विंडोज 10 अपडेट 1709 में नया क्या है। अपडेट असिस्टेंट के साथ अपडेट करें

कैसपर्सकी लैब के अनुसार, यह रैंसमवेयर वायरस की तीसरी लहर का अग्रदूत हो सकता है। पहले दो सनसनीखेज WannaCry और Petya (उर्फ NotPetya) थे। साइबर सुरक्षा विशेषज्ञों ने एमआईआर 24 से एक नए नेटवर्क मैलवेयर के उद्भव और इसके शक्तिशाली हमले से बचाव के बारे में बात की।

बैड रैबिट अटैक के ज्यादातर शिकार रूस में हैं। यूक्रेन, तुर्की और जर्मनी के क्षेत्र में, उनमें से बहुत कम हैं, कास्परस्की लैब में एंटी-वायरस अनुसंधान विभाग के प्रमुख ने कहा व्याचेस्लाव ज़कोरज़ेव्स्की. संभवतः, जिन देशों में उपयोगकर्ता सक्रिय रूप से रूसी इंटरनेट संसाधनों का पालन करते हैं, वे दूसरे सबसे सक्रिय थे।

जब मैलवेयर किसी कंप्यूटर को संक्रमित करता है, तो यह उस पर मौजूद फाइलों को एन्क्रिप्ट कर देता है। यह हैक किए गए इंटरनेट संसाधनों से वेब ट्रैफ़िक के माध्यम से फैलता है, जिनमें मुख्य रूप से संघीय रूसी मीडिया की वेबसाइटें, साथ ही साथ कीव मेट्रो के कंप्यूटर और सर्वर, यूक्रेनी बुनियादी ढांचा मंत्रालय और ओडेसा अंतर्राष्ट्रीय हवाई अड्डा शामिल थे। शीर्ष 20 से रूसी बैंकों पर हमला करने का असफल प्रयास भी दर्ज किया गया था।

तथ्य यह है कि फोंटंका, इंटरफैक्स और कई अन्य प्रकाशनों पर बैड रैबिट द्वारा हमला किया गया था, कल सूचना सुरक्षा में विशेषज्ञता वाली कंपनी ग्रुप-आईबी द्वारा रिपोर्ट की गई थी। वायरस कोड के विश्लेषण से पता चला है कि बैड रैबिट नॉट पेट्या रैंसमवेयर से जुड़ा है, जो जून मेंइस साल यूक्रेन में ऊर्जा, दूरसंचार और वित्तीय कंपनियों पर हमला किया।

हमले को कई दिनों के लिए तैयार किया गया था और, संक्रमण के पैमाने के बावजूद, रैंसमवेयर ने हमले के पीड़ितों से अपेक्षाकृत कम मात्रा में मांग की - 0.05 बिटकॉइन (लगभग $ 283 या 15,700 रूबल)। आपके पास रिडीम करने के लिए 48 घंटे हैं। इस अवधि की समाप्ति के बाद, राशि बढ़ जाती है।

ग्रुप-आईबी के विशेषज्ञों का मानना ​​है कि हैकर्स का पैसा बनाने का कोई इरादा नहीं है। उनका संभावित लक्ष्य उद्यमों, सरकारी विभागों और निजी कंपनियों के महत्वपूर्ण बुनियादी ढांचे के नेटवर्क की सुरक्षा के स्तर का परीक्षण करना है।

हमला करना आसान है

जब कोई उपयोगकर्ता किसी संक्रमित साइट पर जाता है, तो दुर्भावनापूर्ण कोड उपयोगकर्ता के बारे में एक दूरस्थ सर्वर को जानकारी भेजता है। इसके बाद, एक पॉप-अप विंडो दिखाई देती है जो आपको फ़्लैश प्लेयर के लिए एक अपडेट डाउनलोड करने के लिए कहती है, जो नकली है। यदि उपयोगकर्ता ने "इंस्टॉल" ऑपरेशन को मंजूरी दे दी है, तो कंप्यूटर पर एक फाइल डाउनलोड की जाएगी, जो बदले में सिस्टम में Win32/Filecoder.D एन्कोडर लॉन्च करेगी। इसके अलावा, दस्तावेजों तक पहुंच अवरुद्ध हो जाएगी, स्क्रीन पर एक फिरौती संदेश दिखाई देगा।

बैड रैबिट वायरस खुले नेटवर्क संसाधनों के लिए नेटवर्क को स्कैन करता है, जिसके बाद यह संक्रमित मशीन पर एक क्रेडेंशियल संग्रह उपकरण लॉन्च करता है, और यह "व्यवहार" अपने पूर्ववर्तियों से अलग है।

एंटी-वायरस सॉफ़्टवेयर एसेट एनओडी 32 के अंतर्राष्ट्रीय डेवलपर के विशेषज्ञों ने पुष्टि की कि बैड रैबिट पेट्या वायरस का एक नया संशोधन है, जिसका सिद्धांत समान था - वायरस एन्क्रिप्टेड जानकारी और बिटकॉइन में फिरौती की मांग करता था (राशि की तुलना की गई थी खराब खरगोश - $ 300)। नया मैलवेयर फ़ाइल एन्क्रिप्शन में बग को ठीक करता है। वायरस में प्रयुक्त कोड तार्किक ड्राइव, बाहरी यूएसबी ड्राइव और सीडी/डीवीडी छवियों के साथ-साथ बूट करने योग्य डिस्क विभाजन को एन्क्रिप्ट करने के लिए डिज़ाइन किया गया है।

