रॉबिनहुड रैनसमवेयर क्या है और इससे कैसे बचाव करें?
रॉबिनहुडइसका नाम मध्ययुगीन डाकू के नाम पर रखा गया है, केवल एक अलग वर्तनी के साथ - द शेरवुड वन के रॉबिन हुड केवल एक 'बी' है
साइबर सुरक्षा शोधकर्ताओं ने पहली बार इस रैंसमवेयर को अप्रैल 2019 में देखा था। इसका पहला बड़ा हमला के कार्यालयों पर हुआ था ग्रीनविल शहर उत्तरी कैरोलिना में, और इसके बाद अगले महीने इसने मैरीलैंड के बाल्टीमोर शहर पर हमला किया।
अधिकांश रैंसमवेयर की तरह, रॉबिनहुड उन कंप्यूटरों पर हमला करता है जो इसे चलाते हैं खिड़कियाँ ऑपरेटिंग सिस्टम। मैलवेयर एक निम्न-स्तरीय कर्नेल पेश करता है, जो गीगाबाइट द्वारा बनाए गए मदरबोर्ड के लिए है। इस प्रणाली को अप्रचलित कर दिया गया है और यह अपने बगों के लिए जाना जाता है, इसलिए रॉबिनहुड हमले से उबरने वाले व्यवसायों को अपनी फ़ाइलों को पुनर्स्थापित करने की आवश्यकता है और ऑपरेटिंग सिस्टम को पुनः स्थापित करें इस दोष से छुटकारा पाने के लिए सीधे BIOS पर जाएँ। दुर्भाग्य से, यहां तक कि जो लोग डिक्रिप्शन कुंजी प्राप्त करने के लिए फिरौती का भुगतान करते हैं, उनके लिए भी यह कर्नेल समस्या स्वचालित रूप से ठीक नहीं होती है।
रॉबिनहुड कहाँ से आता है?
रॉबिनहुड रैंसमवेयर परिवार का हिस्सा नहीं है, न ही यह किसी ज्ञात हैकर गिरोह का उत्पाद है। साइबर सुरक्षा विश्लेषकों को उस समूह के बारे में कुछ भी नहीं पता है जिसने रॉबिनहुड बनाया है या वे कहाँ रहते हैं। हालाँकि, रॉबिनहुड के लिए बनाए गए फिरौती नोट में एक सुराग है। दूसरा पैराग्राफ इस प्रकार समाप्त होता है: “तो अपना समय बर्बाद मत करो और जल्दी करो! टिक तक, टिक तक, टिक तक!”
अलग-अलग भाषाओं में घड़ियाँ अलग-अलग बातें कहती हैं - अंग्रेजी में, हम घड़ियों को यह कहते हुए सुनते हैं ' टिक - टॉक ।” जापानी में, घड़ियाँ कहती हैं ' कच्ची कच्ची ,' चीनी भाषा में, यह ' है दीदा दीदा ,' और कोरियाई में, घड़ियाँ कहती हैं ' ट्टटोक ट्टटक ।” घड़ियाँ कहती हैं ' tik tak ”डच और रूसी में। यह देखते हुए कि दुनिया में अधिकांश रैंसमवेयर रूस में उत्पादित होते हैं, इसकी संभावना अधिक है रॉबिनहुड रूसी है डच के बजाय.
एक और संकेत कि यह रूसियों का काम है, यह है कि मॉड्यूल में से एक के लिए कोड, Steel.exe नाम के साथ एक उपयोगकर्ता निर्देशिका को संदर्भित करता है मिखाइल .
रॉबिनहुड रैंसमवेयर कंप्यूटर पर कैसे आता है?
