लॉक क्रिप्ट रैनसमवेयर। संक्रमित पीसी को ठीक करें
अपेक्षाकृत कमजोर दुर्भावनापूर्ण रैंसमवेयर, लॉकक्रिप्ट, 2017 के जून से निम्न स्तर के साइबर क्राइम हमलों को अंजाम देने के लिए रडार के तहत काम कर रहा है। यह इस साल फरवरी और मार्च में सबसे प्रमुख रूप से सक्रिय था, लेकिन इस तथ्य के कारण कि रैंसमवेयर को स्थापित किया जाना चाहिए। इसे प्रभावी बनाने के लिए उपकरणों पर मैन्युअल रूप से, यह बहुत बड़ा खतरा नहीं था क्योंकि कुछ सबसे कुख्यात क्रिप्टो-क्रिमिनल रैंसमोवर थे, ग्रैंडक्रैब उनमें से एक था। विश्लेषण करने पर (ए नमूना रोमानियाई निगम BitDefender और MalwareBytes Research Lab जैसी एंटीवायरस फर्मों द्वारा VirusTotal से प्राप्त), सुरक्षा विशेषज्ञों ने रैंसमवेयर की प्रोग्रामिंग में कई खामियों की खोज की, जो चोरी की फाइलों को डिक्रिप्ट करने के लिए उलट हो सकती हैं। एकत्रित जानकारी का उपयोग करते हुए, BitDefender ने एक जारी किया है डिक्रिप्शन उपकरण यह नवीनतम के अलावा LockCrypt ransomware के सभी संस्करणों पर फ़ाइलों को पुनर्प्राप्त करने में सक्षम है।
एक पूरी तरह से MalwareBytes लैब अनुसंधान के अनुसार रिपोर्ट good जो अंदर और बाहर के मैलवेयर का विश्लेषण करता है, लॉक क्रिप्ट में खोजा गया पहला दोष यह तथ्य है कि इसे प्रभावी होने के लिए मैन्युअल इंस्टालेशन और एडमिनिस्ट्रेटिव विशेषाधिकारों की आवश्यकता होती है। यदि ये स्थितियाँ पूरी होती हैं, तो निष्पादन योग्य रन, W: wcmcm.exe फ़ाइल को C: Windows में रखते हुए और साथ ही संबंधित रजिस्ट्री कुंजी जोड़ते हैं। एक बार रैंसमवेयर सिस्टम में घुसना शुरू कर देता है, यह उन सभी फाइलों को एन्क्रिप्ट कर देता है, जिनमें .exe फाइलें शामिल हो सकती हैं, सिस्टम प्रक्रियाओं को रोकना साथ ही यह सुनिश्चित करना कि इसकी अपनी प्रक्रिया निर्बाध जारी है। फ़ाइल नाम यादृच्छिक base64 अल्फ़ान्यूमेरिक स्ट्रिंग्स में बदले जाते हैं और उनके एक्सटेंशन .1btc पर सेट होते हैं। प्रक्रिया के अंत में एक पाठ फ़ाइल फिरौती नोट लॉन्च किया गया है और अतिरिक्त जानकारी HKEY_LOCAL_MACHINE रजिस्ट्री में संग्रहीत है जिसमें हमलावर उपयोगकर्ता की असाइन की गई 'आईडी' और साथ ही फ़ाइल पुनर्प्राप्ति के निर्देशों के अनुस्मारक हैं।
लॉक क्रिप्ट रैनसमवेयर नोट पॉप-अप। मालवेयरबाइट्स लैब
हालांकि यह रैंसमवेयर इंटरनेट कनेक्शन के बिना चलने में सक्षम है, जिस मामले में यह जुड़ा हुआ है, शोधकर्ताओं ने ईरान में एक CnC के साथ संवाद करने के लिए इसे बेस 64 अल्फ़ान्यूमेरिक डेटा भेजकर पाया है कि हमला करने वाले डिवाइस के आवंटित आईडी, ऑपरेटिंग सिस्टम और रैंसमवेयर ड्राइव पर स्थान को बाधित करता है। शोधकर्ताओं ने पाया है कि मालवेयर कोड बेतरतीब अल्फ़ान्यूमेरिक नामों और संचारों को सेट करने के लिए गेटटीकाउंट फ़ंक्शन का उपयोग करता है, जो विशेष रूप से डिक्रिप्ट करने के लिए मजबूत कोड नहीं हैं। यह दो भागों में किया जाता है: पहला XOR ऑपरेशन का उपयोग करता है जबकि दूसरा XOR के साथ-साथ ROL और बिटवाइज स्वैप का उपयोग करता है। ये कमज़ोर विधियाँ मैलवेयर के कोड को आसानी से समझने योग्य बना देती हैं जो कि BitDefender को बंद .1btc फ़ाइलों के लिए डिक्रिप्शन टूल बनाने में हेरफेर करने में सक्षम था।
BitDefender ने सार्वजनिक रूप से उपलब्ध BitDefender टूल को डिक्रिप्ट करने के लिए LockCrypt ransomware के कई संस्करणों पर शोध किया है। मैलवेयर के अन्य संस्करण भी .lock .2018, और .mich एक्सटेंशन में फ़ाइलों को एन्क्रिप्ट करते हैं, जो सुरक्षा शोधकर्ता के संपर्क में आने योग्य भी हैं। माइकल गिलेस्पी । रैंसमवेयर का सबसे हालिया संस्करण .BI_D एक्सटेंशन में फ़ाइलों को एन्क्रिप्ट करने के लिए प्रकट होता है, जिसके लिए एक डिक्रिप्शन तंत्र अभी तक तैयार नहीं हुआ है, लेकिन सभी पिछले संस्करण अब आसानी से डिक्रिप्टेबल हैं।
