AntiHacker Ransomware

आधुनिक मालवेयर खतराहरूबाट व्यक्तिगत र व्यावसायिक डेटा सुरक्षित गर्नु अब ऐच्छिक छैन, यो एक परिचालन आवश्यकता हो। र्‍यानसमवेयर सञ्चालकहरूले अवरोधलाई अधिकतम बनाउन र भुक्तानी जबरजस्ती गर्न आफ्नो रणनीति, उपकरणहरू र सामाजिक इन्जिनियरिङ योजनाहरूलाई परिष्कृत गर्न जारी राख्छन्। साना संस्थाहरू र घरेलु प्रयोगकर्ताहरूलाई पनि नियमित रूपमा लक्षित गरिन्छ, र तयारी बिना रिकभरी गाह्रो वा असम्भव हुन सक्छ। एन्टीह्याकर र्‍यानसमवेयर, जोरिस्ट परिवारको सदस्य, ठ्याक्कै त्यस्तै खतरा हो।

खतरा सिंहावलोकन र वंश

एन्टीह्याकर एक दुर्भावनापूर्ण प्रोग्राम हो जुन सूचना सुरक्षा अनुसन्धानकर्ताहरूले पत्ता लगाएका छन् र Xorist ransomware परिवार भित्र वर्गीकृत गरिएको छ। Xorist-आधारित धम्कीहरू सामान्यतया किट फ्रेमवर्कबाट बनाइन्छ जुन आक्रमणकारीहरूले अनुकूलित गर्न सक्छन्, प्रदर्शित फिरौती सन्देश, फाइल विस्तार, भाषा तत्वहरू, र अन्य प्यारामिटरहरू परिवर्तन गर्दै। एन्टीह्याकरले परिचित Xorist प्लेबुकलाई पछ्याउँछ: यसले पीडित डेटा इन्क्रिप्ट गर्दछ र त्यसपछि कथित डिक्रिप्शन कुञ्जीको बदलामा भुक्तानी माग गर्दछ।

फाइल एन्क्रिप्शन व्यवहार र मार्किङ

एक पटक एन्टीह्याकरले प्रणालीमा सम्झौता गरेपछि, यसले स्थानीय ड्राइभहरू र सम्भावित रूपमा म्याप गरिएका नेटवर्क स्थानहरूमा पनि प्रयोगकर्ता-पहुँचयोग्य डेटा खोज्छ। फाइल प्रकारहरूको विस्तृत दायरा लक्षित गरिन्छ, कागजातहरू, छविहरू, अभिलेखहरू, मल्टिमिडिया फाइलहरू, र अन्य बहुमूल्य डेटा भण्डारणहरू। प्रत्येक एन्क्रिप्टेड वस्तुलाई मूल फाइलनामको अन्त्यमा '.antihacker2017' स्ट्रिङ थपेर पुन: नामाकरण गरिन्छ। उदाहरणका लागि, मूल रूपमा '1.png' नाम दिइएको फाइल '1.png.antihacker2017' हुन्छ; '2.pdf' '2.pdf.antihacker2017' हुन्छ; र यो ढाँचा सबै प्रशोधित फाइलहरूमा दोहोरिन्छ। थपिएको एक्सटेन्सनले दुई उद्देश्यहरू पूरा गर्दछ: यसले पीडितलाई दृश्यात्मक रूपमा सम्झौताको संकेत गर्दछ र ransomware लाई पहिले नै ह्यान्डल गरिएका वस्तुहरू पहिचान गर्न मद्दत गर्दछ।

