जिग्सॉ रैनसमवेयर क्या है और इससे कैसे बचाव करें?
मार्च 2016 में,आराविशेष रुप से प्रदर्शित बिली कठपुतली डरावनी फिल्म का किरदार देखा इसके फिरौती मांग पृष्ठ पर
हालाँकि इसने दुनिया भर के व्यवसायों में डर पैदा कर दिया, लेकिन यह आतंक गलत साबित हुआ क्योंकि इसके बारे में लिखा गया था। जाल, और इसके कोड को पढ़कर यह पता लगाया जा सकता है कि फिरौती का भुगतान करने के बजाय फ़ाइलों को कैसे डिक्रिप्ट किया जाए।
अपनी सुरक्षा कमज़ोरी के बावजूद, आरा को इससे सुरक्षित रखने की आवश्यकता है। हालाँकि अभी उग्र स्थिति में नहीं है, जिग्सॉ को मरे हुओं में से जीवित होने की आदत है, इसलिए यह अभी भी वापस आ सकता है और आपके नेटवर्क प्रबंधक के जीवन को डरा सकता है।
जिग्सॉ रैंसमवेयर के बारे में
जिग्सॉ रैनसमवेयर के नाम से भी जाना जाता था बिटकॉइनब्लैकमेलर . यह केवल विंडोज़ ऑपरेटिंग सिस्टम चलाने वाले कंप्यूटरों पर हमला करता है। जब मैलवेयर पहली बार देखा जाता है, तो प्रत्येक साइबर सुरक्षा अनुसंधान प्रयोगशाला एक नाम लेकर आती है। जबकि कुछ, अन्य प्रयोगशालाओं के बारे में जानने पर किसी वायरस का नामकरण उस नाम के साथ करेंगे, अन्य, लगभग एक साथ नए मैलवेयर की पहचान करते हुए, इसके लिए अपना शब्द लेकर आएंगे। इस प्रकार, कुछ मैलवेयर एकाधिक वर्णों द्वारा जाने जाते हैं, और आरा/बाइकॉइनब्लैकमेलर के मामले में भी यही है।
आरा इसका मुख्य नायक था देखा डरावनी फ्रेंचाइजी. यह चरित्र जिम क्रेमर था, जो एक सिलसिलेवार हत्यारा था, जिसे डब किया गया था आरा हत्यारा . एक हत्या की तैयारी में, जिग्सॉ ने अपने पीड़ितों को फंसाया और फिर उन्हें ऐसे कार्यों का ताना दिया जिसमें उनकी जान बचाने का वादा किया गया था। इन कार्यों के निर्देश टीवी मॉनीटर पर कठपुतली नामक कठपुतली द्वारा दिए गए थे बील्ली . इस कठपुतली की एक तस्वीर मैलवेयर की फिरौती की मांग पर दिखाई देती है, जिसने इसके नाम को प्रेरित किया।
जिग्सॉ नाम पिछले संस्करणों की स्क्रीन पर दिखाई नहीं दिया। हालाँकि, जैसे-जैसे महीने बीतते गए, नए संस्करण जारी किए गए और लेखकों ने जिग्सॉ नाम अपनाया।
जिग्सॉ रैनसमवेयर क्या करता है?
आरा एक सिस्टम के माध्यम से मिलता है अवांछनीय ई - मेल . रैंसमवेयर के वेरिएंट एडवेयर और पोर्न साइट डाउनलोड पर भी पाए जा सकते हैं। अनुलग्नक या डाउनलोड में जिग्सॉ के लिए इंस्टॉलर शामिल है और फ़ाइल खुलने के बाद सक्रिय हो जाएगा।
जिग्सॉ firefox.exe या drpbx.exe नाम अपनाकर अपना अस्तित्व छुपाता है। एन्क्रिप्टिंग वायरस के लिए कोड स्थित है %UserProfile%AppDataRoamingFrfxfirefox.exe, और यह स्टार्टअप प्रक्रिया सूची में अपने लिए एक लॉन्चिंग कमांड लिखता है।
रैनसमवेयर संक्रमित कंप्यूटर के अलावा उसकी सभी डेटा फ़ाइलों को एन्क्रिप्ट करता है मास्टर बूट दस्तावेज़ . यह उपयोगकर्ता है एईएस कूटलेखन। यह यह भी सुनिश्चित करता है कि यह कंप्यूटर के साथ प्रारंभ हो। प्रोग्राम इंस्टॉल होते ही एन्क्रिप्शन तुरंत शुरू हो जाता है। सौभाग्य से, आरा किसी नेटवर्क के चारों ओर पार्श्व रूप से नहीं चलता है। यह केवल उस डिवाइस पर फ़ाइलों को एन्क्रिप्ट करता है जिस पर इसे डाउनलोड किया गया है। सिस्टम एन्क्रिप्ट नहीं करता निष्पादनयोग्य .
