DeadLock Ransomware

आधुनिक ransomware अभियानहरू तपाईंको व्यक्तिगत वा संगठनात्मक डेटालाई लिभरेजमा परिणत गर्न उद्देश्य-निर्मित हुन्छन्। एक पटक महत्वपूर्ण फाइलहरू इन्क्रिप्ट भएपछि, आक्रमणकारीहरूले सबै कार्डहरू समात्छन्, जबसम्म तपाईंले पहिले नै तयारी गर्नुभएको छैन। बलियो सुरक्षा स्वच्छता, स्तरित प्रतिरक्षा, र लचिलो ब्याकअप रणनीतिहरूले नाटकीय रूपमा एकल दुर्भावनापूर्ण संलग्नक, क्र्याक गरिएको स्थापनाकर्ता, वा दुष्ट डाउनलोडले व्यापार अवरोध वा स्थायी डेटा हानि निम्त्याउने सम्भावनालाई कम गर्दछ। DeadLock Ransomware यी आधारभूत कुराहरू किन महत्त्वपूर्ण छन् भन्ने कुराको राम्रो उदाहरण हो।

डेडलकलाई के ले अलग गर्छ?

DeadLock एउटा फाइल-इन्क्रिप्टिङ ransomware परिवार हो जसले प्रत्येक पीडितलाई एक अद्वितीय पहिचानकर्ताको साथ ट्याग गर्दछ। आक्रमणको समयमा, यसले प्रयोगकर्ता डेटा स्क्र्याम्बल गर्दछ र पीडितको ID र '.dlock' एक्सटेन्सनलाई मूल फाइलनाममा थपेर प्रत्येक एन्क्रिप्टेड फाइलको नाम परिवर्तन गर्दछ। उदाहरणका लागि: '1.png' '1.png.F8C6A8.dlock' हुन्छ र '2.pdf' '2.pdf.F8C6A8.dlock' हुन्छ। यो ID पीडितलाई ट्र्याक गर्न र भुक्तानीहरू डिक्रिप्शन कुञ्जीहरूसँग बाँध्नको लागि जबरजस्ती प्रक्रियाभरि प्रयोग गरिन्छ। DeadLock ले फिरौती नोट पनि छोड्छ जसको फाइलनामले त्यही पहिचानकर्तालाई एम्बेड गर्दछ (जस्तै, "READ ME.F8C6A8.txt") र प्रणाली सम्झौता भएको छ भनेर बलियो बनाउन डेस्कटप वालपेपर परिवर्तन गर्दछ।

फिरौती नोट भित्र

उक्त नोटले पीडितको अर्को चाललाई निर्देशित गर्न डिजाइन गरिएका धेरै मुख्य बुँदाहरू बनाउँछ। यसले दाबी गर्छ कि एन्क्रिप्टेड फाइलहरू आक्रमणकारीहरूसँग मात्र हुने 'अद्वितीय डिक्रिप्शन कुञ्जी' बिना पुनर्स्थापित गर्न सकिँदैन। पीडितहरूलाई गोपनीयता-केन्द्रित सत्र मेसेन्जर स्थापना गर्न र आपूर्ति गरिएको सत्र आईडी (फाइलनामहरूमा एम्बेड गरिएको प्रति-पीडित पहिचानकर्तामा फेरि म्यापिङ) प्रयोग गरेर सम्पर्क गर्न भनिएको छ। आक्रमणकारीहरूले पीडितलाई प्रमाणीकरणको लागि एउटा इन्क्रिप्टेड फाइल र 'व्यक्तिगत कुञ्जी' (उनीहरूको अद्वितीय आईडी) पठाउन आग्रह गर्छन्। यो हानिरहित नमूना डिक्रिप्ट गरेर विश्वास निर्माण गर्ने एक सामान्य रणनीति हो।

भुक्तानी र दबाब रणनीतिहरू

डेडलक सञ्चालकहरूले क्रिप्टोकरेन्सीको माग गर्छन्, विशेष गरी बिटक्वाइन वा मोनेरो। तिनीहरूले भुक्तानी पछि, काम गर्ने डिक्रिप्टर डेलिभर गर्ने वाचा गर्छन्। धेरैजसो र्यान्समवेयर अपरेशनहरू जस्तै, कुनै लागूयोग्य ग्यारेन्टी छैन। नोटले स्वतन्त्र रिकभरी प्रयासहरूलाई निरुत्साहित गर्न डरको पनि प्रयोग गर्दछ: यसले पीडितहरूलाई एन्क्रिप्टेड फाइलहरूको नाम परिवर्तन नगर्न र तेस्रो-पक्ष डिक्रिप्शन उपकरणहरू प्रयास नगर्न चेतावनी दिन्छ, त्यस्ता कार्यहरूले डाटालाई स्थायी रूपमा भ्रष्ट पार्न सक्छ वा रिकभरी मूल्य बढाउन सक्छ भनेर दाबी गर्दै। यी चेतावनीहरू आंशिक रूपमा प्राविधिक छन् (अनुचित ह्यान्डलिङले वास्तवमा रिकभरीलाई जटिल बनाउन सक्छ) र आंशिक रूपमा मनोवैज्ञानिक दबाब।