फिरौती नोटहरू, पप-अपहरू र वालपेपर सन्देशहरू

आफ्नो इन्क्रिप्शन दिनचर्या पूरा गरेपछि, एन्टीह्याकरले पीडितको डेस्कटप वालपेपरलाई परिमार्जन गर्दछ र दुई समानान्तर ढाँचाहरूमा फिरौती नोट छोड्छ: एउटा पप-अप विन्डो र 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' नामको टेक्स्ट फाइल ('फाइलहरू कसरी डिक्रिप्ट गर्ने' को लागि रूसी)। पप-अप र टेक्स्ट फाइलमा प्रस्तुत गरिएको सन्देश सामग्री एउटै हो। यद्यपि, वालपेपर भेरियन्टमा अतिरिक्त सामाजिक इन्जिनियरिङ भाषा समावेश छ, जुन प्रयोगकर्ताले विशिष्ट वयस्क-उन्मुख वा अवैध वेबसाइटहरू भ्रमण गरेको कारणले आक्रमण भएको अनुमान गरिएको औचित्य हो। यो लज्जास्पद कोण पीडितहरूलाई छिटो र चुपचाप भुक्तानी गर्न दबाब दिन डिजाइन गरिएको हो।

क्यारेक्टर एन्कोडिङ क्वर्क

सिरिलिक क्यारेक्टर सेट प्रयोग नगर्ने प्रणालीहरूमा, पप-अपमा प्रदर्शित फिरौती पाठ पढ्न नसकिने बकवासको रूपमा देखा पर्न सक्छ। त्यसकारण, पीडितहरूले दूषित सन्देश विन्डो देख्न सक्छन् तर अझै पनि छोडिएको पाठ फाइल भित्र पढ्न योग्य निर्देशनहरू फेला पार्न सक्छन्। आक्रमणकारीहरूले प्रायः स्थानीयकरण विवरणहरूलाई बेवास्ता गर्छन्; रक्षकहरूले क्लस्टर सम्बन्धित घटनाहरूलाई मद्दत गर्न त्यस्ता कलाकृतिहरू प्रयोग गर्न सक्छन्।

जबरजस्ती गर्ने संयन्त्र: मुख्य प्रवेश सीमा र धम्की दावीहरू

फिरौती सम्बन्धी निर्देशनहरूमा पीडितहरूले डिक्रिप्शन कुञ्जी प्राप्त गर्न आक्रमणकारीहरूलाई सम्पर्क गर्नुपर्ने उल्लेख छ। तिनीहरूले उच्च-तनावको सीमा पनि लगाउँछन्: कुञ्जी इनपुट गर्न केवल ५० प्रयासहरूलाई अनुमति दिइन्छ, त्यसपछि सन्देशले एन्क्रिप्टेड डेटा स्थायी रूपमा हराउने दाबी गर्दछ। थप चेतावनीहरूले सुरक्षा उपकरणहरू प्रयोग गर्दा, रिबुट गर्दा वा मेसिन बन्द गर्दा फाइलहरू डिक्रिप्ट गर्न नसकिने हुने दाबी गर्छन्। यी डराउने रणनीतिहरू र्यान्समवेयर प्लेबुकहरूमा सामान्य छन् र प्रयोगकर्ताहरूलाई व्यावसायिक मद्दत खोज्न वा सुरक्षित उपचार प्रक्रियाहरू प्रयास गर्नबाट निरुत्साहित गर्ने लक्ष्य राख्छन्।

फिरौती तिर्न किन जोखिमपूर्ण छ?

एन्टीह्याकर (वा कुनै पनि र्यान्समवेयर) पछाडि रहेका साइबर अपराधीहरूले भुक्तानी पछि काम गर्ने डिक्रिप्शन समाधान प्रदान गर्नेछन् भन्ने कुनै ग्यारेन्टी छैन। भुक्तानी गर्ने पीडितहरूले प्रायः केही पाउँदैनन्, भाँचिएको साँचो पाउँछन्, वा बारम्बार जबरजस्ती जबरजस्तीको निशाना बन्छन्। भुक्तानीले चलिरहेको आपराधिक कार्यहरूलाई पनि कोष प्रदान गर्दछ र थप आक्रमणहरूलाई प्रोत्साहन गर्दछ। विवेकी अडान भनेको सम्भव भएसम्म भुक्तानी नगर्नु र आफ्नो नियन्त्रणमा रहेको रिकभरी मार्गहरूमा ध्यान केन्द्रित गर्नु हो।