रॉबिनहुड रैंसमवेयर कंप्यूटर पर आने के लिए कई अलग-अलग तरीकों का उपयोग करता है। रैंसमवेयर के प्रकट होने का प्राथमिक तरीका किसी से अनुलग्नक के रूप में होता है फिशिंग ईमेल . यह उपयोगकर्ता को अनुलग्नक को डाउनलोड करने और चलाने के लिए प्रेरित करेगा. एक और तरीका है थ्रू संक्रमित वेबसाइटें . यह मैलवेयर साइट पर एक पॉपअप जोड़ता है जो उपयोगकर्ता को बताता है कि ब्राउज़र पुराना हो गया है। पॉपअप पर ओके पर क्लिक करने से एक डाउनलोड होता है, जो चलने पर, वादे किए गए ब्राउज़र अपडेट के बजाय रॉबिनहुड हमले का पहला भाग इंस्टॉल करता है। वितरण की एक अन्य विधि है फ़ाइल-साझाकरण प्रणाली . इंस्टॉलर लोगों को इसे डाउनलोड करने और खोलने के लिए लुभाने के लिए एक वांछनीय वीडियो के रूप में प्रस्तुत करता है।
इंस्टॉलर का पहला भाग एक वैध प्रोग्राम है जिसमें सुरक्षा संबंधी खामी है। यह है एक ड्राइवर गीगाबाइट मदरबोर्ड के लिए. ड्राइवर वह है जिसे कहा जाता है गिरी . यह कंप्यूटर के भौतिक घटकों पर कार्रवाई में ऑपरेटिंग सिस्टम कमांड की व्याख्या करता है। दुर्भाग्य से, इस ड्राइवर के पास है एक दोष, और इसे गीगाबाइट द्वारा अस्वीकृत कर दिया गया है। हालाँकि, पीसी को यह नहीं पता कि फ़ाइल अब वैध नहीं है क्योंकि इसमें सभी आवश्यक सुरक्षा मंजूरी हैं।
एक बार जब यह ड्राइवर कंप्यूटर पर आ जाता है, तो यह ज्ञात बग के माध्यम से हैकर को एक प्रवेश बिंदु उपलब्ध कराता है। ड्राइवर अन्य सिस्टम फ़ाइलों को लोड होने देता है और मौजूदा सिस्टम को प्रतिस्थापित करता है। यह की फ़ाइल प्रबंधन प्रणाली के अंतर्गत आता है खिड़कियाँ और हैकर्स को फ़ाइलों पर लगे ताले हटाने की अनुमति देता है। यह हैकर बैच फ़ाइलों को भी सक्षम बनाता है प्रक्रियाओं को ख़त्म करें .
रॉबिनहुड रैंसमवेयर हमले में क्या होता है?
इंस्टॉलर द्वारा लोड की गई बैच फ़ाइलें कई चल रही प्रक्रियाओं को समाप्त कर देती हैं, जिनमें शामिल हैं एंटी-वायरस सिस्टम . एवी के चलने के बिना, मैलवेयर बिना पता लगाए चल सकता है। यह किसी भी संपादक को भी मार देता है जिसकी फ़ाइल खुली हो सकती है। इसमें वर्ड और एक्सेल शामिल होंगे। संपादन के लिए खुली कोई भी फ़ाइल एन्क्रिप्टेड संस्करण के साथ अधिलेखित नहीं की जा सकती।
आश्चर्यजनक रूप से, मैलवेयर किसी भी संलग्न ड्राइव को डिस्कनेक्ट कर देता है। ऐसा लगता है कि यह अन्य कंप्यूटरों पर फैलने का एक खोया हुआ अवसर है। हालाँकि, ऐसा लगता है कि एन्क्रिप्शन प्रक्रिया के वर्कफ़्लो से निपटने की ज़रूरत है एक समय में एक कंप्यूटर . रैनसमवेयर बंडल के भीतर एक प्रतिकृति सेवा की उम्मीद की जाती है फैलाना पूरे नेटवर्क में अन्य कंप्यूटरों पर निष्पादन योग्य एन्क्रिप्शन। इसलिए, प्रत्येक समापन बिंदु को अलग से एन्क्रिप्ट किया जाएगा।
रैंसमवेयर उस संपूर्ण कॉर्पोरेट सिस्टम पर कब्ज़ा करने में बहुत सफल रहा है जिसे वह संक्रमित करता है। यह अभी तक एन्क्रिप्शन को तुरंत लागू नहीं करता है वेट्स जब तक कई कंप्यूटर संक्रमित नहीं हो गए। विश्लेषकों को यह नहीं पता है कि रैंसमवेयर के नियंत्रक को कैसे पता चलता है कि पर्याप्त अंतिम बिंदु तक पहुंच गया है। यह उसी नेटवर्क से जुड़े सभी समापन बिंदुओं की सूची तैयार करने के लिए एक मानक नेटवर्क निगरानी उपकरण का उपयोग कर सकता है प्रारंभिक लक्ष्य .