एन्क्रिप्शन प्रक्रिया पूरी होने के बाद फिरौती स्क्रीन दिखाई देती है। यह भी शामिल है एक उलटी गिनती एक घंटे के लिए; जब वह शून्य पर पहुँच जाता है, एक फ़ाइल नष्ट हो जाती है . स्क्रीन में एक बटन होता है, जिसे दबाने पर एक टेक्स्ट फ़ाइल सामने आती है जिसमें सभी एन्क्रिप्टेड फ़ाइलें सूचीबद्ध होती हैं।
डिक्रिप्शन कुंजी के लिए फिरौती $150 के बराबर बिटकॉइन है। पीड़ित को प्रेरित करने के लिए, आरा एक फ़ाइल को हटा देता है एक घंटे के बाद . इसके बाद यह हर घंटे एक डिलीट चक्र निष्पादित करता है, प्रत्येक क्रिया के साथ फ़ाइलों की बढ़ती संख्या को हटाता है। यदि भुगतान नहीं किया गया है 72 घंटे प्रारंभिक संदेश दिखने के बाद, रैंसमवेयर पूरे कंप्यूटर को मिटा देगा।
कंप्यूटर को रीबूट करना एक बुरा विचार है क्योंकि रैंसमवेयर फिर से चालू हो जाएगा 1,000 फ़ाइलें हटाएँ सज़ा के तौर पर. फिरौती की चेतावनी में यह भी कहा गया है कि यदि उपयोगकर्ता मैलवेयर की चल रही प्रक्रिया को समाप्त करने का प्रयास करता है तो 1,000 फ़ाइलें हटा दी जाएंगी। हालाँकि, ऐसा हुआ बेईमान , जिससे प्रोग्राम को हराना बहुत आसान हो गया है।
कई साइबर सुरक्षा विश्लेषकों ने निष्कर्ष निकाला कि आरा का उत्पाद था शौकीनों , शायद किशोरों के लिए अति उपलब्धि, क्योंकि यह बहुत अच्छी तरह से योजनाबद्ध नहीं था। जिस आसानी से शोधकर्ता इस प्रक्रिया को पहचान सके और उसे रोक सके, उससे पता चला कि हैकर्स को मैलवेयर बनाने का अधिक अनुभव नहीं था। इससे यह निष्कर्ष निकलता है कि आरा प्रणाली खतरे से अधिक साहसपूर्ण थी।
आरा रैंसमवेयर के लिए फिरौती का भुगतान करना
फिरौती स्क्रीन का पहचानकर्ता दिखाता है एक बिटकॉइन वॉलेट . पीड़ित को मांगे गए बिटकॉइन को खरीदना होगा और उसे उस वॉलेट में आवंटित करना होगा।
स्क्रीन में एक बटन भी शामिल है जिसे पीड़ित को भुगतान होने के बाद दबाना होगा। इसके बाद सिस्टम जमा राशि के लिए खाते की जांच करता है और यदि इसका पता चलता है, तो यह जांच की जाएगी प्रोग्राम को अद्यतन करें सभी फ़ाइलों को डिक्रिप्ट करना और फिर सभी रैंसमवेयर घटकों को हटाना, कंप्यूटर को उसकी मूल स्थिति में वापस लाना।
आरा के प्रकार
वहाँ कई थे आरा के प्रकार , प्रत्येक को एक अलग फिरौती स्क्रीन, एन्क्रिप्टेड फ़ाइलों के लिए उपयोग किए जाने वाले एक अलग एक्सटेंशन और प्रवेश के विभिन्न तरीकों द्वारा दर्शाया गया है। प्रत्येक संस्करण के साथ फिरौती की राशि भी बदलती रही। पहले अवतार में $150 की मांग की गई, लेकिन बाद के वेरिएंट की मांग $10 से $380 तक थी। मूल आरा जोड़ा गया ।मज़ा एक्सटेंशन और डेवलपर्स ने शुरुआत में रैंसमवेयर के लिए इस नाम का उपयोग किया था।
जिग्सॉ मैलवेयर के नए संस्करण या तो डिमांड स्क्रीन की भाषा को बदलने, कोड के परिशोधन, रैंसमवेयर स्क्रीन लेआउट में बदलाव, या अलग-अलग नामित रैंसमवेयर थे जो मूल जिग्स के लगभग समान थे।