उन दर्शकों के बारे में बोलते हुए, जिन पर बैड रैबिट, हेड ऑफ़ सेल्स सपोर्ट ESET रूस द्वारा हमला किया गया था विटाली ज़ेम्स्कीने कहा कि कंपनी के एंटीवायरस उत्पादों द्वारा रोके गए 65% हमले रूस पर पड़ते हैं। नए वायरस का शेष भूगोल इस तरह दिखता है:

यूक्रेन - 12.2%

बुल्गारिया - 10.2%

तुर्की - 6.4%

जापान - 3.8%

अन्य - 2.4%

"रैंसमवेयर पीड़ित के ड्राइव को एन्क्रिप्ट करने के लिए डिस्कक्रिप्टर नामक एक प्रसिद्ध ओपन सोर्स सॉफ़्टवेयर का उपयोग करता है। उपयोगकर्ता जो लॉक संदेश स्क्रीन देखता है वह लगभग पेट्या और नोटपेट्या लॉक स्क्रीन के समान है। हालाँकि, यह एकमात्र समानता है जिसे हमने अब तक दो मैलवेयर के बीच देखा है। अन्य सभी पहलुओं में, BadRabbit एक पूरी तरह से नया और अनूठा प्रकार का रैंसमवेयर है, ”चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज के सीटीओ कहते हैं। निकिता डुरोव.

खराब खरगोश से खुद को कैसे बचाएं?

विंडोज के अलावा अन्य ऑपरेटिंग सिस्टम के मालिक राहत की सांस ले सकते हैं, क्योंकि नया रैंसमवेयर वायरस केवल इस "अक्ष" वाले कंप्यूटरों को कमजोर बनाता है।

नेटवर्क मैलवेयर से बचाव के लिए, विशेषज्ञ आपके कंप्यूटर पर C:\windows\infpub.dat फ़ाइल बनाने की सलाह देते हैं, जबकि इसके केवल-पढ़ने के अधिकार सेट करते हैं - यह व्यवस्थापन अनुभाग में करना आसान है। इस तरह, आप फ़ाइल के निष्पादन को रोक देंगे, और बाहर से आने वाले सभी दस्तावेज़ों को एन्क्रिप्ट नहीं किया जाएगा, भले ही वे संक्रमित हो गए हों। वायरस से संक्रमण के मामले में मूल्यवान डेटा न खोने के लिए, अभी एक बैकअप (बैकअप कॉपी) बनाएं। और, ज़ाहिर है, यह याद रखने योग्य है कि फिरौती का भुगतान एक जाल है जो आपके कंप्यूटर को अनलॉक करने की गारंटी नहीं देता है।

याद करा दें कि इस साल मई में यह वायरस दुनिया भर के कम से कम 150 देशों में फैल गया था। उसने जानकारी को एन्क्रिप्ट किया और विभिन्न स्रोतों के अनुसार, 300 से 600 डॉलर तक की फिरौती देने की मांग की। 200 हजार से ज्यादा यूजर्स इससे पीड़ित थे। एक संस्करण के अनुसार, इसके रचनाकारों ने यूएस एनएसए मैलवेयर इटरनल ब्लू को आधार के रूप में लिया।

अल्ला स्मिरनोवा ने विशेषज्ञों से बात की

सभी को नमस्कार! रूस और यूक्रेन, तुर्की, जर्मनी और बुल्गारिया में बस दूसरे दिन, नए बैड रैबिट एन्क्रिप्शन वायरस, उर्फ ​​​​डिस्ककोडर.डी के साथ बड़े पैमाने पर हैकर हमला शुरू हुआ। रैंसमवेयर वर्तमान में बड़े और मध्यम आकार के संगठनों के कॉर्पोरेट नेटवर्क पर हमला करता है, जिससे सभी नेटवर्क अवरुद्ध हो जाते हैं। आज हम आपको बताएंगे कि यह ट्रोजन क्या है और आप इससे खुद को कैसे बचा सकते हैं।

एक वायरस क्या है?

बैड रैबिट (बैड रैबिट) रैंसमवेयर के लिए मानक योजना के अनुसार संचालित होता है: जब यह सिस्टम में प्रवेश करता है, तो यह डिक्रिप्शन के लिए फाइलों को एनकोड करता है, जिसके लिए हैकर्स को 0.05 बिटकॉइन की आवश्यकता होती है, जो कि $ 283 (या 15,700 रूबल) की दर से होता है। यह एक अलग विंडो में रिपोर्ट किया जाता है, जहां आपको वास्तव में खरीदी गई कुंजी दर्ज करने की आवश्यकता होती है। खतरा एक ट्रोजन है ट्रोजन.Win32.जेनेरिक, हालांकि, इसमें अन्य घटक भी शामिल हैं, जैसे डेंजरसऑब्जेक्ट.मल्टी.जेनेरिकतथा फिरौती .जीत 32.जनरल .एफटीएल.

