लॉकी रैनसमवेयर क्या है और इससे बचाव कैसे करें?
लॉकी रैनसमवेयर पहली बार जनवरी 2016 में खोजा गया था। तब से यह रैंसमवेयर सिस्टम का एक परिवार बन गया है
जबकि मूल लॉकी अब सक्रिय नहीं है, वेरिएंट अभी भी उपलब्ध हैं। इस बात की भी कोई गारंटी नहीं है कि मूल लॉकी वापस नहीं आएगी। इसलिए, इस मैलवेयर और इसके वेरिएंट पर शोध करने और इसे आपके सिस्टम पर आने से रोकने के लिए सुरक्षा उपाय स्थापित करने का हर कारण मौजूद है।
लॉकी रैंसमवेयर परिवार हमला करता है खिड़कियाँ सिस्टम. लॉकी रैंसमवेयर के साथ किए गए हमले अभियान अवसरवादी हैं और लक्षित नहीं हैं। वायरस के लिए कोड संलग्न है स्पैम ईमेल जिन्हें एक समय में सैकड़ों-हजारों ईमेल पतों की सूची में भेजा जाता है।
रणनीति एक संख्या का खेल है. प्राप्तकर्ताओं का एक प्रतिशत ईमेल के सामान्य पाठ में रुचि रखेगा, और उनमें से कुछ प्रतिशत लोग अनुलग्नक खोलेंगे। उस संख्या का एक उपसमूह सक्रिय हो जाएगा मैक्रो जो लॉकी रैंसमवेयर को लोड करता है।
लॉकी रैंसमवेयर के लक्ष्य
हालांकि लॉकी की प्रवेश रणनीति पूरी हो चुकी है बड़े पैमाने पर मेलआउट , विशिष्ट उद्योगों में ईमेल की सूची प्राप्त करके उस लक्ष्य क्षेत्र को तैयार करना संभव है। स्वास्थ्य सेवा क्षेत्र लॉकी के लिए एक बड़ा लक्ष्य रहा है। दूरसंचार और परिवहन सेक्टर अगले सबसे बड़े लक्ष्य हैं।
निजी व्यक्तियों पर हमलों की तुलना में व्यवसायों को लक्षित करना अधिक लाभदायक है। बड़े संगठनों के पास व्यक्तियों की तुलना में अधिक पैसा होता है, और उनके पास खोने के लिए भी अधिक होता है। जबकि कई रैंसमवेयर निवारण के लिए लगभग $500 का शुल्क लेते हैं, लॉकी की फिरौती आमतौर पर $4,500 से $10,000 के बीच होती थी, जिसका भुगतान किया जाता था Bitcoin . यह फिरौती की माँगों का चरम स्तर नहीं है; कुछ रैंसमवेयर लाखों डॉलर की रकम की मांग करते हैं।
नेकर्स बॉटनेट
अधिकांश ईमेल सिस्टम अब लागू होते हैं स्पैम फ़िल्टर खुद ब खुद। ये ब्लैकलिस्टिंग प्रणालियाँ हैं जो एक डोमेन या ईमेल पते से उच्च मात्रा में मेलिंग का पता लगाती हैं। स्पैम फ़िल्टर पहचाने गए ईमेल को स्पैम/जंक फ़ोल्डर में भेज देते हैं या उन ईमेल को क्लाइंट में डाउनलोड होने से सीधे ब्लॉक कर देते हैं।
लॉकी के निर्माताओं ने निर्माण करके इस समस्या से निजात पा लिया बॉटनेट . हैकर ग्रुप और बॉटनेट दोनों को कहा जाता है नेकर्स . बॉटनेट कई निजी कंप्यूटर हैं जो वायरस से संक्रमित हो गए हैं। बॉटनेट में प्रत्येक डिवाइस को '' कहा जाता है ज़ोंबी ।” वायरस समय-समय पर एक कनेक्शन खोलता है ' आदेश और नियंत्रण ' सर्वर ( सी एवं सी ), जो उन्हें निर्देश देता है कि क्या करना है।
ईमेल भेजने के लिए नेकर्स अपने बॉटनेट का उपयोग करता है। बॉटनेट में लाखों कंप्यूटर हैं। वे कंप्यूटर बड़े, कॉर्पोरेट सर्वर हो सकते हैं, और इसलिए नेकर्स की क्षमता बड़ी है। स्पैम फ़िल्टर काला सूची में डालना स्रोत आईपी पते और डोमेन नाम जो बड़ी संख्या में ईमेल भेजते हैं। ईमेल भेजने के कार्य को चारों ओर फैलाकर, नेकर्स उस फ़िल्टर से बचता है। इन ईमेल में दिए गए स्रोत डोमेन आमतौर पर नकली होते हैं - उन्हें उत्तर देने के लिए प्राप्तकर्ताओं की आवश्यकता नहीं होती है, बस अनुलग्नक खोलें।
लॉकी रैनसमवेयर कैसे संचालित होता है?