कुछ वेरिएंट का इस्तेमाल किया गया एक संपर्क ईमेल पता कई अलग-अलग पतों के साथ एन्क्रिप्टेड फ़ाइल एक्सटेंशन के रूप में। इसका मतलब यह हो सकता है कि कई वेरिएंट अन्य व्यक्तियों द्वारा अनुकूलित किए गए थे जिन्होंने जिग्सॉ कोड हासिल कर लिया था।
आरा रैनसमवेयर से पुनर्प्राप्त करना
साइबर सुरक्षा विश्लेषकों ने बहुत जल्दी पता लगा लिया कि जिग्सॉ रैंसमवेयर और इसके सभी प्रकार हो सकते हैं आसानी से पराजित . हालाँकि फिरौती स्क्रीन बताती है कि यदि उपयोगकर्ता प्रक्रिया को रोकने की कोशिश करता है तो 1,000 फ़ाइलें हटा दी जाएंगी, लेकिन ऐसा नहीं है।
जिग्सॉ से निःशुल्क पुनर्प्राप्त करने के लिए इन चरणों का पालन करें:
- खोलेंकार्य प्रबंधकऔर दो प्रक्रियाओं को मार डालो। ये हैंफ़ायरफ़ॉक्सऔरड्रॉपबॉक्स. आपके पास जो वैरिएंट है वह इनमें से किसी एक या दोनों का उपयोग कर सकता है। यदि आप दोनों को नहीं खोज पाते, तो चिंता न करें। बस यह सुनिश्चित करें कि कोई भी नहीं चल रहा हो।
- खोलेंचालू होनाटास्क मैनेजर में टैब करें और वहां फ़ायरफ़ॉक्स और/या ड्रॉपबॉक्स प्रविष्टियों को अक्षम करें।
- क्लिक करके चेकप्वाइंट जिग्सॉ पज़ल सॉल्वर डाउनलोड करें यहाँ . JPS.zip फ़ाइल को अनपैक करें।
- उस निर्देशिका पर जाएं जिसे आपने अनज़िप किया था और उस पर राइट-क्लिक करेंजेपीएस.exeफ़ाइल—चयन करेंव्यवस्थापक के रूप में चलाएं.
- जिगसॉ पज़ल सॉल्वर में दिए गए निर्देशों का पालन करें।
चेक प्वाइंट उपयोगिता जिगसॉ प्रोग्राम के बारे में ट्रिक्स यह सोचकर कि फिरौती का भुगतान कर दिया गया है, इसलिए यह अपनी सभी सुधार प्रक्रियाओं को लॉन्च करता है और सभी फाइलों को डिक्रिप्ट करता है। यह कंप्यूटर से जिग्सॉ रैनसमवेयर के सभी तत्वों को हटाकर भी सफाई करेगा।
आरा की दो विशेषताएं इससे निपटना आसान बनाती हैं। सबसे पहले, यह केवल संक्रमित करता है एक कंप्यूटर एक ही समय पर; यह नेटवर्क पर स्वयं की प्रतिकृति नहीं बनाता है। दूसरे, यह तुरंत आग लग जाती है इसे कंप्यूटर पर स्थापित करने के बाद, आपको चिंता करने की ज़रूरत नहीं है कि आपके किसी भी कंप्यूटर पर इसकी प्रतियां निष्क्रिय पड़ी हो सकती हैं।
जिग्सॉ रैनसमवेयर से सुरक्षा
आरा काफी समय से दोबारा सामने नहीं आया है। हालाँकि, निर्माता थे कभी गिरफ्तार नहीं किया गया, इसलिए वे अभी भी वहां हैं और किसी भी समय अभियान फिर से शुरू कर सकते हैं। हालाँकि एन्क्रिप्शन को उलटने के लिए एक आसान समाधान उपलब्ध है, ये हैकर्स इस तथ्य पर भरोसा करते हैं कि जिन कुछ लोगों पर हमला किया गया है घबड़ाहट और मुफ़्त समाधान की तलाश किए बिना जितनी जल्दी हो सके फिरौती का भुगतान करें।
