कोमोडो लैब से: जो पुराना है वह फिर से नया है, क्योंकि ई-फैक्स में क्रिप्टोकरंसी हो सकती है

कोमोडो लैब से: जो पुराना है वह फिर से नया है, क्योंकि ई-फैक्स में क्रिप्टोकरंसी हो सकती है

समय टिकट: 21 जनवरी, 2016 शाम 9:05 बजे

साइबर सुरक्षा पढ़ने का समय: 5 मिनट

2013 से, क्रिप्टो लॉकर मैलवेयर विभिन्न रूपों में, विभिन्न पुनरावृत्तियों में इंटरनेट पर अपना रास्ता बना रहा है। क्रिप्टो लॉकर एक रैंसमवेयर ट्रोजन है जो माइक्रोसॉफ्ट विंडोज चलाने वाले कंप्यूटरों को लक्षित करता है और विशेष रूप से साइबर अपराधियों के बीच एक फ़ाइल को पढ़ने की क्षमता के लिए लोकप्रिय है, उस फ़ाइल को एन्क्रिप्ट करता है, एन्क्रिप्टेड फ़ाइल के साथ मूल फ़ाइल को अधिलेखित करता है और फ़ाइल की वापसी के लिए फिरौती की मांग करता है।

कोमोडो अपडेट

[ध्यान दें, यह ध्यान दिया जाना चाहिए कि कोमोडो की रोकथाम तकनीक ग्राहकों को क्रिप्टो लॉकर से बचाती है, जिसे 2013 में एक ब्लॉग पोस्ट में हाइलाइट किया गया था: https://blog.comodo.com/it-security/cryptolocker-virus-best-practices-to-ensure-100-immunity/]

चूंकि क्रिप्टो लॉकर लोकप्रिय बना हुआ है क्योंकि मैलवेयर विकसित हो गया है, सुरक्षा सॉफ़्टवेयर से बचने के तरीके भी विकसित हुए हैं, साइबर चोरों द्वारा प्रतिदिन नई तकनीकों को पेश किया जा रहा है।

फैक्स दर्ज करें।

कोमोडो थ्रेट रिसर्च लैब्स के इंजीनियरों ने हाल ही में एक फ़िशिंग हमले की खोज की है जो फैक्स के रूप में चिह्नित अनुलग्नकों के साथ दुनिया भर के व्यवसायों और उपभोक्ताओं को यादृच्छिक ईमेल भेज रहा है।

ईमेल का विषय है "आपके पास नया फ़ैक्स है, दस्तावेज़ 00359970" और ईमेल की सामग्री केवल एक नियमित फ़ैक्स संदेश है (या ऐसा लगता है)

"फ़ैक्स" फ़िशिंग ईमेल का स्क्रीन ग्रैब नीचे है।

जो चीज इस नए मैलवेयर स्ट्रेन को विशिष्ट बनाती है, वह यह है कि यह वास्तव में एक दो-भाग वाला मैलवेयर सिस्टम है जो एक निष्पादन योग्य फ़ाइल और एक बैच फ़ाइल दोनों को एक साथ चलाता है। कोमोडो के इंजीनियरों के अनुसार, स्क्रिप्ट को अलग-अलग निष्पादन योग्य में तोड़ दिया जाता है, जिससे एन्क्रिप्टिंग निष्पादन योग्य का आकार 3KB से कम हो जाता है - जो फ़ाइल के आकार को कई सुरक्षा परतों से गुजरने की अनुमति देता है।

एन्क्रिप्टर डाउनलोड करने के बाद मूल स्क्रिप्ट समाप्त नहीं होती है, यह निष्पादन जारी रखती है और बैच फ़ाइल भी बनाती है, और क्रिप्टो लॉकर लॉन्च करती है।

दुर्भावनापूर्ण व्यवहार अगले चरण में आता है, और केवल निष्पादन योग्य और बैच फ़ाइल दोनों के संयोजन के साथ खुद को दिखाता है जो रन टाइम में बनाई जाती है।

