RedStar Ransomware

தீம்பொருள் அச்சுறுத்தல்கள் தொடர்ந்து நுட்பத்தில் வளர்ந்து வருவதால், பயனர்களும் நிறுவனங்களும் தங்கள் சாதனங்களையும் தரவுகளையும் பாதுகாப்பது மிகவும் முக்கியமாகிறது. குறிப்பாக, ரான்சம்வேர் தாக்குதல்கள் மதிப்புமிக்க கோப்புகளை மறைகுறியாக்கம் செய்து, அவற்றை விடுவிக்கப் பணம் கோருவதன் மூலம் தனிப்பட்ட கணினிகளையும் பெருநிறுவன வலையமைப்புகளையும் முடக்கிவிடும். சமீபத்தில் கண்டறியப்பட்ட ரெட்ஸ்டார் ரான்சம்வேர் எனப்படும் ஒரு அச்சுறுத்தல், நவீன தாக்குதல்தாரிகள் எளிய தொற்று உத்திகளை சேதப்படுத்தும் மறைகுறியாக்கத் திறன்களுடன் இணைத்து, பாதிக்கப்பட்டவர்களைப் பணம் செலுத்துமாறு எவ்வாறு கட்டாயப்படுத்துகிறார்கள் என்பதை விளக்குகிறது. இதுபோன்ற அச்சுறுத்தல்கள் எவ்வாறு செயல்படுகின்றன, அவை எவ்வாறு பரவுகின்றன என்பதைப் புரிந்துகொள்வது, அவற்றுக்கு எதிரான பாதுகாப்புகளை வலுப்படுத்துவதற்கு அவசியமாகும்.

ரெட்ஸ்டார் ரான்சம்வேரின் தோற்றம்

இணையத்தில் பரவிவரும் சந்தேகத்திற்கிடமான தீம்பொருள் மாதிரிகள் குறித்த விசாரணையின்போது, பாதுகாப்பு ஆராய்ச்சியாளர்கள் ரெட்ஸ்டார் ரான்சம்வேரைக் கண்டறிந்தனர். பாதிக்கப்பட்ட சாதனத்தில் இது செயல்படுத்தப்பட்டவுடன், கணினியில் சேமிக்கப்பட்ட கோப்புகளை இந்த ரான்சம்வேர் குறியாக்கம் செய்யத் தொடங்குகிறது. இந்தச் செயல்பாட்டின்போது, பாதிக்கப்பட்ட ஒவ்வொரு கோப்பும் '.RedStar' என்ற நீட்டிப்புடன் மறுபெயரிடப்படுகிறது. உதாரணமாக, முதலில் '1.png' என்று பெயரிடப்பட்ட ஒரு கோப்பு '1.png.RedStar' ஆகவும், '2.pdf' என்பது '2.pdf.RedStar' ஆகவும் மாற்றப்படுகிறது. இந்த மறுபெயரிடல், கோப்புகள் குறியாக்கச் செயல்முறையால் செயலாக்கப்பட்டுவிட்டன என்பதையும், அவற்றின் அசல் வடிவத்தில் இனி அணுக முடியாது என்பதையும் குறிக்கிறது.

குறியாக்கக் கட்டத்தைத் தொடர்ந்து, அந்த மால்வேர் பாதிக்கப்பட்ட கணினியில் 'READ_ME.txt' என்ற பெயரில் ஒரு மிரட்டல் குறிப்பை இடுகிறது. பாதிக்கப்பட்டவர்களின் கோப்புகள் பூட்டப்பட்டுள்ளதாகவும், தாக்குதல் நடத்துபவர்களின் கட்டுப்பாட்டில் உள்ள ஒரு சிறப்பு மறைகுறியாக்க நீக்கக் கருவி இல்லாமல் அவற்றைத் திறக்க முடியாது என்றும் அந்தச் செய்தி தெரிவிக்கிறது. மிரட்டல் மென்பொருள் தாக்குதல்களில் பொதுவாகக் காணப்படுவது போல, பணம் செலுத்துவது குறித்துப் பேச்சுவார்த்தை நடத்த, தங்களைத் தொடர்புகொள்ளுமாறு தாக்குதல் நடத்துபவர்கள் பாதிக்கப்பட்டவர்களை வற்புறுத்த முயற்சிக்கின்றனர்.