आरा के पीछे हैकर थे कभी पहचाना नहीं गया . यह भी पता नहीं चला कि वे किस देश में काम करते हैं। वेब पर बहुत सारे शोध प्रकाशित हुए हैं जो जिग्स की कमजोरियों को बताते हैं, और हैकरों ने उस सभी विश्लेषण को पढ़ने की अधिक संभावना है। वे अभी वहाँ हो सकते हैं, सख्त उनके रैंसमवेयर को हराना कठिन हो गया है।
जिग्सॉ रैंसमवेयर कंप्यूटर उपयोगकर्ता द्वारा डाउनलोड किया जाता है। इसलिए, इसके और किसी अन्य रैंसमवेयर द्वारा भविष्य में होने वाले हमलों के खिलाफ आवश्यक सुरक्षा है उपयोगकर्ता समुदाय को शिक्षित करें अज्ञात स्रोतों से ईमेल पर अनुलग्नक डाउनलोड करने के बारे में। कंपनी के कंप्यूटरों पर अनधिकृत सॉफ़्टवेयर डाउनलोड करने से रोकने के लिए उपयोगकर्ताओं पर जुर्माना लगाना भी एक अच्छा विचार है।
आपके पास भी बुद्धिमान होना चाहिए साइबर सुरक्षा सॉफ्टवेयर सभी अंतिम बिंदुओं पर स्थापित करें और सुरक्षा निगरानी सॉफ़्टवेयर में निवेश करें।
जिग्सॉ रैनसमवेयर से बचाव के लिए सर्वोत्तम उपकरण
चूंकि डेस्कटॉप कंप्यूटर जिग्सॉ रैंसमवेयर के प्रति सबसे अधिक असुरक्षित हैं, इसलिए आपको एक प्राप्त करने की आवश्यकता है समापन बिंदु का पता लगाना और प्रतिक्रिया आपके सभी अंतिम बिंदुओं की सुरक्षा के लिए सुइट (EDR) पैकेज। यदि आप डेटा गोपनीयता मानक से बंधे हैं, जैसे कि HIPAA , पीसीआई डीएसएस , या जीडीपीआर , संवेदनशील डेटा को किसी भी हमले से बचाने के लिए आपके पास सुरक्षा सॉफ़्टवेयर होना चाहिए।
EDR सिस्टम मूल एंटीवायरस सिस्टम से विकसित हुए हैं। जबकि एवी किसी ज्ञात मैलवेयर सूची में कंप्यूटर पर चल रही फ़ाइलों या प्रक्रियाओं की जाँच करते हैं, ईडीआर अधिक परिष्कृत होते हैं। आईटी को साइबर सुरक्षा अनुसंधान प्रयोगशालाओं को नए मैलवेयर के बारे में जागरूक होने, उसकी जांच करने और समाधान तैयार करने में समय लगता है। उस अवधि के दौरान, कई कंप्यूटर 'कहा जाता है' से संक्रमित हो सकते थे। शून्य-दिन के हमले ।” आधुनिक ईडीआर सिस्टम ब्लैकलिस्ट पर निर्भर नहीं होते हैं। इसके बजाय, वे तलाश करते हैं असामान्य व्यवहार .
एक मजबूत ईडीआर प्रणाली ग्राहकों के बीच हमलों के बारे में जानकारी साझा करती है। यह अनुभवों को पूल करके अनुसंधान प्रयोगशालाओं में कटौती करता है, इसलिए जैसे ही ईडीआर का कार्यान्वयन होता है एक नया वायरस एक ग्राहक साइट पर, दुनिया में संचालित उस ईडीआर के अन्य सभी उदाहरण इसके बारे में जानते हैं।
यहां उस प्रकार के सुरक्षा सॉफ़्टवेयर के दो उदाहरण दिए गए हैं जिनकी आपको आरा और किसी अन्य रैंसमवेयर से सुरक्षा के लिए आवश्यकता होगी।
1. क्राउडस्ट्राइक फाल्कन इनसाइट (निःशुल्क परीक्षण)
क्राउडस्ट्राइक फाल्कन इनसाइट एक समन्वित उद्यम-व्यापी ईडीआर है। इसमें सभी एंडपॉइंट्स पर स्थापित मॉड्यूल और क्लाउड-आधारित केंद्रीय नियंत्रक शामिल हैं। एंडपॉइंट एजेंट क्राउडस्ट्राइक द्वारा विपणन किए गए एक स्टैंडअलोन अगली पीढ़ी के एंटीवायरस सिस्टम का कार्यान्वयन हैं। यह कहा जाता है फाल्कन रोकें .