फ़ैक्स या ई-फ़ैक्स टैगलाइन का उपयोग करके, लोग दोनों को ईमेल खोलते हैं और फ़ैक्स देखने के लिए अनुलग्नक पर क्लिक करते हैं।

कोमोडो रिसर्च लैब को खतरा टीम ने आईपी, डोमेन और यूआरएल विश्लेषण के माध्यम से इस फ़िशिंग ईमेल अभियान की पहचान की।

"इस प्रकार का नया मैलवेयर तनाव अभिनव है - कुछ सरल प्रोग्रामिंग विचारों को लेना और उन्हें नकारात्मक इरादों के साथ जोड़ना। कोमोडो के प्रौद्योगिकी निदेशक और कोमोडो थ्रेट रिसर्च लैब के प्रमुख फातिह ओरहान ने कहा, "ये साइबर अपराधी स्पष्ट रूप से बड़ी मात्रा में परीक्षण, अनुसंधान, विश्लेषण और प्रोग्रामिंग को समर्पित कर रहे हैं।" "ई-फैक्स जैसे पुराने तकनीकी विचार को लेना और इसे एक अद्यतन कोड और क्रिप्टो लॉकर जैसे मैलवेयर स्ट्रेन के साथ उपयोग करना विचार के दो स्कूलों को एक साथ ला रहा है। साइबर अपराधी लगातार व्यवसायों और उपभोक्ताओं का फायदा उठाने की कोशिश कर रहे हैं, इसलिए जनता को सावधान रहना चाहिए कि आप इस तरह के ईमेल में क्या क्लिक करते हैं - इसके गंभीर परिणाम हो सकते हैं। ”

कोमोडो थ्रेट रिसर्च लैब्स टीम 40 से अधिक आईटी सुरक्षा पेशेवरों, एथिकल हैकर्स, कंप्यूटर वैज्ञानिकों और इंजीनियरों, सभी पूर्णकालिक कोमोडो कर्मचारियों से बनी है, जो दुनिया भर से स्पैम, फ़िशिंग और मैलवेयर का विश्लेषण और फ़िल्टरिंग करती है। यूएस, तुर्की, यूक्रेन, फिलीपींस और भारत में कार्यालयों के साथ, टीम अपने वर्तमान ग्राहक आधार को सुरक्षित और संरक्षित करने के लिए अंतर्दृष्टि और निष्कर्षों का उपयोग करके प्रति दिन फ़िशिंग, स्पैम या अन्य दुर्भावनापूर्ण/अवांछित ईमेल के 1 मिलियन से अधिक संभावित टुकड़ों का विश्लेषण करती है। और बड़े पैमाने पर सार्वजनिक, उद्यम और इंटरनेट समुदाय।

अगर आपको लगता है कि आपकी कंपनी के आईटी वातावरण पर फ़िशिंग, मैलवेयर, स्पाइवेयर या साइबर हमले का हमला हो रहा है, तो कोमोडो के सुरक्षा सलाहकारों से संपर्क करें: https://enterprise.comodo.com/contact-us.php

दुर्भावनापूर्ण ईमेल की एक स्क्रीन हड़प ली गई है:

ईफैक्स क्रिप्टोलॉकर

सिस्टम प्रशासक और आईटी निदेशकों के लिए, मैलवेयर कैसे काम करता है, इसका विवरण नीचे दिया गया है:

इस फ़िशिंग ईमेल के लिए कहानी का मुश्किल हिस्सा डीकोड के अंदर है। यह स्क्रिप्ट "www.foulmouthedcatlady.com, kashfianlaw.com, Totalpraisetrax.com" में से किसी एक फ़ाइल को डाउनलोड करने का प्रयास करती है और इसे %temp% के तहत 770646_crypt.exe के रूप में सहेजती है (इसलिए प्रत्येक उपयोगकर्ता के लिए, यह कुछ ऐसा है C: / उपयोगकर्ता /yourusername/AppData/Local/Temp/ और 770646 सिर्फ एक यादृच्छिक संख्या है)।