रिकभरी वास्तविकताहरू

संक्रमित प्रणालीबाट एन्टीह्याकर हटाउनाले थप फाइल इन्क्रिप्शन रोक्न सक्छ, तर यसले पहिले नै लक गरिएको डेटा डिक्रिप्ट गर्दैन। रिकभरीको सबैभन्दा भरपर्दो मार्ग भनेको प्रभावित फाइलहरूको सफा प्रतिलिपिहरू ब्याकअपबाट पुनर्स्थापित गर्नु हो जुन अलग्गै, अफलाइन, वा अन्यथा मालवेयरको पहुँच बाहिर थिए। यदि कुनै व्यवहार्य ब्याकअपहरू अवस्थित छैनन् भने, डेटा रिकभरी विकल्पहरू अत्यधिक सीमित हुन्छन्।

प्राथमिक संक्रमण भेक्टरहरू

र्‍यान्समवेयरका लेखकहरू उही व्यापक वितरण इकोसिस्टममा भर पर्छन् जसले अन्य मालवेयर कोटीहरूलाई इन्धन दिन्छ। एन्टीह्याकर पनि यसको अपवाद होइन। आक्रमणकारीहरूले प्रायः पेलोडहरूलाई वैध सफ्टवेयरको रूपमा भेष दिन्छन् वा तिनीहरूलाई क्र्याक वा पाइरेटेड प्रोग्रामहरू, कागजातहरू, वा स्थापनाकर्ताहरूसँग बन्डल गर्छन्। केवल बुबी-ट्र्याप गरिएको फाइल खोल्दा डाउनलोड वा कार्यान्वयन श्रृंखला ट्रिगर हुन सक्छ।

• इमेल, निजी सन्देशहरू, वा दुर्भावनापूर्ण संलग्नकहरू वा इम्बेडेड लिङ्कहरू भएका प्रत्यक्ष सन्देशहरूद्वारा फिसिङ र सामाजिक इन्जिनियरिङ प्रलोभनहरू प्रदान गरिन्छ।
• प्रयोगकर्ताको स्पष्ट सहमति बिना नै ह्याक गरिएका वा दुर्भावनापूर्ण वेबसाइटहरूबाट सुरु गरिएका ड्राइभ-बाई वा भ्रामक डाउनलोडहरू।
• ट्रोजन लोडरहरू र ब्याकडोरहरू जसले एक पटक एम्बेड गरिसकेपछि चुपचाप ransomware पुन: प्राप्त गर्दछ र सुरुवात गर्दछ।
• अविश्वसनीय डाउनलोड स्रोतहरू जस्तै फ्रीवेयर साइटहरू, तेस्रो-पक्ष होस्टिंग पृष्ठहरू, र पियर-टु-पियर (P2P) फाइल-साझेदारी नेटवर्कहरू।
• अनलाइन घोटाला र मालवर्टाइजिंग अभियानहरू जसले प्रयोगकर्ताहरूलाई किटहरू वा दुष्ट पेलोडहरूको शोषण गर्न निर्देशित गर्दछ।
• अवैध सफ्टवेयर सक्रियकरण उपकरणहरू ('क्र्याक' / किजेनहरू) र नक्कली सफ्टवेयर अपडेटहरू जसले वैध प्याचहरूको सट्टा मालवेयर स्थापना गर्दछ।
• अभिलेख (ZIP, RAR, आदि), कार्यान्वयनयोग्य फाइलहरू (EXE, RUN, आदि), स्क्रिप्ट फाइलहरू (जस्तै, JavaScript), र कागजात ढाँचाहरू (PDF, Microsoft Office, OneNote, र अन्य) लाई संक्रमण शृङ्खला सुरु गर्न हतियार बनाइएको छ।

