پڑھنا وقت: 4 منٹزیادہ تر لوگ اب تک رینسم ویئر سے واقف ہیں، یقیناً وہ لوگ جو باقاعدگی سے کوموڈو بلاگ سیکشن اور اسی طرح کی اشاعتیں پڑھتے ہیں۔ ان لوگوں کے لیے جو ایسا نہیں کرتے، ransomware ایک حملہ ہے جس کے تحت حملہ آور متاثرہ کے کمپیوٹر یا سرور پر موجود تمام فائلوں کو انکرپٹ کرتا ہے، جس سے وہ مکمل طور پر ناقابل استعمال ہو جاتی ہیں۔ اس کے بعد حملہ آور فائلوں کو ڈی کرپٹ کرنے کے لیے فیس، عام طور پر بٹ کوائنز میں تاوان کا مطالبہ کرتا ہے۔ مجرم کے نقطہ نظر سے حملے کی خوبصورتی یہ ہے کہ ایک بار انکرپشن ہونے کے بعد شکار کے لیے تقریباً کوئی حل نہیں ہوتا۔ کوئی اینٹی وائرس، تکنیکی ماہرین کی کوئی مدد، کوئی پولیس فورس، اور رونے کی کوئی رقم آپ کے لیے ان فائلوں کو کبھی بھی بازیافت نہیں کر سکتی۔ آپ کے پاس ڈیکرپشن کلید ہونی چاہیے یا اپنی فائلوں کو الوداع چومیں۔
اس بندوق کے ناقابل معافی بیرل کو گھورتے ہوئے، بہت سے ہائی پروفائل متاثرین کو معلوم ہوتا ہے کہ ان کے پاس فیس ادا کرنے کے علاوہ کوئی چارہ نہیں ہے۔ انہیں کاروبار میں جاری رکھنے یا معاشرے کو اپنی خدمات فراہم کرنے کے لیے ان فائلوں کی ضرورت ہوتی ہے، اور وہ کسی بھی طرح کے ڈاون ٹائم کے متحمل نہیں ہو سکتے۔ ہسپتال، سرکاری محکمے، خیراتی ادارے، یونیورسٹیاں، مجسٹریٹ عدالتیں اور اخبارات کے دفاتر ایسے بڑے اداروں کی چند مثالیں ہیں جنہوں نے تاوان ادا کیا ہے۔
Ransomware is usually spread in the فارم of a Trojan horse program. These are programs that trick you into thinking they are a normal program when you install them but are actually a malicious executable which encrypts your drives. Each piece of ransomware has its own unique way of infecting the target machine, and each uses several levels of obfuscation to avoid detection. This blog is a deep-dive from one of Comodo’s leading engineers into the inner workings of one such piece of ransomware کے – WONSYS.
What is WONSYS Ransomware?
Wonsys is a strain of malware that is either obfuscated by cryptor software, or packed into a file like UPX, ASPROTECT or VMPROTECT. The actual executable, wonsys.exe, is buried deep inside another, apparently innocent, program, so it is one of those trojans we mentioned earlier. This is a common method used by a criminal to help it avoid detection by ینٹیوائرس مصنوعات.
میلویئر خود کو ہدف والے کمپیوٹر پر چھوڑ دیتا ہے اور SHELL32 API، ShellExecuteW کا استعمال کرتے ہوئے چلتا ہے:
ایک بار جب رینسم ویئر صارف کے ذریعہ چلایا جاتا ہے، تو یہ رجسٹری میں ایک "رن اونس" کلید بناتا ہے:
یہ ٹارگٹ مشین پر موجود تمام ڈرائیوز کو بھی شمار کرتا ہے تاکہ یہ ان سب کو انکرپٹ کر سکے۔
Wonsys پھر عمل کی ایک 'کِل لسٹ' بناتا ہے جسے اسے بند کرنے کی ضرورت ہوتی ہے۔ یہ ایسے پروگرام ہیں جو، اگر چلتے رہے تو ممکنہ طور پر Wonsys کو پورے سسٹم کو متاثر کرنے سے روک سکتے ہیں۔ خاص طور پر، وہ ورڈ، پاورپوائنٹ، نوٹ پیڈ، تھنڈر برڈ جیسے پروگرام ہیں جو فائلوں کو 'لاک' کر سکتے ہیں اور اس طرح ان کی خفیہ کاری کو روک سکتے ہیں۔ ان پروگراموں کو بند کرنے کے بعد، Wonsys فائلوں کی شیڈو کاپی کو بھی حذف کر دیتا ہے تاکہ صارف انہیں بحال نہ کر سکے۔
