हेफ़नियम माइक्रोसॉफ्ट एक्सचेंज हैक: क्या डियरक्राई रैंसमवेयर को एक प्रोटोटाइप के रूप में लॉन्च किया गया है? सोफोस विशेषज्ञों ने रैंसमवेयर की जांच की और वानाक्राई के साथ समानताएं पाईं।
चूंकि माइक्रोसॉफ्ट एक्सचेंज भेद्यता पिछले हफ्ते ज्ञात हो गई थी, इसलिए साइबर हमलों पर ध्यान केंद्रित किया गया है जो इस भेद्यता का फायदा उठाते हैं। इन सबसे ऊपर, रैंसमवेयर "डियरक्राई" अपने लिए एक बदनाम नाम बनाता है, जो पहली नज़र में "वानाक्राई" नामक एक प्रमुख पूर्ववर्ती की याद दिलाता है। सोफोस लैब्स ने नए मैलवेयर पर करीब से नजर डाली और कई संकेत पाए कि यह पहले अज्ञात रैंसमवेयर प्रोटोटाइप हो सकता है।
डियरक्राई: रैंसमवेयर हाइब्रिड दृष्टिकोण के साथ
डियरक्राई के विभिन्न नमूनों का विश्लेषण करते समय सबसे पहली बात जो आपके ध्यान में आती है वह यह है कि ऐसा प्रतीत होता है कि रैंसमवेयर हाइब्रिड तरीका अपना रहा है। इस दृष्टिकोण का उपयोग करने वाले सोफोसलैब्स के लिए ज्ञात एकमात्र रैंसमवेयर वानाक्राई है, हालांकि यह स्वचालित रूप से फैलता है और डियरक्राई जैसे मनुष्यों द्वारा नियंत्रित नहीं किया जाता है। हालाँकि, समानताएँ आश्चर्यजनक हैं: दोनों पहले आक्रमण की गई फ़ाइल (कॉपी एन्क्रिप्शन) की एक एन्क्रिप्टेड कॉपी बनाते हैं और फिर पुनर्प्राप्ति को रोकने के लिए मूल फ़ाइल को अधिलेखित कर देते हैं (इन प्लेस एन्क्रिप्शन)। जबकि कॉपी एन्क्रिप्शन पीड़ितों को कुछ डेटा पुनर्प्राप्त करने की अनुमति दे सकता है, इन प्लेस एन्क्रिप्शन यह सुनिश्चित करता है कि पुनर्प्राप्ति टूल के माध्यम से डेटा पुनर्प्राप्त नहीं किया जा सकता है। उदाहरण के लिए, कुख्यात मानव-संचालित रैनसमवेयर प्रतिनिधि जैसे रयूक, रेविल, बिटपेमर, भूलभुलैया या क्लॉप केवल प्रत्यक्ष एन्क्रिप्शन का उपयोग करते हैं।
डियरक्राई और वानाक्राई की तुलना में
डियरक्राई और वानाक्राई के बीच कई अन्य समानताएं हैं जिनमें एन्क्रिप्टेड फाइलों में जोड़े गए नाम और हेडर शामिल हैं। हालाँकि, ये नोट्स स्वचालित रूप से WannaCry डेवलपर्स से संबंध नहीं दर्शाते हैं, और डियरक्राई की क्षमताएं WannaCry से काफी भिन्न हैं। नया रैंसमवेयर एक कमांड और कंट्रोल सर्वर का उपयोग नहीं करता है, इसमें एक एम्बेडेड आरएसए एन्क्रिप्शन कुंजी है, एक टाइमर के साथ एक यूजर इंटरफेस प्रदर्शित नहीं करता है, और सबसे महत्वपूर्ण बात यह है कि यह नेटवर्क पर अन्य कंप्यूटरों में नहीं फैलता है।
सोफोस में इंजीनियरिंग टेक्नोलॉजी ऑफिस के निदेशक मार्क लोमन ने कहा, "हमें डियरक्राई के कई अन्य असामान्य लक्षण मिले, जिसमें यह तथ्य भी शामिल है कि रैंसमवेयर ने नए पीड़ितों के लिए नए बायनेरिज़ बनाए हैं।" “हमला किए गए फ़ाइल प्रकारों की सूची भी पीड़ित से पीड़ित तक विकसित हुई है। हमारे विश्लेषण से यह भी पता चलता है कि कोड में उस तरह की एंटी-डिटेक्शन विशेषताएं शामिल नहीं हैं, जिनकी हम आम तौर पर रैंसमवेयर से उम्मीद करते हैं, जैसे कि कंप्रेस्ड फाइल्स या ऑबफसकेशन तकनीक। ये और अन्य संकेत बताते हैं कि डियरक्राई मौजूदा माइक्रोसॉफ्ट एक्सचेंज सर्वर कमजोरियों का फायदा उठाने के लिए समय से पहले तैनात किया गया एक प्रोटोटाइप हो सकता है।
जितनी जल्दी हो सके एक्सचेंज पैच स्थापित करें
फिर से, यह बताया जाना चाहिए कि कंपनियों को अपने एक्सचेंज सर्वर के आपराधिक शोषण को रोकने के लिए जितनी जल्दी हो सके वर्तमान माइक्रोसॉफ्ट पैच स्थापित करना चाहिए। यदि यह संभव नहीं है, तो सर्वर को इंटरनेट से डिस्कनेक्ट कर दिया जाना चाहिए या रैपिड रिस्पांस टीम द्वारा बारीकी से निगरानी की जानी चाहिए। इसके अलावा, पैच को स्थापित करने के बाद हर कोई ठीक नहीं है, लेकिन एक फोरेंसिक जांच से यह सुनिश्चित होना चाहिए कि मैलवेयर पहले से ही अंतराल के माध्यम से सिस्टम में प्रवेश नहीं कर चुका है और तैनात होने की प्रतीक्षा कर रहा है।
Sophos.com पर और जानें
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।