बैड रैबिट - एक नया रैंसमवेयर वायरस

संक्रमण के सभी स्रोतों का पूरी तरह से पता लगाना अभी भी मुश्किल है, लेकिन विशेषज्ञ अब इस पर काम कर रहे हैं। संभवतः, यह खतरा संक्रमित साइटों के माध्यम से पीसी में प्रवेश करता है जो पुनर्निर्देशित हैं, या एडोब फ्लैश जैसे लोकप्रिय प्लग-इन के लिए नकली अपडेट की आड़ में। ऐसी साइटों की सूची केवल विस्तार कर रही है।

क्या वायरस को हटाना संभव है और अपनी सुरक्षा कैसे करें?

यह तुरंत कहा जाना चाहिए कि फिलहाल सभी एंटी-वायरस प्रयोगशालाओं ने इस ट्रोजन का विश्लेषण करना शुरू कर दिया है। यदि आप विशेष रूप से वायरस को हटाने के बारे में जानकारी की तलाश करते हैं, तो ऐसा नहीं है। आइए मानक सलाह को तुरंत त्याग दें - सिस्टम का बैकअप बनाएं, रिटर्न का एक बिंदु, ऐसी और ऐसी फाइलों को हटा दें। यदि आपके पास बचत नहीं है, तो बाकी सब कुछ काम नहीं करता है, हैकर्स ने ऐसे क्षणों के बारे में सोचा है, वायरस के विनिर्देश के कारण।

मुझे लगता है कि शौकीनों द्वारा बनाए गए बैड रैबिट के लिए डिकोडर जल्द ही वितरित किए जाएंगे - आप इन कार्यक्रमों का पालन करते हैं या नहीं, यह आपका अपना व्यवसाय है। जैसा कि पिछले रैंसमवेयर पेट्या ने दिखाया था, इससे कुछ लोगों को मदद मिलती है।

लेकिन जब आप पीसी में आने की कोशिश करते हैं तो आप खतरे को रोक सकते हैं और इसे हटा सकते हैं। कैसपर्सकी और ईएसईटी प्रयोगशालाएं एक वायरस महामारी की रिपोर्ट पर प्रतिक्रिया देने वाली पहली थीं, और वे पहले से ही प्रवेश के प्रयासों को रोक रही हैं। Google क्रोम ब्राउज़र ने भी संक्रमित संसाधनों की पहचान करना और उनके खतरे की चेतावनी देना शुरू कर दिया। यहाँ पहली बार में BadRabbit से बचाव के लिए क्या करना है:

1. यदि आप सुरक्षा के लिए Kaspersky, ESET, Dr.Web या अन्य लोकप्रिय एनालॉग्स का उपयोग करते हैं, तो आपको निश्चित रूप से डेटाबेस को अपडेट करना होगा। इसके अलावा, Kaspersky के लिए, आपको "गतिविधि निगरानी" (सिस्टम वॉचर) को सक्षम करने की आवश्यकता है, और ESET में, अद्यतन 16295 के साथ हस्ताक्षर लागू करें।

   

2. यदि आप एंटीवायरस का उपयोग नहीं करते हैं, तो आपको फ़ाइलों के निष्पादन को अवरुद्ध करने की आवश्यकता है सी:\विंडोज\infpub.datतथा सी:\विंडोज\cscc.dat. यह समूह नीति संपादक, या विंडोज़ के लिए ऐप लॉकर प्रोग्राम के माध्यम से किया जाता है।

सेवा के निष्पादन को अक्षम करना वांछनीय है - विंडोज मैनेजमेंट इंस्ट्रुमेंटेशन (WMI). शीर्ष दस में, सेवा को कहा जाता है "विंडोज प्रबंधन उपकरण व्यवस्था". दाएँ बटन के माध्यम से, सेवा के गुण दर्ज करें और चुनें "स्टार्टअप प्रकार"तरीका "अक्षम".



3. अपने सिस्टम का बैकअप लेना सुनिश्चित करें। सिद्धांत रूप में, एक प्रति को हमेशा हटाने योग्य मीडिया पर संग्रहीत किया जाना चाहिए। इसे कैसे बनाया जाए, इस पर एक छोटा वीडियो ट्यूटोरियल है।

निष्कर्ष

अंत में, यह सबसे महत्वपूर्ण बात कहने लायक है - आपको फिरौती का भुगतान नहीं करना चाहिए, चाहे आपने कुछ भी एन्क्रिप्ट किया हो। इस तरह की कार्रवाइयां केवल स्कैमर को नए वायरस हमले करने के लिए उकसाती हैं। एंटी-वायरस कंपनियों के मंचों का पालन करें, जो मुझे आशा है कि जल्द ही बैड रैबिट वायरस का अध्ययन करेंगे और एक प्रभावी गोली ढूंढेंगे। अपने OS की सुरक्षा के लिए ऊपर दिए गए चरणों का पालन करना सुनिश्चित करें। उनके कार्यान्वयन में कठिनाइयों के मामले में, टिप्पणियों में सदस्यता समाप्त करें।