समापन बिंदु एजेंट पूरी तरह से हैं स्वायत्त और यदि कंप्यूटर नेटवर्क से कट गया है और इनसाइट कंट्रोलर तक नहीं पहुंच पा रहा है तो यह काम करना जारी रखेगा। आमतौर पर, यह मॉड्यूल एंडपॉइंट की निगरानी करता है और विश्लेषण के लिए इवेंट डेटा को इनसाइट क्लाउड सिस्टम पर अपलोड करता है। क्लाउड सिस्टम भी प्राप्त करता है स्वचालित ख़तरे की आसूचना इनसाइट उपयोगकर्ता समुदाय से.
समापन बिंदु एजेंट ढूंढता है असामान्य गतिविधि और यदि वह इसे पकड़ लेता है तो तत्काल कार्रवाई अमल में ला सकता है। प्रतिक्रियाओं के लिए निर्देश भी इनसाइट सिस्टम से आते हैं। सेवा प्रक्रियाओं को समाप्त कर सकती है, फ़ाइलों को हटा सकती है, डिवाइस को नेटवर्क से अलग कर सकती है, उपयोगकर्ता खातों को निलंबित कर सकती है और संदिग्ध आईपी पते के साथ संचार को अवरुद्ध कर सकती है। ये सभी क्रियाएं आरा से निपटने के लिए उपयुक्त हैं।
फाल्कन इनसाइट की क्षमताएं किसके विरुद्ध सुरक्षा प्रदान करती हैं शून्य-दिन के हमले साथ ही ज्ञात मैलवेयर की एक सूची भी। इनसाइट क्लाउड मॉड्यूल के समन्वय कार्यों का मतलब है कि जैसे ही एक एंडपॉइंट पर हमला होता है, अन्य सभी एंडपॉइंट एजेंट अलर्ट पर आ जाते हैं।
आप एक प्राप्त कर सकते हैं15 दिन का निःशुल्क परीक्षणफाल्कन प्रिवेंट का.
क्राउडस्ट्राइक फाल्कन इनसाइट का 15 दिवसीय निःशुल्क परीक्षण शुरू
दो। इंजन डेटा सुरक्षा प्लस प्रबंधित करें
इंजन डेटा सुरक्षा प्लस प्रबंधित करें संवेदनशील डेटा की सुरक्षा के लिए एक प्रणाली है। यह पैकेज उन कंपनियों की सहायता के लिए डिज़ाइन किया गया था जिन्हें HIPAA, PCI DSS और GDPR जैसे डेटा गोपनीयता मानक का अनुपालन करना होता है। डेटा सुरक्षा प्रणालियों को यह सुनिश्चित करना होगा कि डेटा क्षतिग्रस्त या गलत न हो और उचित उपयोग के लिए इसकी उपलब्धता बनाए रखें। कुछ मैलवेयर हमलों का उद्देश्य चोरी करना और फिर बेचना या प्रकाशित करना होता है व्यक्तिगत पहचान की जानकारी (पीआईआई).
डेटासिक्योरिटी प्लस का पता लगाता है और संवेदनशील डेटा को वर्गीकृत करता है और फिर उसकी सुरक्षा करता है. सिस्टम फ़ाइल अखंडता निगरानी लागू करता है, जो फ़ाइलों में अनधिकृत परिवर्तनों या अनधिकृत आवाजाही पर अलर्ट करता है। सेवा निगरानी करती है ईमेल और यूएसबी डिवाइस डाउनलोड को ब्लॉक करने और डेटा प्रकटीकरण को रोकने के लिए।
सुरक्षा सेवा विंडोज़ सिस्टम की सुरक्षा करती है, जो जिग्सॉ और अधिकांश अन्य रैंसमवेयर के निशाने पर हैं। पैकेज प्रशासकों को पता लगाए गए हमलों के लिए स्वचालित प्रतिक्रियाएँ सेट करने के विकल्प प्रस्तुत करता है।
ManageEngine DataSecurity Plus के लिए सॉफ्टवेयर इंस्टॉल होता है विंडोज़ सर्वर, और यह उपलब्ध है 30 दिन का निःशुल्क परीक्षण .