रैंसमवेयर एक बहुत ही खराब मैलवेयर है क्योंकि हमलावर पीड़ित से अपने महत्वपूर्ण डेटा को बंधक होने से मुक्त करने के लिए भुगतान करने की मांग करते हैं। रैंसमवेयर पीड़ित के डिवाइस को चुपके से संक्रमित कर देता है, महत्वपूर्ण डेटा (बैकअप फाइलों सहित) को एन्क्रिप्ट करता है, फिर निर्देश देता है कि कितनी फिरौती का भुगतान किया जाना चाहिए और इसका भुगतान कैसे किया जाना चाहिए। इन सभी झंझटों के बाद, पीड़ित को इस बात की कोई गारंटी नहीं है कि हमलावर वास्तव में फाइलों को अनलॉक करने के लिए डिक्रिप्शन कुंजी जारी करेगा। और अगर वे कभी ऐसा करते हैं, तो कुछ फ़ाइलें दूषित हो सकती हैं, जिससे अंत में वे बेकार हो जाती हैं।
वर्षों से, रैंसमवेयर का उपयोग लोकप्रियता में बढ़ा है क्योंकि यह हैकर्स के लिए पैसा कमाने का सबसे सीधा तरीका है। उन्हें केवल मैलवेयर छोड़ने की आवश्यकता है, फिर उपयोगकर्ता द्वारा बिटकॉइन के माध्यम से पैसे भेजने की प्रतीक्षा करें। Emsisoft के आंकड़ों के अनुसार, 2019 में रैंसमवेयर हमलों की संख्या में पिछले वर्ष की तुलना में 41% की वृद्धि हुई, जिससे लगभग 1,000 अमेरिकी संगठन प्रभावित हुए। साइबरसिक्योरिटी वेंचर्स ने यहां तक भविष्यवाणी की थी कि रैंसमवेयर हर 11 सेकंड में व्यवसायों पर हमला करेगा।
इस साल की शुरुआत में, मैलवेयर के एक नए प्रकार, राग्नार लॉकर ने लिस्बन में मुख्यालय वाली पुर्तगाली इलेक्ट्रिक यूटिलिटी कंपनी Energias de पुर्तगाल (EDP) पर हमला किया। हमलावरों ने फिरौती के रूप में 1,580 बिटकॉइन की मांग की, जो लगभग 11 मिलियन डॉलर के बराबर है।
राग्नार लॉकर रैनसमवेयर क्या है?
रगनार लॉकर रैंसमवेयर प्रकार का मैलवेयर है जो न केवल डेटा को एन्क्रिप्ट करने के लिए बनाया गया है, बल्कि कनेक्ट वाइज और कासिया जैसे इंस्टॉल किए गए एप्लिकेशन को मारने के लिए भी बनाया गया है, जो आमतौर पर प्रबंधित सेवा प्रदाताओं और कई विंडोज सेवाओं द्वारा उपयोग किया जाता है। Ragnar Locker ragnar शब्द से बना एक अनूठा एक्सटेंशन जोड़कर एन्क्रिप्टेड फ़ाइलों का नाम बदल देता है इसके बाद यादृच्छिक संख्याओं और वर्णों की एक स्ट्रिंग होती है। उदाहरण के लिए, नाम वाली फ़ाइल A.jpg का नाम बदलकर A.jpg.ragnar_0DE48AAB कर दिया जाएगा।
फ़ाइलों को एन्क्रिप्ट करने के बाद, यह एक टेक्स्ट फ़ाइल का उपयोग करके एक फिरौती संदेश बनाता है, उसी नाम प्रारूप के साथ जैसा कि ऊपर दिए गए उदाहरण में है। फिरौती के संदेश का नाम RGNR_0DE48AAB.txt हो सकता है।
यह रैंसमवेयर केवल विंडोज कंप्यूटर पर चलता है, लेकिन यह अभी तक निश्चित नहीं है कि इस मैलवेयर के लेखकों ने रगनार लॉकर का मैक संस्करण भी डिजाइन किया है। यह आमतौर पर प्रबंधित सेवा प्रदाताओं द्वारा अपने हमले का पता लगाने और रोकने के लिए आमतौर पर उपयोग की जाने वाली प्रक्रियाओं और अनुप्रयोगों को लक्षित करता है। Ragnar Locker केवल अंग्रेज़ी बोलने वाले उपयोगकर्ताओं के लिए है।
राग्नार लॉकर रैंसमवेयर का पहली बार दिसंबर 2019 के अंत में पता चला था, जब इसे समझौता किए गए नेटवर्क के खिलाफ हमलों के हिस्से के रूप में इस्तेमाल किया गया था। सुरक्षा विशेषज्ञों के अनुसार, यूरोपीय ऊर्जा दिग्गज पर राग्नार लॉकर हमला एक सुविचारित और सुनियोजित हमला था।
यहां राग्नार लॉकर फिरौती संदेश का एक उदाहरण दिया गया है:
नमस्कार *!
