HelloXD Ransomware
HelloXD Ransomware ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਮਾਲਵੇਅਰ ਖ਼ਤਰਾ ਹੈ, ਸਾਈਬਰ ਅਪਰਾਧੀ ਇਸਨੂੰ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਦੋਵਾਂ ਪ੍ਰਣਾਲੀਆਂ ਦੇ ਵਿਰੁੱਧ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਨੇ ਸਭ ਤੋਂ ਪਹਿਲਾਂ ਨਵੰਬਰ 2021 ਵਿੱਚ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਧਿਆਨ ਖਿੱਚਿਆ ਸੀ ਅਤੇ, ਉਦੋਂ ਤੋਂ, ਇਹ ਲਗਾਤਾਰ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਹੈ। ਧਮਕੀ ਦੇ ਲੇਖਕਾਂ ਦੁਆਰਾ ਕੀਤੀਆਂ ਗਈਆਂ ਕੁਝ ਹੋਰ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀਆਂ ਦਾ ਵੇਰਵਾ ਪਾਲੋ ਆਲਟੋ ਨੈੱਟਵਰਕ ਦੀ ਯੂਨਿਟ 42 ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਦਿੱਤਾ ਗਿਆ ਸੀ।
ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, HelloXD Babuk / Babyk ਨਾਮ ਦੇ ਇੱਕ ਹੋਰ ਰੈਨਸਮਵੇਅਰ ਧਮਕੀ ਦੇ ਲੀਕ ਹੋਏ ਸਰੋਤ ਕੋਡ 'ਤੇ ਅਧਾਰਤ ਹੈ। ਸ਼ੁਰੂਆਤੀ ਨਮੂਨਿਆਂ ਨੇ ਇਸਦੀ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੇ ਹਿੱਸੇ ਵਜੋਂ Curve25519-Donna ਅਤੇ ਇੱਕ ਸੋਧਿਆ HC-128 ਦੇ ਸੁਮੇਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਹਾਲਾਂਕਿ, ਬਾਅਦ ਦੇ ਸੰਸਕਰਣਾਂ ਨੇ HC-128 ਨੂੰ ਤੇਜ਼ ਰੈਬਿਟ ਸਮਮਿਤੀ ਸਾਈਫਰ ਲਈ ਬਦਲਿਆ। HelloXD ਹਰੇਕ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਲਈ ਇੱਕ ਖਾਸ ID ਤਿਆਰ ਕਰਦਾ ਹੈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਹੀ ਡੀਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਭੇਜਣਾ ਚਾਹੀਦਾ ਹੈ।
ਬੇਸ਼ੱਕ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸੰਚਾਲਕ ਮੋਟੀ ਫਿਰੌਤੀ ਅਦਾ ਕਰਨ ਤੋਂ ਬਾਅਦ ਹੀ ਆਪਣੇ ਪੀੜਤਾਂ ਨੂੰ ਸਹਾਇਤਾ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਤਿਆਰ ਹਨ। ਦਰਅਸਲ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਉਨ੍ਹਾਂ ਦੀਆਂ ਮੰਗਾਂ ਪੂਰੀਆਂ ਕੀਤੀਆਂ ਜਾਣਗੀਆਂ, ਹੈਕਰ ਦੋਹਰੀ ਜਬਰ-ਜਨਾਹ ਦੀ ਸਕੀਮ ਚਲਾਉਂਦੇ ਹਨ। ਅਭਿਆਸ ਵਿੱਚ, ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਐਨਕ੍ਰਿਪਸ਼ਨ ਰੁਟੀਨ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਉਲੰਘਣਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸਾਂ ਦੇ ਡੇਟਾ ਨੂੰ ਰਿਮੋਟ ਸਰਵਰ ਵਿੱਚ ਐਕਸਫਿਲਟਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਸੰਸਥਾਵਾਂ ਦੇ ਉਲਟ, ਹੈਲੋਐਕਸਡੀ ਰੈਨਸਮਵੇਅਰ ਦੇ ਆਪਰੇਟਰ ਇੱਕ ਸਮਰਪਿਤ ਲੀਕ ਸਾਈਟ ਨੂੰ ਕਾਇਮ ਨਹੀਂ ਰੱਖਦੇ ਹਨ। ਇਸ ਦੀ ਬਜਾਏ, ਉਹ ਪ੍ਰਭਾਵਿਤ ਸੰਸਥਾਵਾਂ ਨੂੰ ਟੌਕਸ ਚੈਟ, ਇੱਕ ਪੀਅਰ-ਟੂ-ਪੀਅਰ ਚੈਟ ਕਲਾਇੰਟ ਦੁਆਰਾ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦੇ ਹਨ। ਹੈਕਰ ਇਸ ਵਿਵਹਾਰ ਤੋਂ ਦੂਰ ਜਾ ਸਕਦੇ ਹਨ - ਹੈਲੋਐਕਸਡੀ ਦੁਆਰਾ ਛੱਡੇ ਗਏ ਕੁਝ ਹੋਰ ਤਾਜ਼ਾ ਰਿਹਾਈ ਨੋਟਾਂ ਵਿੱਚ ਓਨੀਅਨ ਨੈੱਟਵਰਕ 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਗਈ ਅਜੇ ਤੱਕ ਨਾ-ਸਰਗਰਮ ਵੈੱਬਸਾਈਟ ਦਾ ਲਿੰਕ ਸ਼ਾਮਲ ਹੈ।
ਯੂਨਿਟ 42 ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਕੀਤੀਆਂ ਗਈਆਂ ਹੋਰ ਅਜੀਬ ਖੋਜਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇਹ ਹੈ ਕਿ ਇੱਕ ਹੈਲੋਐਕਸਡੀ ਨਮੂਨੇ ਨੇ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ 'ਤੇ ਇੱਕ ਬੈਕਡੋਰ ਖ਼ਤਰਾ ਛੱਡ ਦਿੱਤਾ ਹੈ। ਬੈਕਡੋਰ ਮਾਈਕ੍ਰੋਬੈਕਡੂਰ ਨਾਮਕ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਟੂਲ ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਹੈ ਜਿਸਨੂੰ WinCrypt API ਨਾਲ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਅਤਿਰਿਕਤ ਮਾਲਵੇਅਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਨੂੰ ਉਲੰਘਣਾ ਕੀਤੀ ਮਸ਼ੀਨ 'ਤੇ ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਚੁਣੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਅਪਲੋਡ ਕਰਨ, ਵਾਧੂ ਫਾਈਲਾਂ ਜਾਂ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ, ਅਤੇ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਨੂੰ ਵੀ ਪੀੜਤ ਦੀ ਡਿਵਾਈਸ ਤੋਂ ਆਪਣੇ ਆਪ ਨੂੰ ਹਟਾਉਣ ਲਈ ਕਿਹਾ ਜਾ ਸਕਦਾ ਹੈ।