ऐसा प्रतीत होता है कि रॉबिनहुड रैंसमवेयर इसका उपयोग करके नेटवर्क पर अन्य कंप्यूटरों में प्रवेश करता है रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी)। विंडोज़ ऑपरेटिंग सिस्टम में उपयोगिता के रूप में लागू इस प्रोटोकॉल के लिए कुछ साइटों को पासवर्ड की आवश्यकता नहीं होती है। इस प्रणाली के लिए एक और सुरक्षा विफलता अनुमान लगाने में आसान पासवर्ड का उपयोग करना है, जैसे कि पासवर्ड या 123456789 .
तैयारी का अंतिम चरण है साफ - सफाई , जो सभी लॉग फ़ाइलों को हटा देता है और ऑटोसेव फ़ंक्शन द्वारा बनाई गई छाया प्रतियों को हटा देता है। यह प्री-अटैक फिनाले भी अक्षम कर देता है स्टार्टअप पुनर्प्राप्ति मोड विंडोज़ का.
रॉबिनहुड एन्क्रिप्शन प्रक्रिया
नेटवर्क में फैलने और प्रत्येक समझौता किए गए कंप्यूटर के कर्नेल को बदलने के लिए इन सभी कार्यों को करने के बाद भी हमले को बंद किया जा सकता है। हैकर्स ने साइट पर अंतिम समय में एक बिल्ट-इन बनाया है नियंत्रण तंत्र .
एन्क्रिप्शन बाहरी आवरण के साथ एन्क्रिप्शन की दो परतों का उपयोग करता है आरएसए , एक सार्वजनिक कुंजी एन्क्रिप्शन प्रणाली। एन्क्रिप्शन रूटीन शुरू करने से पहले, रैंसमवेयर Windows Temp निर्देशिका में संग्रहीत RSA एन्क्रिप्शन कुंजी की तलाश करता है। ड्रॉपर ने संभवतः रैंसमवेयर पैकेज के लिए इस फ़ाइल को इंस्टॉल किया है। हालाँकि, यदि एन्क्रिप्शन प्रक्रिया इसे नहीं ढूंढ पाती है, तो संपूर्ण रैंसमवेयर प्रक्रिया है बंद कर दिया .
यह देखते हुए कि पूरा सिस्टम एक ही ड्रॉपर द्वारा एक साथ स्थापित किया गया है, ऐसा क्यों हो सकता है कि कुंजी फ़ाइल वहां नहीं होगी? यह संभव है कि पिछली प्रक्रियाओं में से एक एन्क्रिप्शन कुंजी फ़ाइल को वैकल्पिक रूप से हटा दे। रूसी हैकर्स ऐसे कंप्यूटरों पर हमला नहीं करेंगे रूसी सिस्टम भाषा के रूप में। यह शिष्टाचार बाल्टिक राज्यों को छोड़कर, पूर्व यूएसएसआर के सभी देशों की भाषाओं तक फैला हुआ है। यदि टोही प्रक्रिया किसी संरक्षित राष्ट्रीयता का पता लगाती है तो कुंजी फ़ाइल को हटा सकती है।
एन्क्रिप्शन प्रक्रिया का उपयोग करता है एईएस प्रत्येक फ़ाइल के लिए एक नई कुंजी के साथ सिफर। प्रत्येक फ़ाइल का मूल नाम और उसे एन्क्रिप्ट करने के लिए उपयोग की जाने वाली कुंजी को फिर एक फ़ाइल में संग्रहीत किया जाता है, जिसे आरएसए सिफर का उपयोग करके एन्क्रिप्ट किया जाता है 4096-बिट कुंजी Temp निर्देशिका में खोजा गया। इसलिए, प्रत्येक हमले को उसी आरएसए कुंजी द्वारा पहचाना जा सकता है, जो कई एईएस कुंजी की सुरक्षा करती है।
चूंकि प्रत्येक फ़ाइल एन्क्रिप्टेड है, इसका नाम बदलकर एन्क्रिप्टेड_ कर दिया गया है
रॉबिनहुड फिरौती
रॉबिनहुड ने इसकी चार प्रतियां गिरा दीं फिरौती लेख एन्क्रिप्टेड ड्राइव पर टेक्स्ट फॉर्मेट में और एक उत्पन्न करता है एचटीएमएल संस्करण पीड़ित की स्क्रीन पर प्रदर्शित होता है। इस मांग नोट में एक संपर्क फ़ॉर्म का लिंक शामिल है। हालाँकि, लक्ष्य पृष्ठ केवल टोर ब्राउज़र में ही खोला जा सकता है। हैकर्स शिकार को दे देते हैं भुगतान के लिए चार दिन फिरौती, या खर्च न करने पर यह प्रति दिन $10,000 बढ़ जाएगी। नोट में एक बार यह भी बताया गया है दस दिन भुगतान के बिना पारित कर दिया गया है, डिक्रिप्शन कुंजी का रिकॉर्ड हटा दिया जाएगा, और पुनर्प्राप्ति की सभी संभावनाएं स्थायी रूप से खो जाएंगी।