दिलचस्प बात यह है कि डाउनलोड की गई निष्पादन योग्य फ़ाइल को सीधे निष्पादित नहीं किया जाता है, क्योंकि यह अपने आप में एक मैलवेयर फ़ाइल नहीं है। यह सिर्फ एक निष्पादन योग्य है जिसका उपयोग एन्क्रिप्शन करने के लिए किया जाता है, और इसके अंदर कुछ और नहीं होता है। और यह इसे असाधारण भी बनाता है क्योंकि फ़ाइल का आकार सिर्फ 2560 बाइट्स (3KB से कम !!!) है। विघटित कोड में कोड की केवल 40-50 पंक्तियाँ होती हैं। यह फ़ाइल नेटवर्क के विभिन्न स्तरों में कई सुरक्षा फ़िल्टरों को बायपास कर सकती है।

इसलिए, यदि यह फ़ाइल मैलवेयर नहीं है, और केवल एक एन्क्रिप्टर है, तो दुर्भावनापूर्ण व्यवहार क्या है? मूल स्क्रिप्ट (बिल्कुल पहली स्क्रिप्ट नहीं, लेकिन डी-ऑब्फ़स्केटेड एक) एन्क्रिप्टर डाउनलोड करने के बाद समाप्त नहीं होती है। यह अपना निष्पादन जारी रखता है और एक अन्य बैच फ़ाइल भी बनाता है। यह इस नई बैच फ़ाइल को 770646_tree.cmd नाम देता है और इसे उसी निर्देशिका (% temp%) के अंतर्गत सहेजता है। वास्तव में यह बैच फ़ाइल, दुर्भावनापूर्ण व्यवहार का वास्तविक स्रोत है। यह पहले सभी ड्राइव्स को देखता है (ए से जेड तक पूरे वर्णमाला की जांच करता है), और प्रत्येक ड्राइव में प्रत्येक निर्देशिका की खोज करता है, सभी बच्चों की निर्देशिकाओं का पता लगाता है, और दस्तावेज़ फ़ाइलें, पीडीएफ़, संग्रह फ़ाइलें, स्रोत कोड, मल्टीमीडिया डेटा पाता है। कॉन्फ़िगरेशन फ़ाइलें, ड्राइंग फ़ाइलें और कई अन्य फ़ाइल प्रकार।

इसके द्वारा खोजी जा रही फ़ाइल प्रकारों की सूची 70 से अधिक है, जिसमें (लेकिन इन्हीं तक सीमित नहीं) शामिल हैं:

*.zip *.rar *.xls *.xlsx *.doc *.docx *.pdf *.rtf *.ppt *.pptx *.jpg *.tif *.avi *.mpg आदि…

जब इनमें से किसी एक एक्सटेंशन से मेल खाने वाली फ़ाइल मिलती है, तो उस फ़ाइल के लिए एन्क्रिप्टर (डाउनलोड किया गया निष्पादन योग्य) निष्पादित किया जाता है। एन्क्रिप्टर फ़ाइल एक्सटेंशन या कुछ और नहीं बदलता है, यह केवल सामग्री को एन्क्रिप्ट करता है और फ़ाइल को छोड़ देता है। सभी फ़ोल्डरों और सभी ड्राइव्स में सभी फ़ाइलों का एन्क्रिप्शन समाप्त होने के बाद, एन्क्रिप्टर फ़ाइल बैच फ़ाइल द्वारा हटा दी जाती है।

बैच फ़ाइल, फिर एक रीडमी फ़ाइल भी बनाती है (जिसका नाम 770646_readme.txt है), और उसमें निम्नलिखित पाठ लिखता है:

ध्यान दें:

आपके सभी दस्तावेज़, फ़ोटो, डेटाबेस और अन्य महत्वपूर्ण व्यक्तिगत फ़ाइलें एक अद्वितीय कुंजी के साथ मजबूत RSA-1024 एल्गोरिथम का उपयोग करके एन्क्रिप्ट की गई थीं।

अपनी फ़ाइलों को पुनर्स्थापित करने के लिए आपको 0.5 बीटीसी (बिटकॉइन) का भुगतान करना होगा। यह करने के लिए:

1. यहां बिटकॉइन वॉलेट बनाएं:

https://blockchain.info/wallet/new

2. नकद के साथ 0.5 बीटीसी खरीदें, यहां खोज का उपयोग करें:

https://localbitcoins.com/buy_bitcoins

3. इस बिटकॉइन पते पर 0.5 बीटीसी भेजें:

1CWG5JHDZqHPF1W8sAnUw9vD8xsBcNZavJ

4. कोई भी ई-मेल यहां भेजें:

keybtc@inbox.com

उसके बाद आपको विस्तृत निर्देशों के साथ ई-मेल प्राप्त होगा कि आपकी फ़ाइलों को कैसे पुनर्स्थापित किया जाए।

याद रखें: हमारे अलावा कोई आपकी मदद नहीं कर सकता। विंडोज़ को फिर से स्थापित करना, फाइलों का नाम बदलना आदि बेकार है।

जैसे ही आप भुगतान करेंगे आपकी फाइलें डिक्रिप्ट हो जाएंगी।

यह पहले इस फ़ाइल को नोटपैड संपादक में खोलता है, फिर इस फ़ाइल को उपयोगकर्ता के डेस्कटॉप में एक नई फ़ाइल के रूप में कॉपी करता है जिसका नाम DECRYPT_YOUR_FILES.txt है। बैच फ़ाइल विंडोज के स्टार्टअप में ऑटोरन के लिए रजिस्ट्री में एक प्रविष्टि भी जोड़ती है, जो कंप्यूटर के पहली बार खुलने पर वही रीडमी संदेश दिखाती है। अंत में, बैच फ़ाइल स्वयं को भी हटा देती है।

कोमोडो इंजीनियरों से सारांश:

जैसा कि विश्लेषण से देखा जा सकता है, फ़ाइलों को एन्क्रिप्ट करने का लक्ष्य नियमित है, और सभी सुरक्षा विशेषज्ञों द्वारा जाना जाता है। लेकिन यहां एन्क्रिप्शन व्यवहार में घुसपैठ और प्रदर्शित करने के लिए चयनित विधि अलग है क्योंकि डाउनलोड किया गया निष्पादन योग्य अपने आप में दुर्भावनापूर्ण नहीं है, और कुल लक्ष्य का केवल एक हिस्सा करता है। दूसरा भाग, बैच स्क्रिप्ट द्वारा किया जाता है, जो रनटाइम में बनाया जाता है (इसलिए शुरुआत में मौजूद नहीं है)। दोनों फाइलों के निष्पादन का संयोजन अंतिम दुर्भावनापूर्ण इरादा बनाता है, जो सभी फाइलों को एन्क्रिप्ट कर रहा है। यह विधि निश्चित रूप से दो कारकों के कारण कुछ सुरक्षा फ़िल्टर और उत्पादों को बायपास कर सकती है:

    1. निष्पादन योग्य की सामग्री, और आकार कम (3KB से कम), और अंततः दुर्भावनापूर्ण व्यवहार से युक्त नहीं होना।
  1. दुर्भावनापूर्ण व्यवहार केवल निष्पादन योग्य और बैच फ़ाइल दोनों के संयोजन के साथ दिखाया जाता है जो रनटाइम में बनाया जाता है।

निशुल्क आजमाइश शुरु करें मुफ़्त के लिए अपनी सुरक्षा स्कोर प्राप्त करें

समय टिकट:

से अधिक साइबर सुरक्षा कोमोडो