ইন দ্য ক্র্যাবস ক্লজ: র‍্যানসমওয়্যারের নতুন সংস্করণটি রাশিয়ানদের ছাড়া সবাইকে হিট করে

পড়ার সময়: 5 মিনিট

সাইবার অপরাধী এবং সাইবার নিরাপত্তা যোদ্ধাদের মধ্যে অস্ত্র প্রতিযোগিতা একটি বিশাল গতিতে বৃদ্ধি পাচ্ছে। ম্যালওয়্যার লেখকরা অবিলম্বে নতুন অ্যান্টিম্যালওয়্যার পণ্যগুলিকে বাইপাস করার জন্য নতুন, আরও পরিশীলিত নমুনার সাথে যে কোনও শনাক্ত এবং নিরপেক্ষ ম্যালওয়্যারের উপর প্রতিক্রিয়া জানান৷ GandCrab এই ধরনের নতুন প্রজন্মের ম্যালওয়ারের উজ্জ্বল প্রতিনিধি।

2018 সালের জানুয়ারীতে প্রথম আবিষ্কৃত হয়েছিল, এই পরিশীলিত, ধূর্ত এবং ক্রমাগত পরিবর্তনশীল র্যানসমওয়্যারের ইতিমধ্যে চারটি সংস্করণ রয়েছে যা একে অপরের থেকে উল্লেখযোগ্যভাবে আলাদা। সাইবার অপরাধীরা কঠিন এনক্রিপশন এবং সনাক্তকরণ এড়ানোর জন্য ক্রমাগত নতুন বৈশিষ্ট্য যুক্ত করেছে। কোমোডো ম্যালওয়্যার বিশ্লেষকরা যে শেষ নমুনা আবিষ্কার করেছেন তাতে একেবারে নতুন কিছু রয়েছে: এটি সনাক্তকরণ এড়াতে ক্ষুদ্র এনক্রিপশন অ্যালগরিদম (টিইএ) ব্যবহার করে।

GandCrab বিশ্লেষণ করা একটি বিশেষ নতুন অনুসন্ধান হিসাবে দরকারী নয় ম্যালওয়্যার, কিছু কিছু গবেষক একে "র্যানসমওয়্যারের নতুন রাজা" বলে অভিহিত করেছেন। আধুনিক ম্যালওয়্যার কীভাবে নতুন সাইবার নিরাপত্তা পরিবেশের সাথে সামঞ্জস্য করে তার একটি স্পষ্ট উদাহরণ। সুতরাং, আসুন GandCrab এর বিবর্তনের আরও গভীরে যাওয়া যাক।

ইতিহাস

GandCrab v1

GandCrab-এর প্রথম সংস্করণ, জানুয়ারী 2018-এ আবিষ্কৃত হয়েছে, ব্যবহারকারীদের ফাইলগুলিকে একটি অনন্য কী দিয়ে এনক্রিপ্ট করেছে এবং DASH ক্রিপ্টো-কারেন্সিতে মুক্তিপণ আদায় করেছে। সংস্করণটি RIG EK এবং GrandSoft EK-এর মতো শোষণ কিটগুলির মাধ্যমে বিতরণ করা হয়েছিল। র্যানসমওয়্যারটি নিজেই কপি করেছে"%appdata%Microsoft" ফোল্ডার এবং সিস্টেম প্রক্রিয়া ইনজেকশনের nslookup.exe.

এটি প্রাথমিক সংযোগ তৈরি করেছে pv4bot.whatismyipaddress.com সংক্রমিত মেশিনের পাবলিক আইপি খুঁজে বের করতে, এবং তারপর চালান nslookup নেটওয়ার্কের সাথে সংযোগ করার প্রক্রিয়া gandcrab.bit a.dnspod.com ব্যবহার করে ".বিট" শীর্ষ-স্তরের ডোমেইন।

এই সংস্করণটি সাইবারস্পেসে দ্রুত ছড়িয়ে পড়ে কিন্তু ফেব্রুয়ারির শেষের দিকে এর বিজয় বন্ধ হয়ে যায়: একটি ডিক্রিপ্টর তৈরি করে অনলাইনে স্থাপন করা হয়েছিল, এইভাবে ক্ষতিগ্রস্ত ব্যক্তিরা অপরাধীদের মুক্তিপণ না দিয়ে তাদের ফাইলগুলিকে ডিক্রিপ্ট করতে দেয়৷

GandCrab v2

সাইবার অপরাধীরা উত্তর দিয়ে বেশিক্ষণ থাকেনি: এক সপ্তাহের মধ্যে, GandCrab সংস্করণ 2 ব্যবহারকারীদের আঘাত করেছে। এটিতে একটি নতুন এনক্রিপশন অ্যালগরিদম ছিল যা ডিক্রিপ্টরটিকে অকেজো করে তোলে। এনক্রিপ্ট করা ফাইলগুলিতে .CRAB এক্সটেনশন ছিল এবং হার্ডকোড করা ডোমেনগুলি পরিবর্তিত হয়েছে৷ ransomware.bit এবং zonealarm.bit. এই সংস্করণটি মার্চ মাসে স্প্যাম ইমেলের মাধ্যমে প্রচার করা হয়েছিল।