रिपोर्टों से पता चलता है कि हैकर्स अपनी प्रतिज्ञा का सम्मान करते हैं और उसे पूरा करते हैं एक डिक्रिप्टर और भुगतान करने वालों की कुंजी। मूल फिरौती 0.8 बिटकॉइन और 13 बिटकॉइन के बीच होती है, यह इस बात पर निर्भर करता है कि कितने कंप्यूटर संक्रमित थे।
समस्या को सुलझाने में फिरौती से कहीं अधिक खर्च आएगा। उदाहरण के लिए, ग्रीनविले शहर ने गणना की कि उनकी कुल वसूली लागत $18.2 मिलियन थी - जिसमें फिरौती भी शामिल है, जो उन्होंने चुकाई थी।
रॉबिनहुड रैंसमवेयर हमलों को रोकना
सभी मैलवेयर की तरह, रोकथाम इलाज से बेहतर है। आपके सामने सबसे बड़ी समस्या डेटा खोना नहीं बल्कि गड़बड़ी है छोटी गाड़ी गिरी स्थापना के कारण. आपको प्रत्येक कंप्यूटर को अलग करना होगा और मेटल से ऊपर तक पूरे ऑपरेटिंग सिस्टम को फिर से इंस्टॉल करना होगा।
कुंजी फ़ाइल जांच की बदौलत आप किसी भी कंप्यूटर को रॉबिनहुड एन्क्रिप्शन के विरुद्ध तुरंत प्रतिरक्षित कर सकते हैं। दुर्भाग्य से, विभिन्न संस्करण उस फ़ाइल के लिए अलग-अलग नामों का उपयोग करते हैं। उदाहरण के लिए, यह हो सकता है पब.कुंजी या कुंजी.पब . हालाँकि, यह हमेशा होता है C:WindowsTemp फ़ोल्डर. तो, उनमें से प्रत्येक नाम के लिए एक खाली फ़ाइल बनाएं और लेखन - अवरोध उन्हें। इस तरह, रॉबिनहुड के लिए इंस्टॉलर कुंजी फ़ाइल में प्रतिलिपि बनाने में सक्षम नहीं होगा, और जब एन्क्रिप्शन प्रक्रिया शुरू होती है, तो उसे कुंजी नहीं मिलेगी और इसलिए वह गिर जाएगी।
हालाँकि, आपको अभी भी उस कर्नेल समस्या से निपटना होगा। एक विशिष्ट रैंसमवेयर स्ट्रेन को रोकने के लिए त्वरित समाधान की तुलना में एक पूर्ण मैलवेयर सुरक्षा प्रणाली एक बेहतर योजना है। यहां दो प्रणालियां हैं जिन पर आपको रॉबिनहुड रैंसमवेयर और सभी मैलवेयर से बचाव के लिए विचार करना चाहिए।
1. क्राउडस्ट्राइक फाल्कन इनसाइट (निःशुल्क परीक्षण)
क्राउडस्ट्राइक फाल्कन इनसाइट से बचाव के लिए एक अच्छा सुरक्षा पैकेज है मैलवेयर की एक विस्तृत श्रृंखला , जिसमें रॉबिनहुड रैनसमवेयर भी शामिल है। दुर्भाग्य से, रॉबिनहुड के चार संस्करण हो चुके हैं, और सिस्टम के नवीनतम सॉफ़्टवेयर में मूल कोड का केवल 23 प्रतिशत ही है। यह पारंपरिक एवी के साथ एक समस्या पर प्रकाश डालता है जो मैलवेयर का पता लगाने के लिए केवल विशिष्ट फ़ाइल नामों या प्रक्रियाओं की तलाश करता है - यहां तक कि वही मैलवेयर समय के साथ विकसित होता है, जिससे वे बनते हैं गप्पी संकेत अप्रचलित। इसके बजाय, फाल्कन इनसाइट एक अनुकूलनीय पहचान प्रणाली का उपयोग करता है जो नए मैलवेयर का पता लगाता है।
फाल्कन इनसाइट प्रणाली अगली पीढ़ी की है समापन बिंदु का पता लगाना और प्रतिक्रिया (ईडीआर) सेवा। यह एक एंडपॉइंट पर सभी गतिविधि को ट्रैक करता है और प्रत्येक उपयोगकर्ता खाते के लिए नियमित गतिविधि की पहचान करता है। यदि गैर-विशिष्ट व्यवहार अचानक सामने आता है तो सिस्टम अलर्ट जारी कर देता है। एक नया कर्नेल स्थापित करने की रॉबिनहुड ट्रिक उस श्रेणी में फिट होगी असामान्य व्यवहार .