एक साल में तीसरा बड़ा साइबर हमला। इस बार एक नया नाम बैड रैबिट और पुरानी आदतों के साथ एक वायरस - डेटा एन्क्रिप्शन और अनलॉक करने के लिए पैसे की जबरन वसूली। और प्रभावित क्षेत्र में अभी भी रूस, यूक्रेन और कुछ अन्य सीआईएस देश हैं।

बैड रैबिट सामान्य योजना के अनुसार कार्य करता है: यह संलग्न वायरस या लिंक के साथ एक फ़िशिंग ईमेल भेजता है। विशेष रूप से, हमलावर Microsoft तकनीकी सहायता के रूप में सामने आ सकते हैं और उन्हें तत्काल एक संलग्न फ़ाइल खोलने या किसी लिंक का अनुसरण करने के लिए कह सकते हैं। एक और वितरण मार्ग है - एक नकली एडोब फ्लैश प्लेयर अपडेट विंडो। दोनों ही मामलों में, बैड रैबिट उसी तरह से काम करता है जैसे बहुत पहले सनसनीखेज नहीं था, यह पीड़ित के डेटा को एन्क्रिप्ट करता है और 0.05 बिटकॉइन की फिरौती मांगता है, जो कि 25 अक्टूबर, 2017 को विनिमय दर पर लगभग $ 280 है। नई महामारी के शिकार थे इंटरफैक्स, फोंटंका का सेंट पीटर्सबर्ग संस्करण, कीव मेट्रो, ओडेसा हवाई अड्डा और यूक्रेन का संस्कृति मंत्रालय। इस बात के सबूत हैं कि नए वायरस ने कई प्रसिद्ध रूसी बैंकों पर हमला करने की कोशिश की, लेकिन यह विचार विफल रहा। विशेषज्ञ बैड रैबिट को इस साल दर्ज किए गए पिछले बड़े हमलों से जोड़ते हैं। इसका प्रमाण समान एन्क्रिप्शन सॉफ़्टवेयर Diskcoder.D है, और यह वही पेट्या एन्क्रिप्टर है, जिसे केवल थोड़ा संशोधित किया गया है।

खराब खरगोश से खुद को कैसे बचाएं?

विशेषज्ञ सलाह देते हैं कि विंडोज कंप्यूटर के मालिक "infpub.dat" फाइल बनाएं और इसे "सी" ड्राइव पर विंडोज फोल्डर में रखें। नतीजतन, पथ इस तरह दिखना चाहिए: C:\windows\infpub.dat। यह एक नियमित नोटपैड का उपयोग करके किया जा सकता है, लेकिन व्यवस्थापक अधिकारों के साथ। ऐसा करने के लिए, हम नोटपैड प्रोग्राम का लिंक ढूंढते हैं, राइट-क्लिक करें और "व्यवस्थापक के रूप में चलाएँ" चुनें।

फिर आपको बस इस फाइल को C:\windows\, यानी C ड्राइव पर विंडोज फोल्डर में सेव करना होगा। फ़ाइल का नाम: infpub.dat, जिसमें "dat" फ़ाइल एक्सटेंशन है। डिफ़ॉल्ट नोटपैड एक्सटेंशन "txt" को "dat" से बदलना न भूलें। फ़ाइल को सहेजने के बाद, विंडोज फ़ोल्डर खोलें, बनाई गई infpub.dat फ़ाइल ढूंढें, उस पर राइट-क्लिक करें और "गुण" चुनें, जहां सबसे नीचे आपको "केवल पढ़ने के लिए" की जांच करने की आवश्यकता है। इस प्रकार, यदि आप बैड रैबिट वायरस को पकड़ भी लेते हैं, तो भी यह आपके डेटा को एन्क्रिप्ट नहीं कर पाएगा।

निवारक उपाय

यह न भूलें कि कुछ नियमों का पालन करके आप किसी भी वायरस से अपनी रक्षा कर सकते हैं। यह सुनने में अटपटा लगता है, लेकिन कभी भी पत्र न खोलें, और इससे भी अधिक उनके अनुलग्नक, यदि पता आपको संदेहास्पद लगता है। फ़िशिंग ईमेल, यानी, अन्य सेवाओं के रूप में, संक्रमण का सबसे आम तरीका है। सावधान रहें कि आप क्या खोलते हैं। यदि संलग्न फाइल को पत्र में "Important document.docx__________.exe" कहा गया है, तो आपको निश्चित रूप से इस फाइल को नहीं खोलना चाहिए। इसके अलावा, आपके पास महत्वपूर्ण फाइलों की बैकअप प्रतियां होनी चाहिए। उदाहरण के लिए, फ़ोटो या काम करने वाले दस्तावेज़ों के साथ एक पारिवारिक संग्रह को बाहरी ड्राइव या क्लाउड स्टोरेज पर डुप्लिकेट किया जा सकता है। यह न भूलें कि विंडोज के लाइसेंस प्राप्त संस्करण का उपयोग करना और नियमित रूप से अपडेट इंस्टॉल करना कितना महत्वपूर्ण है। Microsoft द्वारा सुरक्षा पैच नियमित रूप से जारी किए जाते हैं और उन्हें स्थापित करने वालों को ऐसे वायरस से कोई समस्या नहीं होती है।