GandCrab v3

পরবর্তী সংস্করণটি এপ্রিলে একটি মুক্তিপণ নোটে একজন শিকারের ডেস্কটপ ওয়ালপেপার পরিবর্তন করার নতুন ক্ষমতা নিয়ে এসেছিল। ডেস্কটপ এবং মুক্তিপণ ব্যানারের মধ্যে ক্রমাগত পরিবর্তনের লক্ষ্য ছিল ক্ষতিগ্রস্তদের উপর আরো মানসিক চাপ সৃষ্টি করা। আরেকটি নতুন বৈশিষ্ট্য ছিল RunOnce অটোরান রেজিস্ট্রি কী:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncewhtsxydcvmtC:ডকুমেন্টস এবং সেটিংস অ্যাডমিনিস্ট্রেটর অ্যাপ্লিকেশন ডেটাMicrosoftyrtbsc.exe

GandCrab v4

অবশেষে, নতুন, Gandcrab v4 এর চতুর্থ সংস্করণটি একটি নতুন এনক্রিপশন অ্যালগরিদম সহ বিভিন্ন উল্লেখযোগ্য আপডেট সহ জুলাই মাসে এসেছে। যেমন কমোডো বিশ্লেষক আবিষ্কার করেছেন, ম্যালওয়্যারটি এখন সনাক্তকরণ এড়াতে ক্ষুদ্র এনক্রিপশন অ্যালগরিদম (TEA) ব্যবহার করে — ডেভিড হুইলার এবং রজার নিডহ্যাম সিমেট্রিক এনক্রিপশন বেসে তৈরি করা দ্রুততম এবং দক্ষ ক্রিপ্টোগ্রাফিক অ্যালগরিদমগুলির মধ্যে একটি৷

এছাড়াও, সমস্ত এনক্রিপ্ট করা ফাইলে এখন CRAB এর পরিবর্তে .KRAB একটি এক্সটেনশন রয়েছে।

এছাড়াও, সাইবার অপরাধীরা র্যানসমওয়্যার প্রচারের উপায় পরিবর্তন করেছে। এখন এটি জাল সফটওয়্যার ক্র্যাক সাইটের মাধ্যমে ছড়িয়ে পড়েছে। একবার একজন ব্যবহারকারী ডাউনলোড করে এই ধরনের "স্টাফিং" ক্র্যাক চালালে, র্যানসমওয়্যার কম্পিউটারে নেমে যায়।

এখানে এই ধরনের নকল সফ্টওয়্যার ক্র্যাক একটি উদাহরণ. Crack_Merging_Image_to_PDF.exe, বাস্তবে, GandCrab v4.

একজন ব্যবহারকারী এই ফাইলটি চালালে কি হবে তা বিস্তারিতভাবে দেখা যাক।

হুড অধীনে

উপরে উল্লিখিত হিসাবে, GandCrab ransomware সনাক্তকরণ এড়াতে শক্তিশালী এবং দ্রুত TEA এনক্রিপশন অ্যালগরিদম ব্যবহার করে। ডিক্রিপশন রুটিন ফাংশন GandCrab প্লেইন ফাইল পায়।

ডিক্রিপশন সম্পূর্ণ হওয়ার পরে, মূল GandCrab v4 ফাইলটি ড্রপ করে এবং রান করে, হত্যা অভিযান শুরু করে।

প্রথমত, র্যানসমওয়্যার CreateToolhelp32Snapshot API-এর সাথে নিম্নলিখিত প্রক্রিয়াগুলির তালিকা পরীক্ষা করে এবং তাদের যেকোনও চলমান বন্ধ করে দেয়:

তারপর ransomware একটি কীবোর্ড লেআউটের জন্য পরীক্ষা করে। যদি এটি রাশিয়ান বলে মনে হয়, GandCrab অবিলম্বে মৃত্যুদন্ড বন্ধ করে দেয়।

ইউআরএল প্রক্রিয়া তৈরি করা হচ্ছে

উল্লেখযোগ্যভাবে, GandCrab প্রতিটি হোস্টের জন্য URL তৈরি করতে একটি নির্দিষ্ট র্যান্ডম অ্যালগরিদম ব্যবহার করে। এই অ্যালগরিদম নিম্নলিখিত প্যাটার্ন উপর ভিত্তি করে করা হয়:

http://{host}/{value1}/{value2}/{filename}.{extension}

ম্যালওয়্যার ধারাবাহিকভাবে প্যাটার্নের সমস্ত উপাদান তৈরি করে, যার ফলে একটি অনন্য URL হয়।

আপনি ডান কলামে ম্যালওয়্যার দ্বারা তৈরি URL দেখতে পারেন৷

তথ্য সংগ্রহ

GandCrab সংক্রামিত মেশিন থেকে নিম্নলিখিত তথ্য সংগ্রহ করে:

তারপর এটি একটি জন্য চেক অ্যান্টিভাইরাস চলমান ...

