क्रायवाइपर: रैंसमवेयर वास्तव में डेटा को नष्ट कर देता है

Kaspersky के विशेषज्ञों ने एक नया रैंसमवेयर खोजा है: CryWiper। यह शुरुआत में एन्क्रिप्शन सॉफ्टवेयर की तरह काम करता है। लेकिन डेटा एन्क्रिप्ट नहीं किया गया है, लेकिन यादृच्छिक डेटा के साथ ओवरराइट किया गया है। फिरौती देना बेकार है।

कास्परस्की के विशेषज्ञों ने एक नए ट्रोजन के हमले की खोज की है, जिसे उन्होंने क्रायवाइपर करार दिया है। पहली नज़र में, यह मैलवेयर रैंसमवेयर जैसा दिखता है: यह फ़ाइलों को संशोधित करता है, उनमें एक .CRY एक्सटेंशन (क्राईवाइपर के लिए अद्वितीय) जोड़ता है, और बिटकॉइन वॉलेट पते, संपर्क ई-मेल पते वाले फिरौती नोट के साथ एक README.txt फ़ाइल सहेजता है। मैलवेयर के निर्माता और संक्रमण आईडी।

क्रायवाइपर: एन्क्रिप्शन के बजाय ओवरराइट करें

वास्तव में, हालांकि, यह मैलवेयर एक वाइपर है: क्रायवाइपर द्वारा संशोधित फ़ाइल को कभी भी उसकी मूल स्थिति में पुनर्स्थापित नहीं किया जा सकता है। इसलिए, जो कोई भी फिरौती का नोट और फाइलों को देखता है, उसके पास एक नया .CRY एक्सटेंशन है, फिरौती का भुगतान करने में जल्दबाजी न करें - यह व्यर्थ है।

अतीत में, कुछ मैलवेयर उपभेद हुए हैं जो गलती से वाइपर बन गए - उनके रचनाकारों द्वारा की गई गलतियों के कारण जिन्होंने एन्क्रिप्शन एल्गोरिदम को खराब तरीके से लागू किया। हालांकि, इस बार ऐसा नहीं है: कास्परस्की के विशेषज्ञ आश्वस्त हैं कि हमलावरों का मुख्य लक्ष्य वित्तीय लाभ नहीं है, बल्कि डेटा विनाश है। फ़ाइलें वास्तव में एन्क्रिप्टेड नहीं हैं; इसके बजाय, ट्रोजन छद्म-यादृच्छिक रूप से उत्पन्न डेटा के साथ उन्हें अधिलेखित कर देता है।

क्रायवाइपर वास्तव में क्या खोज रहा है

ट्रोजन सभी डेटा को दूषित कर देता है जो ऑपरेटिंग सिस्टम के कामकाज के लिए महत्वपूर्ण नहीं है। यह .exe, .dll, .lnk, .sys, या .msi एक्सटेंशन वाली फ़ाइलों को प्रभावित नहीं करता है और C:\Windows निर्देशिका में कई सिस्टम फ़ोल्डरों को अनदेखा करता है। मैलवेयर डेटाबेस, अभिलेखागार और उपयोगकर्ता दस्तावेजों पर केंद्रित है।

क्रायवाइपर ट्रोजन कैसे काम करता है

कचरे के साथ फ़ाइलों की सामग्री को सीधे अधिलेखित करने के अलावा, क्रायवाइपर निम्नलिखित कार्य भी करता है:

• टास्क शेड्यूलर के साथ एक कार्य बनाएं जो वाइपर को हर पांच मिनट में पुनरारंभ करता है;
• संक्रमित कंप्यूटर का नाम C&C सर्वर को भेजता है और हमले के लिए कमांड का इंतजार करता है;
• से संबंधित प्रक्रियाओं को रोकता है: MySQL और MS SQL डेटाबेस सर्वर, MS Exchange मेल सर्वर और MS सक्रिय निर्देशिका वेब सेवाएँ (अन्यथा कुछ फ़ाइलों तक पहुँच अवरुद्ध हो जाएगी और उन्हें नुकसान पहुँचाना असंभव होगा);
• फ़ाइलों की छाया प्रतियां हटाता है ताकि उन्हें पुनर्प्राप्त नहीं किया जा सके (लेकिन केवल सी पर: किसी कारण से ड्राइव);
• RDP रिमोट एक्सेस प्रोटोकॉल के माध्यम से प्रभावित सिस्टम से कनेक्शन को निष्क्रिय कर देता है।
  उत्तरार्द्ध का उद्देश्य पूरी तरह स्पष्ट नहीं है। शायद, इसे इस तरह से अक्षम करके, मैलवेयर लेखकों ने घटना प्रतिक्रिया टीम के काम को जटिल बनाने की कोशिश की, जो स्पष्ट रूप से प्रभावित मशीन के लिए दूरस्थ पहुँच को प्राथमिकता देंगे - इसके बजाय उन्हें इसके लिए भौतिक पहुँच देने की आवश्यकता होगी।

Kaspersky.com पर अधिक

 

---

Kaspersky के बारे में

Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी

---

 

विषय से संबंधित लेख