशेष उपकरण का अक्सर उल्लंघन किए गए नेटवर्क के भीतर बाद में स्थानांतरित करने के तरीके के रूप में दुरुपयोग किया जाता है।
यानलुओवांग हमले का अगला चरण समझौता किए गए कंप्यूटर का वातावरण तैयार करना है। हैकर्स एक विशेष उपकरण तैनात करते हैं जो तीन मुख्य कार्य करता है। सबसे पहले, यह एक टेक्स्ट फ़ाइल बनाता है जिसमें कमांड लाइन के माध्यम से जाँच की जाने वाली दूरस्थ मशीनों की संख्या होती है। फिर, यह टेक्स्ट फ़ाइल पर सूचीबद्ध सिस्टम पर चलने वाली सभी प्रक्रियाओं की सूची प्राप्त करने के लिए वैध विंडो मैनेजमेंट इंस्ट्रुमेंटेशन (डब्लूएमआई) का उपयोग करता है। अंत में, यह सभी प्रक्रियाओं को दूरस्थ मशीनों के नाम के साथ एक 'processes.txt' फ़ाइल में संग्रहीत करता है।
Yanluowang Ransomware की कार्यक्षमता
रैंसमवेयर खतरे में इस प्रकार के खतरे से अपेक्षित सभी विशिष्ट हानिकारक कार्य होते हैं। यह एक एन्क्रिप्शन प्रक्रिया शुरू करता है जो एक मजबूत एल्गोरिथम के साथ संक्रमित सिस्टम पर फाइलों को लॉक कर देता है। प्रत्येक लॉक की गई फ़ाइल के मूल नाम के साथ '.yanluowang' जोड़ा जाएगा। हालांकि, अपना एन्क्रिप्शन शुरू करने से पहले, खतरा दो प्रारंभिक क्रियाएं करता है। रैंसमवेयर का खतरा सभी हाइपरवाइजर वर्चुअल मशीनों को समाप्त कर देता है यदि यह संक्रमित कंप्यूटर पर चल रहा हो। यह तब 'processes.txt' फ़ाइल को देखता है और वहां सूचीबद्ध सभी प्रक्रियाओं को समाप्त करता है, जिसमें SQL और बैकअप और डेटा सुरक्षा समाधान Veeam शामिल हैं। धमकी द्वारा निष्पादित अंतिम चरण अपने शिकार के लिए निर्देशों के साथ फिरौती देना है।
फिरौती नोट का विवरण
नोट से पता चलता है कि हैकर्स केवल पीड़ित की फाइल को लॉक करने और उनकी संभावित बहाली के लिए पैसे निकालने से संतुष्ट नहीं हैं। यदि साइबर अपराधियों द्वारा उनकी मांगों को पूरा नहीं किया जाता है, तो वे कहते हैं कि वे पीड़ित के खिलाफ DDoS (डिस्ट्रिब्यूटेड डेनियल ऑफ सर्विस) हमले शुरू करने के लिए तैयार हैं, कर्मचारी और इकाई के व्यावसायिक भागीदारों को कॉल करना शुरू कर देंगे, और अंत में, कुछ हफ्तों में एक और हमला करेंगे। पीड़ित के सभी डेटा को हटाने के लिए। इसके अलावा, Yanluowang Ransomware नोट का दावा है कि बड़ी मात्रा में निजी डेटा पहले ही एकत्र किया जा चुका है।