इस साल अक्टूबर के अंत में एक नए वायरस का उदय हुआ जिसने कॉर्पोरेट और घरेलू उपयोगकर्ताओं के कंप्यूटरों पर सक्रिय रूप से हमला किया। नया वायरस एक रैंसमवेयर है और इसे बैड रैबिट कहा जाता है, जिसका अर्थ है खराब खरगोश। इस वायरस की मदद से कई रूसी मास मीडिया की वेबसाइटों पर हमला किया गया। बाद में, वायरस यूक्रेनी उद्यमों के सूचना नेटवर्क में भी पाया गया। मेट्रो के सूचना नेटवर्क, विभिन्न मंत्रालयों, अंतरराष्ट्रीय हवाई अड्डों आदि पर वहां हमला किया गया। थोड़ी देर बाद, जर्मनी और तुर्की में इसी तरह का वायरस हमला देखा गया, हालांकि इसकी गतिविधि यूक्रेन और रूस की तुलना में काफी कम थी।

एक दुर्भावनापूर्ण वायरस एक विशेष प्लग-इन है, जो कंप्यूटर में प्रवेश करने के बाद, अपनी फ़ाइलों को एन्क्रिप्ट करता है। एक बार जानकारी एन्क्रिप्ट हो जाने के बाद, हमलावर अपने डेटा को डिक्रिप्ट करने के लिए उपयोगकर्ताओं से पुरस्कार प्राप्त करने का प्रयास करते हैं।

वायरस का फैलाव

ईएसईटी एंटी-वायरस सॉफ्टवेयर डेवलपमेंट लेबोरेटरी के विशेषज्ञों ने वायरस प्रसार पथ के एल्गोरिदम का विश्लेषण किया और इस निष्कर्ष पर पहुंचे कि यह एक संशोधित वायरस है जो हाल ही में पेट्या वायरस की तरह फैल गया है।

ESET प्रयोगशाला विशेषज्ञों ने गणना की है कि दुर्भावनापूर्ण प्लगइन्स 1dnscontrol.com संसाधन और IP पते IP5.61.37.209 से वितरित किए गए थे। इस डोमेन और आईपी के साथ कई और संसाधन भी जुड़े हुए हैं, जिनमें Secure-check.host, webcheck01.net, Secureinbox.email, webdefense1.net, Secure-dns1.net, firewebmail.com शामिल हैं।

विशेषज्ञों ने जांच की कि इन साइटों के मालिकों ने कई अलग-अलग संसाधनों को पंजीकृत किया है, उदाहरण के लिए, जिनके माध्यम से स्पैम मेलिंग की सहायता से वे नकली दवाएं बेचने का प्रयास करते हैं। ईएसईटी विशेषज्ञ इस बात से इंकार नहीं करते हैं कि स्पैम और फ़िशिंग का उपयोग करके इन संसाधनों की मदद से मुख्य साइबर हमला किया गया था।

बैड रैबिट वायरस कैसे संक्रमित होता है?

कंप्यूटर फोरेंसिक लैबोरेटरी के विशेषज्ञों ने जांच की कि यूजर्स के कंप्यूटर में वायरस कैसे आया। यह पाया गया कि ज्यादातर मामलों में बैड रैबिट रैंसमवेयर वायरस को एडोब फ्लैश के अपडेट के रूप में वितरित किया गया था। यानी, वायरस ने किसी भी ऑपरेटिंग सिस्टम की कमजोरियों का उपयोग नहीं किया था, लेकिन उपयोगकर्ताओं द्वारा स्वयं स्थापित किया गया था, जो इससे अनजान थे, उन्होंने इसकी स्थापना को मंजूरी दे दी, यह सोचकर कि वे एडोब फ्लैश प्लगइन को अपडेट कर रहे थे। जब वायरस स्थानीय नेटवर्क में प्रवेश करता है, तो यह मेमोरी से लॉगिन और पासवर्ड चुरा लेता है और अपने आप ही अन्य कंप्यूटर सिस्टम में फैल जाता है।

हैकर्स कैसे पैसे निकालते हैं

कंप्यूटर में रैंसमवेयर वायरस इंस्टाल हो जाने के बाद यह स्टोर की गई जानकारी को एन्क्रिप्ट कर देता है। इसके बाद, उपयोगकर्ताओं को एक संदेश प्राप्त होता है जो दर्शाता है कि अपने डेटा तक पहुंचने के लिए, उन्हें निर्दिष्ट डार्क वेब साइट पर भुगतान करना होगा। ऐसा करने के लिए, आपको सबसे पहले एक विशेष टोर ब्राउज़र स्थापित करना होगा। इस तथ्य के लिए कि कंप्यूटर अनलॉक हो जाएगा, हमलावर 0.05 बिटकॉइन की राशि में भुगतान करते हैं। आज, 1 बिटकॉइन के लिए $5600 की कीमत पर, कंप्यूटर को अनलॉक करने के लिए यह लगभग $280 है। भुगतान करने के लिए, उपयोगकर्ता को 48 घंटे के बराबर समयावधि दी जाती है। इस अवधि के बाद, यदि आवश्यक राशि हमलावर के इलेक्ट्रॉनिक खाते में स्थानांतरित नहीं की गई है, तो राशि बढ़ जाती है।

