अंतर्वस्तु
- NotPetya रैनसमवेयर क्या है?
- आप इससे अपनी रक्षा किससे करते हैं?
NotPetya रैनसमवेयर क्या है?
नोटपेट्या (या पेटरैप) के पुराने संस्करण पर आधारित है पेट्या रैनसमवेयर, जिसे मूल रूप से बिटकॉइन भुगतान के बदले में फ़ाइलों और उपकरणों को बंधक रखने के लिए डिज़ाइन किया गया था। हालाँकि, इसके बावजूद NotPetya का पैसा इकट्ठा करने का प्रयास अपने तेजी से बढ़ते वैश्विक हमले में, यह पूरी तरह से पैसे के लिए नहीं दिखता है। इसके बजाय, NotPetya कंपनियों को नुकसान पहुंचाने के लिए मशीनों के फाइल सिस्टम को एन्क्रिप्ट कर रहा है। रैंसमवेयर पहलू स्पष्ट रूप से केवल एक आवरण है।
अनुशंसित वीडियो
NotPetya को खतरनाक बनाने वाली बात यह है कि रैंसमवेयर-आधारित मोर्चे के नीचे एक शोषण है शाश्वत नीला, कथित तौर पर संयुक्त राज्य अमेरिका के राष्ट्रीय सुरक्षा प्रशासन (उर्फ एनएसए) द्वारा डिज़ाइन किया गया। यह एक विशिष्ट, असुरक्षित नेटवर्क प्रोटोकॉल को लक्षित करता है जिसे कहा जाता है सर्वर संदेश ब्लॉक (संस्करण 1) नेटवर्क वाले विंडोज़-आधारित पीसी के बीच प्रिंटर, फ़ाइलें और सीरियल पोर्ट साझा करने के लिए उपयोग किया जाता है। इस प्रकार, भेद्यता दूरस्थ हमलावरों को लक्ष्य पर दुर्भावनापूर्ण कोड भेजने और निष्पादित करने की अनुमति देती है कंप्यूटर। शैडो ब्रोकर्स हैकर समूह अप्रैल 2017 में इटरनलब्लू लीक हुआ.
NotPetya रैंसमवेयर में एक "वर्म" घटक भी शामिल है। आमतौर पर, पीड़ित ईमेल में संलग्न वैध फ़ाइल के रूप में प्रच्छन्न मैलवेयर को डाउनलोड और निष्पादित करके रैंसमवेयर का शिकार हो जाते हैं। बदले में, मैलवेयर विशिष्ट फ़ाइलों को एन्क्रिप्ट करता है और स्क्रीन पर एक पॉपअप विंडो पोस्ट करता है, उन फ़ाइलों को अनलॉक करने के लिए बिटकॉइन में भुगतान की मांग करता है।
हालाँकि, 2016 की शुरुआत में सामने आए पेट्या रैनसमवेयर ने पीसी की पूरी हार्ड को एन्क्रिप्ट करके उस हमले को एक कदम आगे बढ़ा दिया। मास्टर बूट रिकॉर्ड को संक्रमित करके ड्राइव या सॉलिड स्टेट ड्राइव, इस प्रकार विंडोज बूट शुरू करने वाले प्रोग्राम को ओवरराइट कर देता है अनुक्रम। इसके परिणामस्वरूप ट्रैक रखने के लिए उपयोग की जाने वाली तालिका का एक एन्क्रिप्शन तैयार हो गया सभी स्थानीय फ़ाइलें (NTFS), विंडोज़ को स्थानीय रूप से संग्रहीत किसी भी चीज़ का पता लगाने से रोकती हैं।
संपूर्ण डिस्क को एन्क्रिप्ट करने की अपनी क्षमता के बावजूद, पेट्या केवल एक लक्ष्य पीसी को संक्रमित करने में सक्षम थी। हालाँकि, जैसा कि देखा गया है हाल ही में WannaCry का प्रकोपरैंसमवेयर अब किसी भी उपयोगकर्ता के हस्तक्षेप के बिना स्थानीय नेटवर्क पर एक पीसी से दूसरे पीसी पर जाने की क्षमता रखता है। नया नोटपेट्या रैंसमवेयर मूल पेट्या संस्करण के विपरीत, समान पार्श्व नेटवर्क संक्रमण में सक्षम है।
माइक्रोसॉफ्ट के अनुसार, NotPetya के आक्रमण वैक्टरों में से एक इसकी क्रेडेंशियल्स चुराने या सक्रिय सत्र का पुन: उपयोग करने की क्षमता है।
“क्योंकि उपयोगकर्ता अक्सर स्थानीय व्यवस्थापक विशेषाधिकारों वाले खातों का उपयोग करके लॉग इन करते हैं और सक्रिय सत्र खुलते हैं एकाधिक मशीनें, चुराए गए क्रेडेंशियल उपयोगकर्ता को अन्य मशीनों पर समान स्तर की पहुंच प्रदान करने की संभावना रखते हैं मशीनें,'' कंपनी की रिपोर्ट. "एक बार जब रैंसमवेयर के पास वैध क्रेडेंशियल हो जाते हैं, तो यह वैध कनेक्शन स्थापित करने के लिए स्थानीय नेटवर्क को स्कैन करता है।"
NotPetya रैंसमवेयर स्थानीय नेटवर्क में खुद को बढ़ाने के लिए फ़ाइल-शेयरों का भी उपयोग कर सकता है, और उन मशीनों को संक्रमित कर सकता है जो इटरनलब्लू भेद्यता के खिलाफ पैच नहीं किए गए हैं। माइक्रोसॉफ्ट का भी उल्लेख है शाश्वत रोमांस, सर्वर मैसेज ब्लॉक प्रोटोकॉल के खिलाफ इस्तेमाल किया गया एक और कारनामा, जिसे कथित तौर पर एनएसए द्वारा तैयार किया गया था।
"यह दो मैलवेयर घटकों के एक साथ आने और अधिक हानिकारक और लचीले मैलवेयर उत्पन्न करने का एक बेहतरीन उदाहरण है," ने कहा इवांती के मुख्य सूचना सुरक्षा अधिकारी फिल रिचर्ड्स.