********************
यदि आप इस संदेश को पढ़ रहे हैं, तो आपका नेटवर्क घुस गया था और आपकी सभी फाइलें और डेटा एन्क्रिप्ट कर दिया गया था
RAGNAR_LOCKER द्वारा!
********************
********** आपके सिस्टम के साथ क्या होता है?************
आपका नेटवर्क घुस गया था, आपकी सभी फ़ाइलें और बैकअप लॉक कर दिए गए थे! तो अब से आपकी फ़ाइलों को वापस पाने में कोई भी आपकी मदद नहीं कर सकता, सिवाय अमेरिका के।
आप इसे गूगल कर सकते हैं, हमारी SECRET KEY के बिना डेटा को डिक्रिप्ट करने की कोई संभावना नहीं है।
लेकिन चिंता न करें! आपकी फ़ाइलें क्षतिग्रस्त या खोई नहीं हैं, वे केवल संशोधित हैं। भुगतान करते ही आप इसे वापस पा सकते हैं।
हम केवल पैसे के लिए देख रहे हैं, इसलिए स्टील या आपकी जानकारी को हटाने के लिए हमारे लिए कोई दिलचस्पी नहीं है, यह सिर्फ एक बिजनेस $-) है
हालाँकि यदि आप हमारी विशिष्ट एन्क्रिप्शन कुंजी के बिना किसी अन्य सॉफ़्टवेयर द्वारा डिक्रिप्ट करने का प्रयास करते हैं, तो आप अपने डेटा को स्वयं नुकसान पहुँचा सकते हैं !!!
साथ ही, आपकी सभी संवेदनशील और निजी जानकारी एकत्र की गई थी और यदि आप भुगतान न करने का निर्णय लेते हैं,
हम इसे सार्वजनिक दृश्य के लिए अपलोड करेंगे!
****
************अपनी फ़ाइलें वापस कैसे प्राप्त करें ?******
अपनी सभी फाइलों और डेटा को डिक्रिप्ट करने के लिए आपको एन्क्रिप्शन कुंजी के लिए भुगतान करना होगा:
भुगतान के लिए BTC वॉलेट:*
भुगतान की जाने वाली राशि (बिटकॉइन में):25
****
************ आपको कितना समय देना होगा?**********
* बेहतर कीमत पाने के लिए आपको एन्क्रिप्शन पर ध्यान देने के बाद 2 दिनों के भीतर हमसे संपर्क करना चाहिए।
* अगर कोई संपर्क नहीं होता है तो 14 दिनों के बाद कीमत में 100% (दोगुनी कीमत) की वृद्धि की जाएगी।
* यदि कोई संपर्क नहीं किया गया है या कोई सौदा नहीं किया गया है, तो 21 दिनों में कुंजी पूरी तरह से मिट जाएगी।
फ़ाइल सर्वर से चुराई गई कुछ संवेदनशील जानकारी सार्वजनिक रूप से या फिर से विक्रेता को अपलोड की जाएगी।
****
************ क्या होगा यदि फ़ाइलें पुनर्स्थापित नहीं की जा सकतीं ?******
यह साबित करने के लिए कि हम वास्तव में आपके डेटा को डिक्रिप्ट कर सकते हैं, हम आपकी लॉक की गई फ़ाइलों में से एक को डिक्रिप्ट करेंगे!