वायरस से खुद को कैसे बचाएं

1. बैड रैबिट वायरस के संक्रमण से खुद को बचाने के लिए, आपको सूचना वातावरण से उपरोक्त डोमेन तक पहुंच को अवरुद्ध करना चाहिए।
2. घरेलू उपयोगकर्ताओं के लिए, आपको विंडोज के वर्तमान संस्करण के साथ-साथ एंटीवायरस प्रोग्राम को भी अपडेट करना होगा। इस मामले में, दुर्भावनापूर्ण फ़ाइल को रैंसमवेयर वायरस के रूप में पहचाना जाएगा, जो कंप्यूटर पर इसकी स्थापना की संभावना को बाहर कर देगा।
3. वे उपयोगकर्ता जो विंडोज ऑपरेटिंग सिस्टम के बिल्ट-इन एंटीवायरस का उपयोग करते हैं, उनके पास पहले से ही इन रैंसमवेयर से सुरक्षा है। इसे विंडोज डिफेंडर एंटीवायरस एप्लिकेशन में लागू किया गया है।
4. Kaspersky Lab के एंटी-वायरस प्रोग्राम के डेवलपर्स सभी उपयोगकर्ताओं को समय-समय पर अपने डेटा का बैकअप लेने की सलाह देते हैं। इसके अलावा, विशेषज्ञ c:\windows\infpub.dat, c:\WINDOWS\cscc.dat फ़ाइलों के निष्पादन को अवरुद्ध करने की सलाह देते हैं, और, यदि संभव हो तो, WMI सेवा के उपयोग को अक्षम करें।

निष्कर्ष

प्रत्येक कंप्यूटर उपयोगकर्ता को यह याद रखना चाहिए कि नेटवर्क पर काम करते समय साइबर सुरक्षा सबसे पहले आनी चाहिए। इसलिए, आपको हमेशा केवल सत्यापित सूचना संसाधनों के उपयोग की निगरानी करनी चाहिए और ध्यान से ई-मेल और सामाजिक नेटवर्क का उपयोग करना चाहिए। इन संसाधनों के माध्यम से ही विभिन्न विषाणुओं का प्रसार सबसे अधिक बार होता है। सूचना वातावरण में व्यवहार के प्राथमिक नियम वायरस के हमले के दौरान उत्पन्न होने वाली समस्याओं को समाप्त कर देंगे।

बैड रैबिट एन्क्रिप्शन वायरस, जिस पर एक दिन पहले रूसी मीडिया पर हमला किया गया था, ने भी शीर्ष 20 से रूसी बैंकों पर हमला करने की कोशिश की, ग्रुप-आईबी, जो साइबर अपराध की जांच और रोकथाम करता है, ने फोर्ब्स को बताया। कंपनी के प्रतिनिधि ने क्रेडिट संस्थानों पर हमलों के बारे में विवरण स्पष्ट करने से इनकार कर दिया, यह समझाते हुए कि ग्रुप-आईबी अपने घुसपैठ का पता लगाने वाली प्रणाली का उपयोग करने वाले ग्राहकों के बारे में जानकारी का खुलासा नहीं करता है।

साइबर सुरक्षा विशेषज्ञों के अनुसार, रूसी बैंकों के बुनियादी ढांचे को वायरस से संक्रमित करने का प्रयास 24 अक्टूबर को मास्को समय 13:00 से 15:00 बजे तक हुआ। ग्रुप-आईबी का मानना ​​है कि गैर-बैंकिंग क्षेत्र की कंपनियों की तुलना में साइबर हमलों ने बैंकों के लिए बेहतर सुरक्षा का प्रदर्शन किया है। इससे पहले, कंपनी ने बताया कि एक नया रैंसमवेयर वायरस, संभवत: जून में NotPetya रैंसमवेयर की महामारी से संबंधित था (यह कोड में संयोगों द्वारा इंगित किया गया है), रूसी मीडिया पर हमला किया। यह इंटरफैक्स एजेंसी की सूचना प्रणाली के साथ-साथ सेंट पीटर्सबर्ग समाचार पोर्टल फोंटंका के सर्वरों के बारे में था। इसके अलावा, वायरस ने कीव मेट्रो, यूक्रेन के इन्फ्रास्ट्रक्चर मंत्रालय और ओडेसा अंतर्राष्ट्रीय हवाई अड्डे के सिस्टम को प्रभावित किया। इस गर्मी में मुख्य रूप से यूक्रेन में NotPetya ने ऊर्जा, दूरसंचार और वित्तीय कंपनियों को प्रभावित किया। बैडरबिट वायरस से संक्रमित फाइलों को डिक्रिप्ट करने के लिए, हमलावर 0.05 बिटकॉइन की मांग करते हैं, जो वर्तमान विनिमय दर पर लगभग $ 283 या 15,700 रूबल के बराबर है।