वही स्पैम ईमेल, जो एक अवैतनिक चालान के बारे में है, सैकड़ों हजारों प्राप्तकर्ताओं को भेजा जाता है। ईमेल है एक वर्ड दस्तावेज़ एक अनुलग्नक के रूप में, और मेल का संदेश प्राप्तकर्ता को इसे खोलने के लिए प्रोत्साहित करता है। दस्तावेज़ की सामग्री समझ से परे है - केवल पात्रों का मिश्रण है। एक पॉपअप बताता है कि दस्तावेज़ एन्क्रिप्ट किया गया है और पॉपअप में एक बटन दबाने से यह डीकोड हो जाएगा।
दस्तावेज़ पॉपअप में बटन मैक्रोज़ को सक्रिय करता है फ़ाइल में. ये एक डाउनलोडर के रूप में कार्य करते हैं जो C&C सर्वर से कनेक्शन खोलता है और एक इंस्टॉलर डाउनलोड करता है। इसके साथ, नेकर्स समूह के पास उस कंप्यूटर पर एक एजेंट होता है। डिवाइस को बॉटनेट के हिस्से के रूप में इस्तेमाल किया जा सकता है या लॉकी रैंसमवेयर से संक्रमित किया जा सकता है।
लॉकी कोड को फ़ाइल के रूप में कॉपी नहीं किया जाता है। इसके बजाय, इसे सीधे लोड किया जाता है याद . इंस्टॉलर समय-समय पर चल रही प्रक्रिया की जांच करता है, और यदि उसे यह नहीं मिल पाता है, तो वह प्रोग्राम को डाउनलोड करता है और उसे दोबारा चलाता है। इसका मतलब यह है कि लॉकी प्रोग्राम को संचालित करने के लिए कंप्यूटर पर रहने की आवश्यकता नहीं है। यह मानक पता लगाने के तरीकों में से एक को पराजित करता है Antimalware . हालाँकि, इंस्टॉलर को स्वयं कंप्यूटर पर संग्रहीत करने की आवश्यकता है ताकि एक संकेतक की पहचान की जा सके। इंस्टॉलर फिरौती की मांग में उपयोग के लिए कुछ .txt और .bmp फ़ाइलें भी डाउनलोड करता है।
लॉकी फैलता नहीं है. यह सीधे उस कंप्यूटर पर फ़ाइलों को एन्क्रिप्ट करना शुरू कर देता है जिस पर यह स्थापित है। एन्क्रिप्शन प्रक्रिया प्रत्येक फ़ाइल नाम को 16 अक्षरों से बनी एक आईडी में बदल देती है और इसमें संख्याएँ और अक्षर दोनों होते हैं। एन्क्रिप्टेड फ़ाइल का एक अलग एक्सटेंशन है. लॉकी के पहले संस्करण में .लॉकी एक्सटेंशन का उपयोग किया गया था। बाद के संस्करण और वेरिएंट ने एन्क्रिप्टेड फ़ाइलों के लिए निम्नलिखित एक्सटेंशन का उपयोग किया:
- .zepto
- .ओडिन
- ।मल
- .थोर
- .aesir
- .zzzzzz
- .ओसीरिस
रैंसमवेयर का अंतिम संस्करण दिसंबर 2016 में सामने आया, जिसका उपयोग किया गया .ओसीरिस विस्तार।
लॉकी फिरौती की मांग
लॉकी दो सिफर के साथ फाइलों को एन्क्रिप्ट करता है। ये हैं एईएस 128-बिट कुंजी के साथ एन्क्रिप्शन और आरएसए 2048-बिट कुंजी के साथ एन्क्रिप्शन। कुंजियाँ नेकर्स सर्वर पर उत्पन्न होती हैं और लॉकी मैलवेयर को भेजी जाती हैं। इन्हें एक संदर्भ कोड के साथ भी संग्रहीत किया जाता है।