बस इसे हमें भेजें और आपको यह मुफ़्त में वापस मिल जाएगी।
डिक्रिप्टर की कीमत नेटवर्क आकार, कर्मचारियों की संख्या, वार्षिक आय पर आधारित होती है।
कृपया भुगतान की जाने वाली BTC की राशि के लिए हमसे बेझिझक संपर्क करें।
****
! यदि आप नहीं जानते कि बिटकॉइन कैसे प्राप्त करें, तो हम आपको सलाह देंगे कि पैसे का आदान-प्रदान कैसे करें।
!!!!!!!!!!!!!
! यहाँ सरल मैनुअल है कि हमसे संपर्क कैसे करें!
!!!!!!!!!!!!!
1) TOX मैसेंजर की आधिकारिक वेबसाइट पर जाएं ( hxxps://tox.chat/download.html )
2) अपने पीसी पर qTOX डाउनलोड और इंस्टॉल करें, प्लेटफॉर्म चुनें (Windows, OS X, Linux, आदि)
3) मैसेंजर खोलें, "नई प्रोफाइल" पर क्लिक करें और प्रोफाइल बनाएं।
4) "मित्र जोड़ें" बटन पर क्लिक करें और हमारे संपर्क को खोजें *
5) पहचान के लिए, हमारे समर्थन डेटा को भेजें —RAGNAR SECRET—
महत्वपूर्ण ! अगर कुछ कारणों से आप हमसे qTOX में संपर्क नहीं कर सकते हैं, तो यहां हमारा रिजर्व मेलबॉक्स (*) है, जो —RAGNAR SECRET— के डेटा के साथ एक संदेश भेजता है।
चेतावनी!
-किसी भी तृतीय-पक्ष सॉफ़्टवेयर के साथ फ़ाइलों को डिक्रिप्ट करने का प्रयास न करें (यह स्थायी रूप से क्षतिग्रस्त हो जाएगा)
-अपने OS को पुन:स्थापित न करें, इससे संपूर्ण डेटा हानि हो सकती है और फ़ाइलों को डिक्रिप्ट नहीं किया जा सकता है। कभी नहीं!
-डिक्रिप्शन के लिए आपकी SECRET KEY हमारे सर्वर पर है, लेकिन इसे हमेशा के लिए स्टोर नहीं किया जाएगा। समय बर्बाद मत करो!
********************
—RAGNAR SECRET—
*
—RAGNAR SECRET—
********************
राग्नार लॉकर क्या करता है?