रक्षात्मक रणनीति सिंहावलोकन

प्रभावकारी ransomware रक्षाले मानिसहरू, प्रक्रिया र प्रविधिलाई तह लगाउँछ। तपाईं एउटै सुरक्षात्मक नियन्त्रणमा भर पर्न सक्नुहुन्न; मान्नुहोस् कि कम्तिमा एउटा तह असफल हुनेछ। एन्टीह्याकर-शैली घुसपैठको सम्भावना र प्रभाव दुवै कम गर्न प्रयोगकर्ता जागरूकता, कडा कन्फिगरेसनहरू, कठोर प्याचिङ, बलियो ब्याकअप अभ्यासहरू, र बलियो पत्ता लगाउने/प्रतिक्रिया क्षमताहरू संयोजन गर्नुहोस्।

• महत्त्वपूर्ण डेटाको ब्याकअप राख्नुहोस्।
• अपरेटिङ सिस्टम, एप्लिकेसन र सुरक्षा उपकरणहरू पूर्ण रूपमा अद्यावधिक राख्नुहोस्; विशेष गरी रिमोट एक्सेस र फाइल-साझेदारी सेवाहरूको लागि प्याचहरू तुरुन्तै लागू गर्नुहोस्।
• समर्थित भएमा व्यवहारिक ransomware पत्ता लगाउने र स्वचालित रोलब्याक क्षमताहरू सहित प्रतिष्ठित एन्टी-मालवेयर / एन्डपोइन्ट पत्ता लगाउने र प्रतिक्रिया (EDR) समाधानहरू प्रयोग गर्नुहोस्।
• न्यूनतम-विशेषाधिकार प्राप्त प्रयोगकर्ता अधिकारहरू लागू गर्नुहोस्; गैर-प्रशासक खाताहरू अन्तर्गत दैनिक कार्यहरू सञ्चालन गर्नुहोस् र साझा डेटा भण्डारहरूमा लेखन पहुँच प्रतिबन्धित गर्नुहोस्।
• नेटवर्कहरू खण्डित गर्नुहोस् र पार्श्व आन्दोलन सीमित गर्नुहोस्; ब्याकअप रिपोजिटरीहरू र महत्वपूर्ण सर्भरहरूलाई छुट्टाछुट्टै पहुँच तहहरूमा अलग गर्नुहोस्।
• रिमोट लगइनहरू, विशेषाधिकार प्राप्त कार्यहरू, र ब्याकअप व्यवस्थापन कन्सोलहरूको लागि बहु-कारक प्रमाणीकरण (MFA) आवश्यक पर्दछ।

निष्कर्ष

एन्टीह्याकर र्‍यान्समवेयरले कसरी खतरा अभिनेताहरूले शक्तिशाली, क्षेत्रीय रूपमा लक्षित जबरजस्ती रकम असुल्ने योजनाहरू बनाउन Xorist जस्ता किट-आधारित परिवारहरूलाई अनुकूलन गर्छन् भनेर चित्रण गर्दछ। यसको डेटा इन्क्रिप्शन, फाइलनाम ट्यागिङ, बहुभाषी फिरौती नोट कलाकृतिहरू, र जबरजस्ती सन्देशहरू सबै भुक्तानी चलाउनको लागि ईन्जिनियर गरिएका छन्। तैपनि सबैभन्दा बलियो प्रतिरोधात्मक उपाय तयारी रहन्छ: पृथक ब्याकअप, स्तरित प्रतिरक्षा, सूचित प्रयोगकर्ताहरू, र अनुशासित प्रतिक्रिया योजना। यी सुरक्षा उपायहरूमा लगानी गर्ने संस्था र व्यक्तिहरूले सम्भावित रूपमा विनाशकारी र्‍यान्समवेयर घटनालाई पुन: प्राप्ति योग्य घटनामा परिणत गर्न सक्छन्।