नोटपेट्या के तेज़, व्यापक हमले के अलावा, एक और समस्या मौजूद है: भुगतान। रैंसमवेयर एक पॉपअप विंडो प्रदान करता है जो पीड़ितों से एक विशिष्ट बिटकॉइन पते, बिटकॉइन वॉलेट आईडी और व्यक्तिगत इंस्टॉलेशन नंबर का उपयोग करके बिटकॉइन में $300 का भुगतान करने की मांग करता है। पीड़ित यह जानकारी दिए गए ईमेल पते पर भेजते हैं जो एक अनलॉक कुंजी के साथ जवाब देता है। जैसे ही जर्मन मूल ईमेल प्रदाता पोस्टियो को उसके बुरे इरादे का पता चला, वह ईमेल पता तुरंत बंद कर दिया गया।
“हमें पता चला कि रैंसमवेयर ब्लैकमेलर वर्तमान में संपर्क के साधन के रूप में पोस्टियो पते का उपयोग कर रहे हैं। हमारी दुर्व्यवहार विरोधी टीम ने तुरंत इसकी जाँच की - और खाते को तुरंत ब्लॉक कर दिया,'' कंपनी ने कहा. "हम अपने प्लेटफ़ॉर्म के दुरुपयोग को बर्दाश्त नहीं करते हैं: ऐसे मामलों में प्रदाताओं द्वारा दुरुपयोग किए गए ईमेल खातों को तत्काल अवरुद्ध करना आवश्यक दृष्टिकोण है।"
इसका मतलब है कि भुगतान करने का कोई भी प्रयास कभी सफल नहीं होगा, भले ही भुगतान मैलवेयर का लक्ष्य हो।
अंत में, माइक्रोसॉफ्ट इंगित करता है कि हमले की शुरुआत यूक्रेनी कंपनी एम.ई.डॉक से हुई, जो मेडॉक टैक्स अकाउंटिंग सॉफ्टवेयर की डेवलपर है। ऐसा प्रतीत होता है कि माइक्रोसॉफ्ट उंगली नहीं उठा रहा है, बल्कि उसने कहा है कि उसके पास इस बात का सबूत है कि "कुछ सक्रिय संक्रमण हैं रैंसमवेयर शुरुआत में वैध मेडोक अपडेटर प्रक्रिया से शुरू हुआ। माइक्रोसॉफ्ट का कहना है कि इस प्रकार का संक्रमण बढ़ रहा है रुझान।
कौन सी प्रणालियाँ खतरे में हैं?
अभी के लिए, NotPetya रैंसमवेयर संगठनों में विंडोज-आधारित पीसी पर हमला करने पर केंद्रित प्रतीत होता है। उदाहरण के लिए, चेरनोबिल परमाणु ऊर्जा संयंत्र में स्थित संपूर्ण विकिरण निगरानी प्रणाली थी हमले में ऑफलाइन दस्तक दी. यहाँ संयुक्त राज्य अमेरिका में, हमला संपूर्ण हेरिटेज वैली स्वास्थ्य प्रणाली पर असर पड़ा, पेंसिल्वेनिया में बीवर और सिविकली अस्पतालों सहित, नेटवर्क पर निर्भर सभी सुविधाओं को प्रभावित कर रहा है। यूक्रेन में कीव बॉरिस्पिल हवाई अड्डा उड़ान अनुसूची का सामना करना पड़ा देरी हुई और हमले के कारण इसकी वेबसाइट ऑफ़लाइन हो गई।
दुर्भाग्यवश, ऐसी कोई जानकारी नहीं है जो नोटपेट्या रैंसमवेयर द्वारा लक्षित विंडोज़ के सटीक संस्करणों की ओर इशारा करती हो। Microsoft की सुरक्षा रिपोर्ट विशिष्ट विंडोज़ रिलीज़ों को सूचीबद्ध नहीं करती है, हालाँकि सुरक्षित होने के लिए, ग्राहकों को यह मान लेना चाहिए कि विंडोज़ XP से लेकर विंडोज़ 10 तक फैले विंडोज़ के सभी व्यावसायिक और मुख्यधारा रिलीज़ हमले के अंतर्गत आते हैं खिड़की। आख़िरकार, यहाँ तक कि WannaCry लक्षित मशीनें जिनमें Windows XP स्थापित है.