रगनार लॉकर आमतौर पर एमएसपी टूल जैसे कनेक्टवाइज के माध्यम से वितरित किया जाता है, जिसमें साइबर अपराधी अत्यधिक लक्षित रैंसमवेयर निष्पादन योग्य फ़ाइल को छोड़ देते हैं। इस प्रसार तकनीक का उपयोग पिछले अत्यधिक दुर्भावनापूर्ण रैंसमवेयर, जैसे सोडिनोकिबी द्वारा किया गया है। जब इस प्रकार का हमला होता है, तो रैंसमवेयर के लेखक असुरक्षित या बुरी तरह सुरक्षित RDP कनेक्शन के माध्यम से संगठनों या सुविधाओं में घुसपैठ करते हैं। यह तब सभी सुलभ समापन बिंदुओं पर पॉवर्सशेल स्क्रिप्ट भेजने के लिए टूल का उपयोग करता है। फिर स्क्रिप्ट रैंसमवेयर को निष्पादित करने और एंडपॉइंट को एन्क्रिप्ट करने के लिए डिज़ाइन किए गए पेस्टबिन के माध्यम से एक पेलोड डाउनलोड करती है। कुछ उदाहरणों में, पेलोड एक निष्पादन योग्य फ़ाइल के रूप में आता है जिसे फ़ाइल-आधारित हमले के हिस्से के रूप में लॉन्च किया जाता है। ऐसे मामले भी होते हैं जब पूरी तरह से फ़ाइल-रहित हमले के हिस्से के रूप में अतिरिक्त स्क्रिप्ट डाउनलोड की जाती हैं।
Ragnar Locker विशेष रूप से प्रबंधित सेवा प्रदाताओं द्वारा चलाए जा रहे सॉफ़्टवेयर को विशेष रूप से लक्षित करता है, जिसमें निम्न स्ट्रिंग शामिल हैं:
- बनाम
- एसक्यूएल
- स्मृति
- मेपोक्स
- सोफोस
- वीम
- बैकअप
- पल्सवे
- लॉगमे
- लॉगमेन
- कनेक्टवाइज
- स्पलैशटॉप
- कसिया
रैंसमवेयर पहले लक्ष्य की फाइलों को चुराता है और उसे अपने सर्वर पर अपलोड करता है। राग्नार लॉकर के बारे में अद्वितीय बात यह है कि वे न केवल फाइलों को एन्क्रिप्ट करते हैं बल्कि पीड़ित को धमकी भी देते हैं कि अगर फिरौती का भुगतान नहीं किया गया है, तो डेटा सार्वजनिक रूप से जारी किया जाएगा, जैसे कि ईडीपी के मामले में। EDP के साथ, हमलावरों ने कथित 10TB चोरी किए गए डेटा को जारी करने की धमकी दी, जो इतिहास में सबसे बड़े डेटा लीक में से एक हो सकता है। हमलावरों ने दावा किया कि सभी भागीदारों, ग्राहकों और प्रतिस्पर्धियों को उल्लंघन के बारे में सूचित किया जाएगा और उनका लीक डेटा सार्वजनिक उपभोग के लिए समाचार और मीडिया स्रोतों को भेजा जाएगा। हालांकि ईडीपी के प्रवक्ता ने घोषणा की है कि हमले का यूटिलिटी की बिजली सेवा और बुनियादी ढांचे पर कोई प्रभाव नहीं पड़ा है, लेकिन डेटा का बढ़ता उल्लंघन कुछ ऐसा है जिससे वे चिंतित हैं।
सेवाओं को अक्षम करना और प्रक्रियाओं को समाप्त करना मैलवेयर द्वारा सुरक्षा प्रोग्राम, बैकअप सिस्टम, डेटाबेस और मेल सर्वर को अक्षम करने के लिए उपयोग की जाने वाली सामान्य रणनीति है। एक बार इन कार्यक्रमों को समाप्त कर दिए जाने के बाद, उनके डेटा को एन्क्रिप्ट किया जा सकता है।