क्राउडस्ट्राइक फाल्कन इनसाइट सेवा है एक समन्वयक समापन बिंदु-निवासी पहचान प्रणालियों के लिए। ये मॉड्यूल नामक उत्पाद के रूप में अलग से उपलब्ध हैं फाल्कन रोकें .
इनसाइट सेवा एक क्लाउड-आधारित मॉड्यूल है जो एंडपॉइंट एजेंटों से गतिविधि रिपोर्ट प्राप्त करती है और संदिग्ध व्यवहार के लिए उनके माध्यम से स्कैन करती है। यह क्राउडस्ट्राइक सिस्टम देता है पता लगाने के दो बिंदु . पहला एक समापन बिंदु की गतिविधि को देखता है, जबकि दूसरा समापन बिंदु से जुड़ी गतिविधियों को देखता है। यह एक अंतिम बिंदु से दूसरे तक फैलने वाली रैंसमवेयर गतिविधि का पता लगाने के लिए उपयोगी है।
क्लाउड सिस्टम भी प्राप्त करता है एक ख़तरे की ख़ुफ़िया फ़ीड और अनुशंसित कार्रवाइयों को अंतिम बिंदु मॉड्यूल तक संप्रेषित करता है। इसके अलावा, ईडीआर सेवा में उपचार प्रणालियाँ शामिल हैं जो किसी उभरते हमले को तुरंत रोक सकती हैं। उदाहरण के लिए, EDR कर सकता है संगरोध सॉफ्टवेयर या ऐसी प्रक्रियाओं को ख़त्म कर दें जो ख़तरनाक लगती हैं। यह भी हो सकता है एक उपकरण को अलग करें किसी संक्रमण को फैलने से रोकने के लिए नेटवर्क से।
आप एक प्राप्त कर सकते हैं15 दिन का निःशुल्क परीक्षणफाल्कन प्रिवेंट का.
क्राउडस्ट्राइक फाल्कन इनसाइट का 15 दिवसीय निःशुल्क परीक्षण शुरू
दो। इंजन डेटा सुरक्षा प्लस प्रबंधित करें
इंजन डेटा सुरक्षा प्लस प्रबंधित करें जैसे डेटा गोपनीयता मानक वाले व्यवसायों के लिए एक आवश्यक उपकरण है जीडीपीआर , पीसीआई डीएसएस , या HIPAA . यह एक संवेदनशील डेटा रक्षक है.
सौभाग्य से, रॉबिनहुड संवेदनशील डेटा की चोरी या प्रकाशन नहीं करता है। हालाँकि, अन्य मैलवेयर ऐसा करते हैं। पीड़ित को भुगतान करने के लिए प्रोत्साहित करने के लिए चुराए गए डेटा को प्रकाशित करने का खतरा रैनसमवेयर में एक मानक अतिरिक्त खतरा बनता जा रहा है।
डेटासिक्योरिटी प्लस में एक है ईडिस्कवरी मॉड्यूल जो संवेदनशील डेटा भंडार के लिए नेटवर्क खोजता है। एक बार जब यह उन्हें ढूंढ लेता है, तो यह प्रत्येक स्थान में डेटा को वर्गीकृत करता है। यह आपको उन स्थानों पर सुरक्षा बढ़ाने में सक्षम बनाता है। पैकेज में यह भी शामिल है फ़ाइल अखंडता मॉनिटर यदि संरक्षित फ़ाइलों को छुआ जाता है तो यह अलर्ट जारी करेगा। यह टूल बैकअप से रीस्टोर करके क्षति को उलट भी सकता है। यह प्रक्रियाओं को ख़त्म भी कर सकता है और डिवाइस को नेटवर्क से अलग भी कर सकता है।
ManageEngine DataSecurity Plus के लिए उपलब्ध है 30 दिन का निःशुल्क परीक्षण .