एन्क्रिप्शन केवल डेटा फ़ाइलों को प्रभावित करता है - सूचक पाठ, चित्र, वीडियो या ऑडियो की पहचान करने वाली फ़ाइलें। यह एन्क्रिप्ट नहीं करता है निष्पादन फ़ाइलें. यह महत्वपूर्ण है क्योंकि इसका मतलब है कि आप अभी भी कंप्यूटर का उपयोग कर सकते हैं। हैकर्स चाहते हैं कि आप उस कंप्यूटर से भुगतान करें, इसलिए वे इसे अक्षम नहीं करना चाहते। रैनसमवेयर संक्रमित कंप्यूटर के डेस्कटॉप का बैकग्राउंड बदल कर दिखाता है फिरौती की मांग . यह नोट कंप्यूटर पर कॉपी की गई टेक्स्ट फ़ाइल में भी उपलब्ध है।
निर्देश पीड़ित को टोर ब्राउज़र इंस्टॉल करने और नेकर्स साइट तक पहुंचने के लिए इसका उपयोग करने के लिए कहते हैं। नोट में एक अद्वितीय आईडी भी शामिल है, जो हिट का संदर्भ देती है और फिरौती का भुगतान होने के बाद सही डिक्रिप्शन कुंजी निकालती है। पीड़ित को नेकर्स साइट पर एक फॉर्म में अटैक आईडी और बिटकॉइन कोड टाइप करना होगा। एक डिक्रिप्टर इसमें अंतर्निहित डिक्रिप्शन कुंजी को ईमेल द्वारा भेजा जाता है।
कुछ रैंसमवेयर, या तो घटिया प्रोग्रामिंग के माध्यम से या जानबूझकर, फ़ाइलों को पुनर्स्थापित करने का कोई तरीका प्रदान नहीं करते हैं। सौभाग्य से, लॉकी करता है। जो लोग फिरौती का भुगतान करते हैं वे अपनी सभी फाइलों तक पहुंच पुनः प्राप्त कर सकते हैं।
लॉकी रैंसमवेयर के वेरिएंट
लॉकी में कई अपडेट हुए हैं जिन्होंने रैंसमवेयर के संचालन के तरीके को बदल दिया है और एन्क्रिप्टेड फ़ाइलों के लिए उपयोग किए जाने वाले विभिन्न एक्सटेंशन द्वारा इसे पहचाना जा सकता है। नेकर्स समूह द्वारा किए गए प्रोग्रामेटिक बदलावों के अलावा, प्रचलन में दो प्रकार हैं जिनका उत्पादन जरूरी नहीं कि नेकर्स ने किया हो।
पॉवरलॉकी
पॉवरलॉकी दो रैनसमवेयर सिस्टम का मिश्रण है: लॉकी और पावरवेयर . यह एन्क्रिप्शन-आधारित एक्सटॉर्शन सॉफ़्टवेयर .NET निष्पादन योग्य के रूप में वितरित किया गया है पावरशेल . यह 0.75 बिटकॉइन की फिरौती मांगता है, जिसकी कीमत जुलाई 2016 में सिस्टम के सक्रिय होने के समय $500 थी। आज वह बिटकॉइन मूल्य $29.600 में परिवर्तित हो गया है।
मूल लॉकी की तरह, पॉवरलॉकी सभी एन्क्रिप्टेड फ़ाइलों के नाम बदलता है और उन पर .लॉकी एक्सटेंशन डालता है। द पॉवरलॉकी फिरौती लेख लॉकी द्वारा उपयोग की गई इसकी एक सटीक प्रति है।
ताला
ताला अगस्त 2017 में उभरा। नेकर्स बॉटनेट ने लॉकी के इस स्ट्रेन को एक बड़े पैमाने पर ईमेल मेलआउट के अनुलग्नक के रूप में भी वितरित किया। “ ताला 'के लिए फिनिश है' ताला ।” ल्यूकिटस अभियान में, अनुलग्नक एक .zip या .rar संग्रह फ़ाइल थी, और संक्रमित कोड इसमें लिखा गया था JavaScipt या वीबीस्क्रिप्ट .