… এবং সিস্টেম সম্পর্কে তথ্য সংগ্রহ করে। এর পরে, এটি XOR এর সাথে সমস্ত সংগৃহীত তথ্য এনক্রিপ্ট করে এবং কমান্ড-এন্ড-কন্ট্রোল সার্ভারে পাঠায়। উল্লেখযোগ্যভাবে, এটি এনক্রিপশনের জন্য ব্যবহার করে "jopochlen" কী স্ট্রিং যা রাশিয়ান ভাষায় একটি অশ্লীল ভাষা। এটি ম্যালওয়্যারের রাশিয়ান উদ্ভবের আরও একটি স্পষ্ট লক্ষণ।

কী জেনারেশন

র্যানসমওয়্যার মাইক্রোসফ্ট ক্রিপ্টোগ্রাফিক প্রদানকারী এবং নিম্নলিখিত API ব্যবহার করে ব্যক্তিগত এবং সর্বজনীন কী তৈরি করে:

এনক্রিপশন প্রক্রিয়া শুরু করার আগে, ম্যালওয়্যার কিছু ফাইলের জন্য পরীক্ষা করে...

… এবং এনক্রিপশনের সময় ফোল্ডারগুলি এড়িয়ে যাওয়ার জন্য:

ransomware সঠিকভাবে কাজ করার জন্য এই ফাইল এবং ফোল্ডারগুলি প্রয়োজনীয়। এর পরে, GandCrab শিকারের ফাইলগুলি এনক্রিপ্ট করা শুরু করে।

মুক্তিপণ

মুক্তিপণ

এনক্রিপশন শেষ হলে, GandCrab একটি KRAB-DECRYPT.txt ফাইল খোলে যা মুক্তিপণ নোট:

ভিকটিম যদি অপরাধীদের নির্দেশ অনুসরণ করে এবং তাদের TOR সাইটে যায়, তাহলে সে কাউন্টারের সাথে মুক্তিপণ ব্যানারটি খুঁজে পাবে:

অর্থপ্রদানের পৃষ্ঠার বিষয়বস্তুতে কীভাবে মুক্তিপণ দিতে হবে তার বিস্তারিত নির্দেশনা রয়েছে।

কমোডো সাইবারসিকিউরিটি রিসার্চ টিম GandCrab কমিউনিকেশন আইপি খুঁজে পেয়েছে। নীচে এই আইপি তালিকার শীর্ষ দশটি দেশ রয়েছে৷

GandCrab সারা বিশ্বের ব্যবহারকারীদের আঘাত. এখানে ম্যালওয়্যার দ্বারা প্রভাবিত শীর্ষ দশ দেশের তালিকা রয়েছে৷

"আমাদের বিশ্লেষকদের এই অনুসন্ধান স্পষ্টভাবে প্রমাণ করে যে ম্যালওয়্যার সাইবার নিরাপত্তা বিক্রেতাদের পাল্টা ব্যবস্থার সাথে অভিযোজনের দ্রুততার সাথে পরিবর্তিত হয় এবং বিকশিত হয়", মন্তব্য করেন ফাতিহ ওরহান, কমোডো থ্রেট রিসার্চ ল্যাবসের প্রধান৷ “অবশ্যই, আমরা সেই সময়ের প্রান্তে রয়েছি যখন সাইবার নিরাপত্তা ক্ষেত্রের সমস্ত প্রক্রিয়া তীব্রভাবে অনুঘটক করছে। ম্যালওয়্যার শুধুমাত্র পরিমাণে নয় বরং তাৎক্ষণিকভাবে অনুকরণ করার ক্ষমতাও দ্রুত বৃদ্ধি পাচ্ছে। ভিতরে কমোডো সাইবারসিকিউরিটি প্রথম ত্রৈমাসিক 2018 থ্রেট রিপোর্ট, আমরা ভবিষ্যদ্বাণী করেছি যে র‍্যানসমওয়্যারের আকার হ্রাস করা কেবলমাত্র বাহিনীকে পুনঃনিয়োগ করা হয়েছে এবং আমরা নিকটতম ভবিষ্যতে আপডেট করা এবং আরও জটিল নমুনার মুখোমুখি হব। GandCrab এর চেহারা স্পষ্টভাবে নিশ্চিত করে এবং এই প্রবণতা প্রদর্শন করে। সুতরাং, সাইবার সিকিউরিটি বাজারকে ব্র্যান্ড-নতুন র‍্যানসমওয়্যার ধরনের আক্রমণের আসন্ন তরঙ্গের মুখোমুখি হতে প্রস্তুত থাকতে হবে।”

কমোডোর সাথে নিরাপদে বাস করুন!

সম্পর্কিত সম্পদ:

বিনামূল্যে পরীক্ষা শুরু করুন নিখরচায় আপনার ইনস্ট্যান্ট সুরক্ষা স্কোরকার্ড পান G

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://blog.comodo.com/comodo-news/gandcrab-the-new-version-of-ransomware/