डिक्रिप्शन वास्तविकता जाँच

सामान्यतया ransomware को अनुभव, र अपरेटरहरूको आफ्नै सन्देशले, एक कठोर सत्यलाई समर्थन गर्दछ: धेरैजसो अवस्थामा, तपाईं आक्रमणकारीहरूको सहयोग र उपकरणहरू बिना DeadLock-स्क्र्याम्बल्ड फाइलहरू डिक्रिप्ट गर्न सक्नुहुन्न। यसले दुई यथार्थपरक रिकभरी मार्गहरू छोड्छ: (१) अफलाइन, अफ-साइट, संस्करण गरिएको, वा अन्यथा आक्रमणको समयमा मालवेयरमा पहुँचयोग्य नभएका ब्याकअपहरू काम गर्दै; वा (२) फिरौती तिर्ने र अपराधीहरूले सम्झौताको सम्मान गर्ने आशा गर्दै। भुक्तानी गर्नु जोखिमपूर्ण छ: आक्रमणकारीहरू गायब हुन सक्छन्, बिग्रिएको डिक्रिप्टर डेलिभर गर्न सक्छन्, वा भविष्यमा जबरजस्तीको लागि तपाईं सफ्ट टार्गेट हुनुहुन्छ भन्ने संकेतको रूपमा भुक्तानी प्रयोग गर्न सक्छन्। जहाँ सम्भव छ, फिरौती भुक्तानी गर्नुको सट्टा अप्रभावित ब्याकअपहरूमा भर पर्नुहोस्।

पूर्ण रूपमा हटाउनु किन महत्त्वपूर्ण छ

इन्क्रिप्शन पूरा भएपछि पनि, प्रणालीमा ransomware छोड्नु खतरनाक हुन्छ। अवशिष्ट कम्पोनेन्टहरूले नयाँ सिर्जना गरिएका फाइलहरू पुन: इन्क्रिप्ट गर्न सक्छन्, प्रमाणहरू काट्न सक्छन्, ब्याकडोर खोल्न सक्छन्, वा स्थानीय नेटवर्कमा पार्श्व रूपमा सार्न प्रयास गर्न सक्छन्। एन्डपोइन्ट स्क्यानिङ, मेमोरी निरीक्षण, र निर्धारित कार्यहरू, स्टार्टअप प्रविष्टिहरू, र डोमेन नियन्त्रकहरूको समीक्षाद्वारा समर्थित उन्मूलन, दोहोरिने क्षति रोक्नको लागि महत्त्वपूर्ण छ।

सामान्य डेडलक संक्रमण भेक्टरहरू

आक्रमणकारीहरूलाई प्रारम्भिक आधार चाहिन्छ। र्‍यानसमवेयर अभियानहरू धेरै वितरण च्यानलहरूसँग सम्बन्धित छन् जसले प्रयोगकर्ताको विश्वास, जिज्ञासा र लागत कटौती सर्टकटहरूको शिकार गर्दछ:

• पाइरेटेड वा 'क्र्याक' व्यावसायिक सफ्टवेयर, जसमा बन्डल गरिएका कुञ्जी जेनेरेटरहरू र लाइसेन्स बाइपास उपकरणहरू समावेश छन् जसले गोप्य रूपमा मालवेयर स्थापना गर्दछ।
• warez वा टोरेन्ट साइटहरूबाट निकालिएका सफ्टवेयर क्र्याकहरू, किजेनहरू, र अनौपचारिक एक्टिभेटरहरू।
• दुर्भावनापूर्ण इमेल संलग्नकहरू: बुबी-ट्र्याप्ड वर्ड कागजातहरू (प्रायः म्याक्रो-सक्षम), PDF हरू, ZIP अभिलेखहरू, स्क्रिप्ट फाइलहरू, वा इनभ्वाइसहरू, ढुवानी सूचनाहरू, वा जरुरी HR फारमहरूको रूपमा भेषमा कार्यान्वयन योग्य पेलोडहरू।
• प्रयोगकर्ताहरूलाई किटहरू वा दुष्ट डाउनलोड पृष्ठहरूको शोषण गर्न रिडिरेक्ट गर्ने मालवर्टाइजिंग (दुर्भावनापूर्ण विज्ञापनहरू)।
• पियर-टु-पियर सेयरिङ प्लेटफर्महरू र तेस्रो-पक्ष डाउनलोड हबहरू जसले लुकेका पेलोडहरूसँग स्थापनाकर्ताहरूलाई पुन: प्याकेज गर्दछ।
• हटाउन सकिने मिडिया (जस्तै, संक्रमित USB ड्राइभहरू) जसले प्रयोगकर्ताहरूलाई दूषित फाइलहरू सुरु गर्न स्वतः चलाउँछ वा लोभ्याउँछ।
• नक्कली प्राविधिक सहयोग पोर्टलहरू जसले प्रयोगकर्ताहरूलाई 'फिक्स' वा 'अपडेटहरू' डाउनलोड गर्न दबाब दिन्छन् जसमा वास्तवमा ransomware लोडर समावेश छ।
• सम्झौता गरिएका वैध वेबसाइटहरू जुन ड्राइभ-बाई डाउनलोडहरू वा इन्जेक्टेड स्क्रिप्टहरूद्वारा पेलोड डेलिभर गरिएको छ।