संक्रमित फ़ाइलों को .lukitus एक्सटेंशन मिलता है। अपना एन्क्रिप्शन कार्य पूरा करने के बाद, प्राथमिक निष्पादन योग्य हटा दिया जाता है।
लॉकी रैनसमवेयर से कैसे बचाव करें
एक सुखद खबर यह है कि माइक्रोसॉफ्ट की कानूनी टीम के प्रयासों की बदौलत लॉकी अब कोई बड़ा खतरा नहीं है। Microsoft ने C&C सर्वरों का पता लगाया और उनके होस्टों को कानूनी कार्रवाई की धमकी दी, जिससे उन्हें ऐसा करना पड़ा उन खातों को हटा दें मार्च 2020 में। इस प्रकार, भले ही नेकर्स बॉटनेट मैलवेयर अभी भी लाखों कंप्यूटरों पर मौजूद है, लेकिन निर्देश मतदान के लिए उनमें हार्ड-कोड किए गए आईपी पते अब मौजूद नहीं हैं। जब तक माइक्रोसॉफ्ट ने चाकू मारा, तब तक नेकर्स ने नियंत्रण कर लिया था 9 मिलियन से अधिक ज़ोंबी कंप्यूटर.
इस अच्छी खबर के बावजूद, आप नेकर्स और लॉकी के बारे में निश्चिंत नहीं हो सकते - वे काफी आसानी से वापस आ सकते हैं।
लॉकी के विरुद्ध सबसे अच्छा बचाव है उपयोगकर्ताओं को शिक्षित करें उन लोगों के ईमेल में अटैचमेंट खोलने के विरुद्ध, जिनके बारे में उन्होंने कभी नहीं सुना है। अपने सभी सॉफ़्टवेयर को पूर्ण रूप से रखना भी आवश्यक है अप टू डेट शोषण को बंद करने और अपने सिस्टम को सभी प्रकार के मैलवेयर से सुरक्षित रखने के लिए। आपको भी अमल करना चाहिए एक बैकअप रणनीति जो क्रॉस-संक्रमण से बचने के लिए प्रत्येक एंडपॉइंट से फ़ाइलों को अलग से संभालता और संग्रहीत करता है।
आप लॉकी और रैंसमवेयर के अन्य सभी ब्रांडों को ब्लॉक करने के लिए कुछ उत्कृष्ट टूल खरीद और इंस्टॉल कर सकते हैं। यहां दो हैं जिनकी हम अनुशंसा करते हैं।
1. क्राउडस्ट्राइक फाल्कन इनसाइट (निःशुल्क परीक्षण)
क्राउडस्ट्राइक फाल्कन इनसाइट साइबर सुरक्षा उपकरणों का एक पैकेज है जिसमें ऑन-साइट और क्लाउड दोनों तत्व शामिल हैं। इस सिस्टम का ऑन-साइट भाग एक एजेंट प्रोग्राम है जो प्रत्येक एंडपॉइंट पर स्थापित होता है। यह एक पूर्ण समापन बिंदु पहचान और प्रतिक्रिया सेवा है, और क्राउडस्ट्राइक इसे एक स्टैंडअलोन पैकेज के रूप में भी विपणन करता है जिसे कहा जाता है फाल्कन रोकें .