पहली बार लॉन्च होने पर, राग्नार लॉकर कॉन्फ़िगर की गई विंडोज भाषा प्राथमिकताओं को स्कैन करेगा। यदि भाषा वरीयता अंग्रेजी है, तो मैलवेयर अगले चरण के साथ जारी रहेगा। लेकिन अगर राग्नार लॉकर ने पाया कि भाषा पूर्व यूएसएसआर देशों में से एक के रूप में सेट है, तो मैलवेयर प्रक्रिया को समाप्त कर देगा और कंप्यूटर को एन्क्रिप्ट करने के साथ नहीं होगा।
रैनसमवेयर को क्रियान्वित होने से रोकने से पहले राग्नार लॉकर एमएसपी के सुरक्षा उपकरणों से समझौता करता है। एक बार अंदर जाने के बाद, मैलवेयर एन्क्रिप्शन प्रक्रिया शुरू करता है। यह महत्वपूर्ण फ़ाइलों को एन्क्रिप्ट करने के लिए एक एम्बेडेड RSA-2048 कुंजी का उपयोग करता है।
राग्नार लॉकर सभी फाइलों को एन्क्रिप्ट नहीं करता है। यह कुछ फ़ोल्डर, फ़ाइल नाम और एक्सटेंशन को छोड़ देगा, जैसे:
- kernel32.dll
- विंडोज
- Windows.old
- टोर ब्राउज़र
- इंटरनेट एक्सप्लोरर
- ओपेरा
- ओपेरा सॉफ्टवेयर
- मोज़िला
- मोज़िला फ़ायरफ़ॉक्स
- $रीसायकल.बिन
- कार्यक्रम डेटा
- सभी उपयोगकर्ता
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- बूटमगर
- bootmgr.efi
- bootmgfw.efi
- desktop.ini
- iconcache.db
- एनटीएलडीआर
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- .sys
- .dll
- .lnk
- .msi
- .drv
- .exe
एन्क्रिप्टेड फ़ाइलों में एक नया फ़ाइल एक्सटेंशन जोड़ने के अलावा, Ragnar Locker प्रत्येक एन्क्रिप्टेड फ़ाइल के अंत में एक 'RAGNAR' फ़ाइल मार्कर भी जोड़ता है।
रगनार लॉकर फिर '.RGNR_[extension].txt' नाम का एक फिरौती संदेश छोड़ता है जिसमें फिरौती की राशि, बिटकॉइन भुगतान पता, हमलावरों के साथ संवाद करने के लिए उपयोग की जाने वाली एक TOX चैट आईडी, और एक बैकअप ईमेल पता होता है, यदि कोई हो टीओएक्स के साथ समस्याएं। अन्य रैंसमवेयर के विपरीत, राग्नार लॉकर के पास फिरौती की एक निश्चित राशि नहीं होती है। यह लक्ष्य के अनुसार बदलता रहता है और इसकी गणना व्यक्तिगत रूप से की जाती है। कुछ रिपोर्टों में, फिरौती की राशि $200,000 से $600,000 के बीच भिन्न हो सकती है। EDP के मामले में, मांगी गई फिरौती 1,580 बिटकॉइन या $11 मिलियन थी।
राग्नार लॉकर कैसे निकालें
यदि आपका कंप्यूटर राग्नार लॉकर से संक्रमित होने के लिए अशुभ था, तो आपको सबसे पहले यह जांचना होगा कि आपकी सभी फाइलें एन्क्रिप्ट की गई हैं या नहीं। आपको यह भी जांचना होगा कि आपकी बैकअप फ़ाइलों को भी एन्क्रिप्ट किया गया है या नहीं। इस तरह के हमले आपके महत्वपूर्ण डेटा का बैकअप रखने के महत्व को उजागर करते हैं क्योंकि कम से कम, आपको अपनी फ़ाइलों तक पहुंच खोने के बारे में चिंता करने की ज़रूरत नहीं होगी।
फिरौती देने की कोशिश न करें क्योंकि यह बेकार होगा। इस बात की कोई गारंटी नहीं है कि हमलावर आपको सही डिक्रिप्शन कुंजी भेजेगा और आपकी फाइलें कभी भी जनता के लिए लीक नहीं होंगी। वास्तव में, यह बहुत संभव है कि हमलावर आपसे पैसे वसूल करना जारी रखेंगे क्योंकि वे जानते हैं कि आप भुगतान करने को तैयार हैं।