மீட்புத்தொகை கோரிக்கை மற்றும் தாக்குபவரின் தகவல் தொடர்பு

ரெட்ஸ்டார் தொடர்பான மிரட்டல் குறிப்பில், பாதிக்கப்பட்டவர்கள் தங்கள் தரவுகளை மீட்டெடுப்பதற்கான வழிமுறைகள் உள்ளன. குறியாக்கம் செய்யப்பட்ட கோப்புகளுக்கான அணுகலை மீண்டும் பெறுவதற்கான ஒரே வழி, தாக்குதல் நடத்தியவர்களிடமிருந்து மறைகுறியாக்கத் திறவுகோலைப் பெறுவதுதான் என்று அது கூறுகிறது. பாதிக்கப்பட்டவர்கள் பிட்காயினில் பணம் செலுத்துமாறு கேட்கப்படுகிறார்கள், இருப்பினும் 'கொஞ்சம் நல்ல காபி' கொடுத்தாலும் போதுமானது என்று அந்தச் செய்தி நகைச்சுவையாகக் குறிப்பிடுகிறது. இந்த நகைச்சுவையான தொனி இருந்தபோதிலும், இந்த அச்சுறுத்தல் தீவிரமானதாகவே உள்ளது, ஏனெனில் சரியான மறைகுறியாக்கத் திறவுகோல் இல்லாமல் குறியாக்கம் செய்யப்பட்ட கோப்புகளை பொதுவாக மீட்டெடுக்க முடியாது.

தாக்குதல் நடத்துபவர்கள் 'redstarme@proton.me' என்ற தொடர்பு மின்னஞ்சல் முகவரியை வழங்கி, பணம் செலுத்திய பிறகு தங்களைத் தொடர்புகொள்ளுமாறு பாதிக்கப்பட்டவர்களை ஊக்குவிக்கின்றனர். இருப்பினும், இணையப் பாதுகாப்பு வல்லுநர்கள், மீட்புப் பணக் கோரிக்கைகளுக்குப் பணம் செலுத்துவதை வன்மையாக ஊக்கப்படுத்துவதில்லை. தாக்குதல் நடத்துபவர்கள் செயல்படும் மறைகுறியாக்கத் திறவுகோலை வழங்குவார்கள் என்பதற்கு எந்த உத்தரவாதமும் இல்லை, மேலும் பணம் செலுத்துவது மேலதிக இணையக் குற்றச் செயல்களை மட்டுமே ஊக்குவிக்கும்.

பல சந்தர்ப்பங்களில், தாக்குதலின் போது சேதமடையாத காப்புப்பிரதிகள் இருந்து, அவை பாதிக்கப்படாமல் இருந்தால், அவற்றிலிருந்து கோப்புகளை மீட்டெடுப்பதே மிகவும் பாதுகாப்பான மீட்பு முறையாகும்.

ரெட்ஸ்டார் மற்றும் அதுபோன்ற ரான்சம்வேர்கள் எவ்வாறு பரவுகின்றன

ரேன்சம்வேர் அரிதாகவே தன்னிச்சையாகப் பரவுகிறது; மாறாக, தாக்குதல் நடத்துபவர்கள் பயனர்களை ஏமாற்றுவதற்கோ அல்லது கணினி அமைப்புகளில் உள்ள பலவீனங்களைப் பயன்படுத்திக் கொள்வதற்கோ வடிவமைக்கப்பட்ட பலவிதமான தொற்று நுட்பங்களை நம்பியிருக்கிறார்கள். இணையக் குற்றவாளிகள் பயன்படுத்தும் பல பொதுவான வழிகள் மூலம் ரெட்ஸ்டார் சாதனங்களுக்குள் ஊடுருவ வாய்ப்புள்ளது:

• தீங்கிழைக்கும் இணைப்புகள் அல்லது இணைப்புகளைக் கொண்ட ஏமாற்றும் மின்னஞ்சல்கள்
• காலாவதியான மென்பொருள் பாதிப்புகளைச் சுரண்டுதல்
• போலி மென்பொருள் கிராக்குகள், கீ ஜெனரேட்டர்கள் அல்லது திருட்டுப் பயன்பாடுகள்
• தீங்கிழைக்கும் விளம்பரங்கள் மற்றும் மோசடியான தொழில்நுட்ப ஆதரவுத் திட்டங்கள்
• பாதிக்கப்பட்ட USB டிரைவ்கள் அல்லது சமரசம் செய்யப்பட்ட வலைத்தளங்கள்
• பியர்-டு-பியர் கோப்பு பகிர்வு நெட்வொர்க்குகள் மற்றும் மூன்றாம் தரப்பு பதிவிறக்கிகள்

தீம்பொருள் சுமைகள் பெரும்பாலும் பாதிப்பில்லாதவை போல் தோற்றமளிக்கும் கோப்புகளுக்குள் மறைக்கப்பட்டிருக்கும். இயக்கக்கூடிய கோப்புகள், சுருக்கப்பட்ட காப்பகங்கள், ஸ்கிரிப்டுகள் மற்றும் ஆஃபீஸ் அல்லது PDF கோப்புகள் போன்ற ஆவணங்கள் பொதுவாக ஊடகங்களாகப் பயன்படுத்தப்படுகின்றன. அவை திறக்கப்பட்டவுடன் அல்லது இயக்கப்பட்டவுடன், அந்த ரான்சம்வேர் யாருக்கும் தெரியாமல் செயல்பட்டு, தனது குறியாக்கச் செயல்முறையைத் தொடங்குகிறது.

உடனடி அகற்றுதல் ஏன் இன்றியமையாதது

ஒரு கணினியில் ரான்சம்வேர் செயலில் இருக்கும்போது, முதல் சுற்று கோப்பு மறையாக்கத்துடன் பாதிப்பு நின்றுவிடாது. சில சமயங்களில், அந்த மால்வேர் புதிதாக உருவாக்கப்பட்ட கோப்புகளைத் தொடர்ந்து மறையாக்கம் செய்யலாம், ஒரு நெட்வொர்க்கில் பரவ முயற்சி செய்யலாம் அல்லது கூடுதல் தீங்கிழைக்கும் கூறுகளைப் பதிவிறக்கம் செய்யலாம்.

இந்த அபாயத்தின் காரணமாக, பாதிக்கப்பட்ட கணினிகளை நெட்வொர்க்குகளிலிருந்து கூடிய விரைவில் தனிமைப்படுத்த வேண்டும். ரான்சம்வேரை அகற்றுவது, மேலும் குறியாக்கச் செயல்பாடுகளைத் தடுப்பதோடு, அதே சூழலில் உள்ள மற்ற சாதனங்களுக்கும் தொற்று பரவுவதற்கான வாய்ப்பையும் குறைக்கிறது. கோப்புகளை உடனடியாக மீட்டெடுக்க முடியாவிட்டாலும், தீம்பொருளைத் தடுப்பது இந்தச் சம்பவத்தின் அளவைக் கட்டுப்படுத்துகிறது.

வலுவான பாதுகாப்பிற்கான அத்தியாவசிய பாதுகாப்பு நடைமுறைகள்

ransomware தொற்றுகளைத் தடுப்பதற்கு, சீரான இணையப் பாதுகாப்புப் பழக்கவழக்கங்களும் அடுக்கு பாதுகாப்புகளும் தேவைப்படுகின்றன. பின்வரும் பாதுகாப்பு நடைமுறைகளைச் செயல்படுத்துவதன் மூலம், பயனர்களும் நிறுவனங்களும் தொற்று ஏற்படும் அபாயத்தைக் கணிசமாகக் குறைக்க முடியும்:

• தாக்குதல் நடத்துபவர்களுக்குப் பணம் செலுத்தாமல் கோப்புகளை மீட்டெடுக்க, வழக்கமான ஆஃப்லைன் அல்லது கிளவுட் காப்புப்பிரதிகளைப் பராமரிக்கவும்.
• அறியப்பட்ட பாதிப்புகளை நீக்குவதற்கு, இயக்க முறைமைகள், உலாவிகள் மற்றும் பயன்பாடுகளை முழுமையாகப் புதுப்பித்து வைக்கவும்.
• நிகழ்நேரப் பாதுகாப்பு வழங்கும் நம்பகமான பாதுகாப்பு மென்பொருளைப் பயன்படுத்துங்கள் மற்றும் அதன் கையொப்பங்களைப் புதுப்பித்துக்கொண்டே இருங்கள்.
• திருட்டு மென்பொருள், அதிகாரப்பூர்வமற்ற நிறுவிகள் அல்லது நம்பகமற்ற மூலங்களிலிருந்து கோப்புகளைப் பதிவிறக்குவதைத் தவிர்க்கவும்.