फाल्कन प्रिवेंट इतना व्यापक है कि यह तब भी किसी डिवाइस की सुरक्षा करना जारी रख सकता है नेटवर्क से पृथक और क्लाउड में इनसाइट नियंत्रक से संपर्क नहीं कर सकता। प्रिवेंट और इनसाइट के बीच संचार गतिविधि रिपोर्ट अपलोड करता है और निर्देश डाउनलोड करता है। अंतर्दृष्टि प्रणाली गतिविधि रिपोर्ट का विश्लेषण करता है नवीनतम ख़तरे की ख़ुफ़िया जानकारी के अनुसार. डिज़ाइन विशिष्ट फ़ाइलों के बजाय असंगत क्रियाओं की तलाश करता है। यह लॉकी के लिए एकदम सही पता लगाने की विधि है, जो लक्षित डिवाइस पर निष्पादन योग्य फ़ाइल को नहीं छोड़ती है। एंडपॉइंट एजेंट उस पता लगाने की विधि को भी अंजाम देता है, ताकि लॉकी की नजर उस पर न पड़े।
निवारण क्रियाएं डिवाइस को नेटवर्क से अलग करना शामिल है ताकि संक्रमण न फैल सके। सिस्टम डिवाइस को बंद करने, वाइप करने और बैकअप से रिस्टोर करने का आदेश भी दे सकता है। जबकि लॉकी पर भरोसा नहीं है उपयोगकर्ता खाते , अन्य रैनसमवेयर करता है। फाल्कन इनसाइट संदिग्ध उपयोगकर्ता खातों को निलंबित कर सकता है और ब्लैकलिस्टेड आईपी पते और डोमेन तक पहुंच को अवरुद्ध कर सकता है।
फाल्कन इनसाइट क्राउडस्ट्राइक द्वारा समर्थित है अनुसंधान प्रयोगशालाएँ और अन्य क्राउडस्ट्राइक ग्राहकों के इवेंट रिकॉर्ड। इनसाइट की समन्वय प्रणाली नेटवर्क पर सभी उपकरणों को खतरे की जानकारी दे सकती है ताकि जैसे ही एक एंडपॉइंट हिट हो, अन्य सभी अलर्ट पर हों।
आप एक प्राप्त कर सकते हैं15 दिन का निःशुल्क परीक्षणफाल्कन प्रिवेंट का.
क्राउडस्ट्राइक फाल्कन इनसाइट का 15 दिवसीय निःशुल्क परीक्षण शुरू
दो। इंजन डेटा सुरक्षा प्लस प्रबंधित करें
इंजन डेटा सुरक्षा प्लस प्रबंधित करें संवेदनशील डेटा के लिए एक सुरक्षा प्रणाली है. यह स्वास्थ्य सेवा क्षेत्र से जुड़े उन व्यवसायों के लिए विशेष रूप से उपयोगी है, जो लॉकी का प्रमुख लक्ष्य था। कंपनियाँ अनुसरण कर रही हैं HIPAA यह सुनिश्चित करने की आवश्यकता है कि सभी रोगी डेटा उचित उपयोग के लिए सुलभ है और इसका खुलासा नहीं किया जाता है। पर भी वही नियम लागू होते हैं पीसीआई डीएसएस और जीडीपीआर . पैकेज में एक्शन लॉगिंग सुविधाएँ मानक अनुपालन ऑडिटिंग के लिए उपयुक्त हैं।
डेटासिक्योरिटी प्लस सबसे पहले सिस्टम की जांच करता है और डेटा स्टोर के सभी स्थानों को रिकॉर्ड करता है। यह इनका दस्तावेजीकरण करता है और फिर प्रत्येक स्टोर को स्कैन करता है, वहां डेटा को वर्गीकृत करता है। यह सेवा को संवेदनशील डेटा पर सुरक्षा पर ध्यान केंद्रित करने में सक्षम बनाता है। मॉनिटर तब उन फ़ाइलों को देखता है जिनमें वह डेटा होता है और उन्हें छेड़छाड़ करने से रोकता है। सिस्टम मॉनिटरिंग भी करता है ईमेल और यूएसबी डिवाइस वायरस को अंदर आने से और डेटा को बाहर जाने से रोकने के लिए।
फ़ाइल सुरक्षा प्रणाली को कहा जाता है फ़ाइल इंटीग्रिटी मॉनिटर ( समाप्त ). जब मॉनिटर की गई फ़ाइल में कोई अनधिकृत परिवर्तन होता है तो यह एक अलर्ट उठाता है। तो, लॉकी द्वारा पहला एन्क्रिप्शन प्रयास एक अधिसूचना को ट्रिगर करेगा।
सुधारात्मक कार्रवाइयों को स्वचालित रूप से लागू करने के लिए सिस्टम स्थापित किया जा सकता है। उन वर्कफ़्लो के उदाहरण एक संक्रमित समापन बिंदु को बंद कर रहे हैं, फ़ाइलें पुनर्स्थापित करना बैकअप से लेकर, प्रक्रियाओं को ख़त्म करने और उपयोगकर्ता खातों को निलंबित करने तक।
यह सॉफ़्टवेयर इंस्टॉल होता है विंडोज़ सर्वर और विंडोज़ ऑपरेटिंग सिस्टम चलाने वाले कंप्यूटरों की सुरक्षा करता है - लॉकी के लिए लक्ष्य।
ManageEngine DataSecurity Plus एक के लिए उपलब्ध है 30 दिन मुफ्त प्रयास .