کمانڈ پرامپٹ ونڈو کو COMSPEC کے ذریعے سسٹم 32 فولڈر میں ایڈمنسٹریٹر کے مراعات کے ساتھ کھولا جاتا ہے:
حملہ آور API فنکشنز کا استعمال کرتے ہوئے تاریخ، وقت کی شکل، سسٹم کا نام اور مقام کی معلومات بھی اکٹھا کرتا ہے اور iplogger.org سائٹ کو پنگ کرتا ہے، اس طرح مشین پر تفصیلی معلومات جمع کرتا ہے۔
Wonsys کے پاس اب تمام معلومات موجود ہیں۔ نیچے دیا گیا اسکرین شاٹ ظاہر کرتا ہے کہ 'dccdc' وہ ایکسٹینشن ہے جو انکرپشن کے بعد تمام فائل ناموں میں شامل کر دے گی، 'PC-Administrator' کمپیوٹر کا نام ہے، اور ڈرائیو 'C:' وہ ڈرائیو ہے جسے یہ متاثر کرے گا:
Finally, the WONSYS ransomware کے unleashes its payload, encrypting all files on the machine. All files are left with the ‘.dccdc’ extension apart a single, unencrypted file which the user can open – ‘CLICK_HERE-dccdc.txt’:
یہ .txt فائل یہ ہے کہ حملہ آور کس طرح شکار کو بتاتا ہے کہ آگے کیا کرنا ہے۔ ہر متاثرہ مشین کو اس کی اپنی شناخت اور ذاتی کلید دی جاتی ہے۔ نوٹ صارف سے کہتا ہے کہ وہ ایک ویب صفحہ دیکھیں جہاں انہیں چیٹ سروس میں لاگ ان کرنے کے لیے اس معلومات کی ضرورت ہوگی:
نوٹ یہ تاثر پیدا کرنے کی کوشش کرتا ہے کہ چیٹ ایک مہربان آپریٹر کے ساتھ ایک دوستانہ خدمت ہے جو ان کی فائلوں کو بازیافت کرنے میں ان کی مدد کرے گی۔ حقیقت میں، چیٹ وہ جگہ ہے جہاں ہیکر بٹ کوائن میں اپنی ادائیگی کا مطالبہ کرتا ہے ورنہ شکار کی فائلیں ہمیشہ کے لیے ضائع ہو جاتی ہیں۔
پیغام WONSYS - رینسم ویئر اٹیک کی اناٹومی۔ پہلے شائع کوموڈو نیوز اور انٹرنیٹ سیکیورٹی کی معلومات.
- a
- تمام
- رقم
- تجزیہ
- اناٹومی
- ایک اور
- ینٹیوائرس
- علاوہ
- اے پی آئی
- خوبصورتی
- نیچے
- بٹ کوائن
- بلاک
- بلاگ
- کاروبار
- انتخاب
- اختتامی
- جمع
- کامن
- مکمل طور پر
- کمپیوٹر
- جاری
- سکتا ہے
- عدالتیں
- تخلیق
- پیدا
- فوجداری
- رو رہا ہے
- گہری
- مطالبات
- تفصیلی
- کھوج
- دکھائیں
- نیچے
- ٹائم ٹائم
- ڈرائیو
- ہر ایک
- خفیہ کاری
- انجینئرز
- مثال کے طور پر
- ماہرین
- پہلا
- ہمیشہ کے لیے
- فارمیٹ
- سے
- افعال
- حکومت
- ہیکر
- مدد
- گھوڑا
- ہسپتالوں
- کس طرح
- HTTPS
- معلومات
- معلومات
- انسٹال
- اداروں
- انٹرنیٹ
- انٹرنیٹ سیکورٹی
- IT
- خود
- کلیدی
- معروف
- سطح
- مشین
- اہم
- بنانا
- میلویئر
- ذکر کیا
- ضروریات
- خبر
- اگلے
- عام
- دفاتر
- کھول
- آپریٹر
- خود
- پیک
- ادا
- ادا
- ادائیگی
- لوگ
- ذاتی
- ٹکڑا
- پوائنٹ
- نقطہ نظر
- پولیس
- عمل
- حاصل
- پروگرام
- پروگرام
- تحفظ
- فراہم
- مطبوعات
- تاوان
- ransomware کے
- رینسم ویئر حملہ
- حقیقت
- بازیافت
- رن
- چل رہا ہے
- سیکورٹی
- سروس
- سروسز
- کئی
- شیڈو
- اسی طرح
- ایک
- سائٹ
- So
- سوسائٹی
- سافٹ ویئر کی
- حل
- خاص طور پر
- پھیلانے
- کے نظام
- ہدف
- ٹیکنیکل
- بتاتا ہے
- ۔
- سوچنا
- کے ذریعے
- وقت
- ٹروجن
- منفرد
- یونیورسٹیاں
- عام طور پر
- متاثرین
- لنک
- ویب
- کیا
- ڈبلیو
- اور