• இணைப்புகளைத் திறப்பதற்கு அல்லது இணைப்புகளைச் சொடுக்குவதற்கு முன் மின்னஞ்சல்களைக் கவனமாகச் சரிபார்க்கவும்.

• முற்றிலும் அவசியமெனில் தவிர, ஆஃபீஸ் ஆவணங்களில் மேக்ரோக்களை முடக்கவும்.

• நீக்கக்கூடிய ஊடகங்களின் பயன்பாட்டைக் கட்டுப்படுத்துங்கள் மற்றும் USB சாதனங்களின் உள்ளடக்கங்களை அணுகுவதற்கு முன் அவற்றை ஸ்கேன் செய்யுங்கள்.

• ஃபிஷிங் தாக்குதல்கள் மற்றும் சமூகப் பொறியியல் உத்திகள் குறித்து பயனர்களுக்குக் கல்வி புகட்டுங்கள்.

இந்தத் தொழில்நுட்ப நடவடிக்கைகளுக்கு அப்பால், இணையப் பாதுகாப்பு விழிப்புணர்வு தற்காப்பில் ஒரு முக்கியப் பங்கு வகிக்கிறது. பயனர்கள் தங்களுக்குத் தெரியாமலேயே தீங்கிழைக்கும் கோப்புகளை இயக்குவதாலோ அல்லது மோசடி செய்திகளை நம்புவதாலோ பல ரான்சம்வேர் தாக்குதல்கள் வெற்றி பெறுகின்றன. எச்சரிக்கையான இணையப் பழக்கங்களை வளர்த்துக்கொள்வது, தாக்குதல் நடத்துபவர்கள் நம்பியிருக்கும் பல வாய்ப்புகளை அகற்ற உதவுகிறது.

இறுதி எண்ணங்கள்

ரெட்ஸ்டார் ரேன்சம்வேர், ஒப்பீட்டளவில் எளிமையான தீம்பொருள் கூட ஒரு கணினி அமைப்பிற்குள் ஊடுருவியவுடன் எவ்வாறு கடுமையான இடையூறுகளை ஏற்படுத்தக்கூடும் என்பதை விளக்குகிறது. கோப்புகளை மறைகுறியாக்கம் செய்து, அவற்றை மீட்டெடுக்கப் பணம் கோருவதன் மூலம், தாக்குபவர்கள் மக்களின் அவசரத்தையும் பீதியையும் தங்களுக்குச் சாதகமாகப் பயன்படுத்திக்கொள்ள முயற்சிக்கின்றனர். இருப்பினும், இதுபோன்ற அச்சுறுத்தல்கள் எவ்வாறு செயல்படுகின்றன என்பதைப் புரிந்துகொள்வதும், வலுவான பாதுகாப்பு நடைமுறைகளைச் செயல்படுத்துவதும், அவற்றுக்குப் பலியாகும் வாய்ப்பைக் கணிசமாகக் குறைக்க உதவும்.

தொடர்ச்சியான கணினி மேம்படுத்தல்கள், எச்சரிக்கையான இணையப் பயன்பாடு மற்றும் நம்பகமான காப்புப் பிரதிகள் ஆகியவை ரான்சம்வேருக்கு எதிரான மிகவும் பயனுள்ள பாதுகாப்புகளாகத் திகழ்கின்றன. இந்தப் பாதுகாப்பு ஏற்பாடுகள் இருக்கும்போது, ஒரு வெற்றிகரமான ஊடுருவல் கூட மிகக் குறைவான சேதத்தையே ஏற்படுத்துகிறது. இதன்மூலம், இணையக் குற்றவாளிகளின் கோரிக்கைகளுக்கு அடிபணியாமல், முக்கியமான தரவுகளை மீட்டெடுக்க முடிவது உறுதி செய்யப்படுகிறது.