Kaspersky Lab ने स्पष्ट किया कि इस बार अधिकांश पीड़ितों को रूस में हैकर्स द्वारा चुना गया था। हालांकि, इसी तरह के हमले कंपनी में यूक्रेन, तुर्की और जर्मनी में दर्ज किए गए थे, लेकिन "बहुत कम संख्या में।" “सभी संकेत इस ओर इशारा करते हैं कि यह कॉर्पोरेट नेटवर्क पर लक्षित हमला है। ExPetr हमले में हमने जिन तरीकों का इस्तेमाल किया, उनके समान तरीके का उपयोग किया जाता है, हालाँकि, हम ExPetr के साथ कनेक्शन की पुष्टि नहीं कर सकते हैं, ”कंपनी के एक प्रतिनिधि ने कहा। फोर्ब्स के वार्ताकार ने कहा कि सभी कैसपर्सकी लैब उत्पाद "इन दुर्भावनापूर्ण फ़ाइलों को यूडीएस: डेंजरसऑब्जेक्ट.मल्टी.जेनेरिक के रूप में पहचानते हैं।"

अपनी रक्षा कैसे करें?

इस हमले से बचाने के लिए, Kaspersky Lab ने KSN सक्षम और सिस्टम मॉनिटर मॉड्यूल के साथ एक एंटीवायरस का उपयोग करने की सिफारिश की। "यदि Kaspersky Lab का सुरक्षा समाधान स्थापित नहीं है, तो हम अनुशंसा करते हैं कि सिस्टम व्यवस्थापन टूल का उपयोग करके c:\windows\infpub.dat और C:\Windows\cscc.dat नामों वाली फ़ाइलों के निष्पादन को अक्षम करें," एंटी- प्रयोगशाला कास्परस्की में वायरस अनुसंधान विभाग" व्याचेस्लाव ज़कोरज़ेव्स्की।

ग्रुप-आईबी नोट करता है कि वायरस के लिए फाइलों को एन्क्रिप्ट करने में सक्षम नहीं होने के लिए, "आपको C:\windows\infpub.dat फ़ाइल बनाने और इसे केवल-पढ़ने के लिए सेट करने की आवश्यकता है"। उसके बाद, संक्रमित होने पर भी, फाइलों को एन्क्रिप्ट नहीं किया जाएगा, कंपनी ने कहा। साथ ही, नेटवर्क से जुड़े अन्य कंप्यूटरों के बड़े पैमाने पर संक्रमण से बचने के लिए आपको ऐसे कंप्यूटरों को तुरंत अलग करने की आवश्यकता है जिन्हें ऐसी दुर्भावनापूर्ण फ़ाइलें भेजते हुए देखा गया है। उसके बाद, उपयोगकर्ताओं को यह सुनिश्चित करने की आवश्यकता है कि कुंजी नेटवर्क नोड्स का बैकअप अद्यतित और बरकरार है।

जब प्रारंभिक चरण पूरे हो जाते हैं, तो उपयोगकर्ता को ऑपरेटिंग सिस्टम और सुरक्षा प्रणालियों को अपडेट करने की सलाह दी जाती है, साथ ही साथ आईपी पते और डोमेन नामों को अवरुद्ध कर दिया जाता है जिससे दुर्भावनापूर्ण फ़ाइलें वितरित की जाती हैं। ग्रुप-आईबी सभी पासवर्ड को अधिक जटिल पासवर्ड में बदलने और पॉप-अप ब्लॉकर स्थापित करने की अनुशंसा करता है, साथ ही स्पष्ट पाठ में एलएसए डंप में पासवर्ड के भंडारण को प्रतिबंधित करता है।

BadRabbit हमले के पीछे कौन है

2017 में, दो सबसे बड़ी रैंसमवेयर महामारी पहले से ही दर्ज की गई थी - WannaCry (150 देशों में 200,000 कंप्यूटरों पर हमला) और ExPetr। उत्तरार्द्ध पेट्या है और साथ ही नोटपेट्या, कास्परस्की लैब नोट्स। अब, कंपनी के अनुसार, "तीसरा शुरू होता है।" कंपनी ने कहा कि नए बैड रैबिट रैंसमवेयर का नाम "डार्क वेब पर एक पेज पर लिखा गया है, जिसे इसके निर्माता विवरण मांगने के लिए भेजते हैं।" ग्रुप-आईबी का मानना ​​है कि बैड रैबिट एन्क्रिप्शन एल्गोरिथम में बग फिक्स के साथ नोटपेट्या का एक संशोधित संस्करण है। विशेष रूप से, बैड रैबिट कोड में ऐसे ब्लॉक शामिल हैं जो पूरी तरह से NotPetya को दोहराते हैं।

ESET रूस सहमत है कि हमले में इस्तेमाल किया गया Win32/Diskcoder.D मैलवेयर Win32/Diskcoder.C का एक संशोधित संस्करण है, जिसे पेट्या/नॉटपेट्या के नाम से जाना जाता है। जैसा कि ईएसईटी रूस में बिक्री समर्थन के प्रमुख विटाली ज़ेम्सकिख ने फोर्ब्स को बताया, देश द्वारा हमले के आंकड़े "बड़े पैमाने पर दुर्भावनापूर्ण जावास्क्रिप्ट वाली साइटों के भौगोलिक वितरण से मेल खाते हैं।" इस प्रकार, अधिकांश संक्रमण रूस (65%), इसके बाद यूक्रेन (12.2%), बुल्गारिया (10.2%), तुर्की (6.4%) और जापान (3.8%) में हुए।