आप यह कर सकते हैं कि रैंसमवेयर को डिक्रिप्ट करने का प्रयास करने से पहले अपने कंप्यूटर से पहले उसे हटा दें। आप अपने कंप्यूटर को मैलवेयर के लिए स्कैन करने के लिए अपने एंटीवायरस या एंटी-मैलवेयर ऐप का उपयोग कर सकते हैं और सभी ज्ञात खतरों को हटाने के लिए निर्देशों का पालन कर सकते हैं। इसके बाद, मैलवेयर से संबंधित किसी भी संदिग्ध ऐप्स या एक्सटेंशन को अनइंस्टॉल कर दें।
अंत में, एक डिक्रिप्शन टूल की तलाश करें जो राग्नार लॉकर से मेल खाता हो। ऐसे कई डिक्रिप्टर हैं जिन्हें रैंसमवेयर द्वारा एन्क्रिप्ट की गई फ़ाइलों के लिए डिज़ाइन किया गया है, लेकिन आपको पहले अपने सुरक्षा सॉफ़्टवेयर निर्माता की जाँच करनी चाहिए कि क्या उनके पास एक उपलब्ध है। उदाहरण के लिए, Avast और Kaspersky के पास अपना स्वयं का डिक्रिप्शन टूल है जिसका उपयोग उपयोगकर्ता कर सकते हैं। यहां अन्य डिक्रिप्शन टूल की सूची दी गई है जिन्हें आप आजमा सकते हैं।
राग्नार लॉकर से खुद को कैसे बचाएं
रैंसमवेयर काफी परेशानी भरा हो सकता है, खासकर अगर कोई मौजूदा डिक्रिप्शन टूल नहीं है जो मैलवेयर द्वारा किए गए एन्क्रिप्शन को पूर्ववत करने में सक्षम हो। अपने डिवाइस को रैंसमवेयर से बचाने के लिए, विशेष रूप से रगनार लॉकर, यहां कुछ युक्तियां दी गई हैं जिन्हें आपको ध्यान में रखना चाहिए:
- यदि संभव हो तो डबल-फैक्टर या मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) का उपयोग करके एक मजबूत पासवर्ड नीति अपनाएं। यदि यह संभव नहीं है, तो यादृच्छिक, अद्वितीय पासवर्ड उत्पन्न करें जिनका अनुमान लगाना कठिन होगा।
- डेस्क से बाहर निकलते समय अपने कंप्यूटर को लॉक करना सुनिश्चित करें। चाहे आप दोपहर के भोजन के लिए बाहर जा रहे हों, एक छोटा ब्रेक ले रहे हों, या बस टॉयलेट जा रहे हों, अनधिकृत पहुंच को रोकने के लिए अपने कंप्यूटर को लॉक कर दें।
- डेटा बैकअप और पुनर्प्राप्ति योजना बनाएं, विशेष रूप से आपके कंप्यूटर पर महत्वपूर्ण जानकारी के लिए। यदि संभव हो तो नेटवर्क के बाहर या किसी बाहरी डिवाइस पर संग्रहीत सबसे महत्वपूर्ण जानकारी संग्रहीत करें। यह सुनिश्चित करने के लिए नियमित रूप से इन बैकअप का परीक्षण करें कि वे वास्तविक संकट की स्थिति में सही ढंग से काम करते हैं।
- अपने सिस्टम को नवीनतम सुरक्षा पैच के साथ अद्यतन और स्थापित करें। रैंसमवेयर आमतौर पर आपके सिस्टम की कमजोरियों का फायदा उठाता है, इसलिए सुनिश्चित करें कि आपके डिवाइस की सुरक्षा एयर-टाइट है।
- फ़िशिंग के सामान्य वैक्टर से सावधान रहें, जो रैंसमवेयर का सबसे आम वितरण तरीका है। यादृच्छिक लिंक पर क्लिक न करें और ईमेल अनुलग्नकों को अपने कंप्यूटर पर डाउनलोड करने से पहले हमेशा स्कैन करें।
- अपने डिवाइस पर एक मजबूत सुरक्षा सॉफ़्टवेयर स्थापित करें और डेटाबेस को नवीनतम खतरों से अपडेट रखें।