आप इससे अपनी रक्षा किससे करते हैं?
Microsoft ने पहले ही इस नवीनतम मैलवेयर प्रकोप द्वारा उपयोग किए जाने वाले इटरनलब्लू और इटरनलरोमांस कारनामों को अवरुद्ध करने वाले अपडेट जारी कर दिए हैं। Microsoft ने 14 मार्च, 2017 को रिलीज़ के साथ दोनों को संबोधित किया सुरक्षा अद्यतन MS17-010. यह तीन महीने से अधिक समय पहले हुआ था, जिसका अर्थ है कि इस कारनामे के माध्यम से नोटपेट्या द्वारा हमला की गई कंपनियों को अभी तक अपडेट नहीं किया गया है उनके पीसी. Microsoft सुझाव देता है कि ग्राहक सुरक्षा अद्यतन MS17-010 तुरंत इंस्टॉल करें, यदि उन्होंने ऐसा नहीं किया है पहले से।
सुरक्षा अद्यतन स्थापित करना आपके पीसी की सुरक्षा के लिए सबसे प्रभावी तरीका है
उन संगठनों के लिए जो अभी तक सुरक्षा अद्यतन लागू नहीं कर सकते हैं, दो विधियाँ हैं जो NotPetya रैंसमवेयर के प्रसार को रोकेंगी: सर्वर संदेश ब्लॉक संस्करण 1 को पूरी तरह से अक्षम करना, और/या राउटर या फ़ायरवॉल में एक नियम बनाना जो आने वाले सर्वर संदेश को पोर्ट 445 पर ट्रैफ़िक को ब्लॉक करता है।
वहाँ एक और है संक्रमण से बचने का सरल उपाय. से शुरू फ़ाइल एक्सप्लोरर खोलना और विंडोज़ निर्देशिका फ़ोल्डर को लोड करना, जो आमतौर पर "C:\Windows" होता है। वहां आपको बनाने की आवश्यकता होगी एक फ़ाइल जिसका नाम "perfc" है (हाँ बिना किसी एक्सटेंशन के) और इसकी अनुमतियाँ "केवल पढ़ने के लिए" (सामान्य/विशेषताओं के माध्यम से) पर सेट करें।
बेशक, विंडोज़ निर्देशिका में नई फ़ाइल बनाने का कोई वास्तविक विकल्प नहीं है, केवल नया फ़ोल्डर विकल्प है। इस फ़ाइल को बनाने का सबसे अच्छा तरीका नोटपैड खोलना और विंडोज़ फ़ोल्डर में एक खाली "perfc.txt" फ़ाइल को सहेजना है। उसके बाद, बस नाम में ".txt" एक्सटेंशन को हटा दें, विंडो की पॉपअप चेतावनी को स्वीकार करें, और फ़ाइल की अनुमतियों को "केवल पढ़ने के लिए" में बदलने के लिए फ़ाइल पर राइट-क्लिक करें।
इस प्रकार, जब NotPetya किसी पीसी को संक्रमित करता है, तो यह उस विशिष्ट फ़ाइल के लिए विंडोज़ फ़ोल्डर को स्कैन करेगा, जो वास्तव में उसके स्वयं के फ़ाइल नामों में से एक है। यदि perfc फ़ाइल पहले से मौजूद है, तो NotPetya मानता है कि सिस्टम पहले से ही संक्रमित है, और निष्क्रिय हो जाता है। हालाँकि, अब इस रहस्य के सार्वजनिक होने से, हैकर्स ड्राइंग बोर्ड पर वापस जा सकते हैं और एक अलग फ़ाइल पर निर्भर होने के लिए NotPetya रैंसमवेयर को संशोधित कर सकते हैं।
संपादकों की सिफ़ारिशें
- यह गेम हैकर्स को आपके पीसी पर हमला करने देता है, और आपको इसे खेलने की भी ज़रूरत नहीं है
- इन स्लैक युक्तियों और युक्तियों के साथ अपने अधिकतम उत्पादक बनें