तपाईंको रक्षालाई बलियो बनाउन उत्तम सुरक्षा अभ्यासहरू

तहबद्ध सुरक्षाले ransomware घटनाको ब्लास्ट रेडियसलाई उल्लेखनीय रूपमा कम गर्छ। तल प्राथमिकता दिइएका रक्षात्मक कदमहरू छन् जसले DeadLock र यस्तै खतराहरूलाई सफल हुनबाट रोक्न मद्दत गर्दछ:

• महत्वपूर्ण डेटाको भरपर्दो, अफलाइन ब्याकअपहरू कायम राख्नुहोस्।
• अपरेटिङ सिस्टम, एप्लिकेसन र फर्मवेयरलाई तुरुन्तै प्याच गर्नुहोस्, विशेष गरी म्याक्रो वा शोषण दुरुपयोगको जोखिममा रहेका सेवाहरू र उत्पादकता सुइटहरू।
• व्यवहार-आधारित ransomware पत्ता लगाउने र स्वचालित अलगावको साथ प्रतिष्ठित अन्त्य बिन्दु सुरक्षा/EDR प्रयोग गर्नुहोस्।
• न्यूनतम विशेषाधिकार प्राप्त प्रयोगकर्ता खाताहरू लागू गर्नुहोस्; आवश्यक नभएको ठाउँमा स्थानीय प्रशासकलाई असक्षम पार्नुहोस्; दैनिक प्रयोगबाट प्रशासक प्रमाणहरू अलग गर्नुहोस्।
• समूह नीति, एप्लिकेसन अनुमति सूचीकरण, र नियन्त्रित फोल्डर पहुँच मार्फत म्याक्रो कार्यान्वयन, स्क्रिप्ट दोभाषे, र हस्ताक्षर नगरिएका बाइनरीहरूलाई प्रतिबन्धित गर्नुहोस्।
• इमेल सुरक्षा फिल्टरिङ प्रयोग गर्नुहोस्: स्यान्डबक्स संलग्नकहरू, लिङ्कहरू निरीक्षण गर्नुहोस्, र शंकास्पद फाइल प्रकारहरू वा नक्कली प्रेषक डोमेनहरू फ्ल्याग गर्नुहोस्।
• हटाउन सकिने मिडियामा अटोरन असक्षम पार्नुहोस् र माउन्ट गर्नु अघि USB उपकरणहरू स्क्यान गर्नुहोस्।
• रिमोट एक्सेस, एडमिन कन्सोल र ब्याकअप व्यवस्थापन इन्टरफेसहरूको लागि मल्टिफ्याक्टर अथेन्टिकेसन (MFA) आवश्यक पर्दछ।

दीर्घकालीन पाठहरू

डेडलकले र्यान्समवेयर परिवारहरूमा दोहोरिने विषयवस्तुलाई सुदृढ बनाउँछ: यदि अन्तिम प्रयोगकर्ताहरूले नियमित रूपमा क्र्याक गरिएका उपकरणहरू डाउनलोड गर्छन्, अप्रमाणित संलग्नकहरू खोल्छन्, वा अविश्वसनीय विज्ञापन नेटवर्कहरू मार्फत ब्राउज गर्छन् भने आक्रमणकारीहरूलाई अत्याधुनिक शोषणको आवश्यकता पर्दैन। आधारभूत सुरक्षा प्रविधिहरू, प्याचिङ अनुशासन, पहुँच नियन्त्रणहरू, निगरानी गरिएका ब्याकअपहरू, र प्रयोगकर्ता जागरूकताले सम्भावित संकटलाई पुन: प्राप्ति योग्य घटनामा परिणत गर्दछ। यी प्रतिरक्षाहरूमा अहिले लगानी गर्नुहोस्; लागत दबाबमा तिरिएको फिरौती भन्दा धेरै कम छ।

समापन विचारहरू

तपाईंको स्क्रिनमा आक्रमण हुनुभन्दा धेरै अघि नै र्‍यान्समवेयरको लचिलोपन निर्माण हुन्छ। डेडलकले कसरी काम गर्छ भनेर बुझेर र स्तरित निवारक र पुन: प्राप्ति नियन्त्रणहरू लागू गरेर, तपाईं यो खतरा र अरूलाई मन पर्ने खतराको सामना गर्न आफूलाई तयार पार्नुहुन्छ। तपाईंले जानाजानी खोजी नगरेको वा प्रमाणित नगरेको कुनै पनि कुरामा शंकालु रहनुहोस्। तपाईंको सतर्कता पहिलो र प्रायः उत्तम, रक्षा रेखा हो।