हैक की गई साइटों पर जाने के बाद बैड रैबिट वायरस का संक्रमण हुआ। हैकर्स ने HTML कोड में छेड़छाड़ किए गए संसाधनों के लिए एक जावास्क्रिप्ट इंजेक्शन डाउनलोड किया, जिसने आगंतुकों को एडोब फ्लैश प्लेयर में अपडेट स्थापित करने के लिए एक नकली विंडो की पेशकश की। यदि उपयोगकर्ता अद्यतन के लिए सहमत होता है, तो कंप्यूटर पर "install_flash_player.exe" नामक एक दुर्भावनापूर्ण फ़ाइल स्थापित की गई थी। "किसी संगठन में वर्कस्टेशन को संक्रमित करके, एन्क्रिप्टर एसएमबी प्रोटोकॉल के माध्यम से कॉर्पोरेट नेटवर्क में फैल सकता है। अपने पेट्या / नॉटपेट्या पूर्ववर्ती के विपरीत, बैड रैबिट इथरनलब्लू शोषण का उपयोग नहीं करता है - इसके बजाय, यह उजागर नेटवर्क संसाधनों के लिए नेटवर्क को स्कैन करता है, "ज़ेम्सकिख कहते हैं। इसके बाद, क्रेडेंशियल एकत्र करने के लिए संक्रमित मशीन पर Mimikatz टूल लॉन्च किया जाता है। इसके अलावा, लॉगिन और पासवर्ड की एक हार्ड-कोडेड सूची प्रदान की जाती है।

हैकर के हमलों को किसने अंजाम दिया, इस बारे में अभी कोई जानकारी नहीं है। साथ ही, ग्रुप-आईबी के अनुसार, WannaCry और NotPetya द्वारा समान सामूहिक हमलों को सरकार द्वारा वित्त पोषित हैकर समूहों से जोड़ा जा सकता है। विशेषज्ञ इस निष्कर्ष को इस आधार पर निकालते हैं कि इस तरह के हमलों से वित्तीय लाभ, उनके कार्यान्वयन की जटिलता की तुलना में, "नगण्य" है। "सबसे अधिक संभावना है, ये पैसा बनाने के प्रयास नहीं थे, बल्कि उद्यमों, सरकारी विभागों और निजी कंपनियों के महत्वपूर्ण बुनियादी ढांचे के नेटवर्क के संरक्षण के स्तर की जांच करने के लिए थे," विशेषज्ञों का निष्कर्ष है। ग्रुप-आईबी के प्रवक्ता ने फोर्ब्स को पुष्टि की कि नवीनतम वायरस - बैड रैबिट - सरकार और व्यावसायिक बुनियादी ढांचे की सुरक्षा का परीक्षण हो सकता है। "जी हां संभव है। यह देखते हुए कि हमलों को बिंदुवार किया गया था - महत्वपूर्ण बुनियादी ढांचे की वस्तुओं पर - हवाई अड्डे, मेट्रो, सरकारी एजेंसियों पर, ”फोर्ब्स के वार्ताकार बताते हैं।

नवीनतम हमले के अपराधियों के बारे में एक प्रश्न का उत्तर देते हुए, ईएसईटी रूस इस बात पर जोर देता है कि केवल एक एंटी-वायरस कंपनी के उपकरणों का उपयोग करके, उच्च गुणवत्ता वाली जांच करना और इसमें शामिल लोगों की पहचान करना असंभव है, यह एक अलग के विशेषज्ञों का कार्य है। प्रोफ़ाइल। “एक एंटीवायरस कंपनी के रूप में, हम हमलों के तरीकों और लक्ष्यों, हमलावरों के दुर्भावनापूर्ण उपकरण, कमजोरियों और कारनामों की पहचान करते हैं। अपराधियों, उनके उद्देश्यों, राष्ट्रीयता, और इसी तरह की खोज हमारी जिम्मेदारी नहीं है, ”कंपनी के एक प्रतिनिधि ने जांच के परिणामों के आधार पर बैड रैबिट की नियुक्ति के बारे में निष्कर्ष निकालने का वादा किया। "दुर्भाग्य से, निकट भविष्य में हम ऐसी कई घटनाएं देखेंगे - इस हमले के वेक्टर और परिदृश्य ने उच्च दक्षता दिखाई है," ईएसईटी रूस का पूर्वानुमान है। फोर्ब्स के वार्ताकार याद करते हैं कि 2017 में कंपनी ने कॉर्पोरेट क्षेत्र पर लक्षित हमलों की संख्या में वृद्धि की भविष्यवाणी की, मुख्य रूप से वित्तीय संगठनों पर (प्रारंभिक अनुमानों के अनुसार 50% से अधिक)। "ये भविष्यवाणियां अब सच हो रही हैं, हम प्रभावित कंपनियों को नुकसान में वृद्धि के साथ संयुक्त हमलों की संख्या में वृद्धि देख रहे हैं," वे मानते हैं।