PyLocky ransomware কি? এবং কিভাবে এটি তার আক্রমণ চালায়?
PyLocky ransomware হল একটি ফাইল-লকিং ম্যালওয়্যার যা গুরুত্বপূর্ণ ফাইল লক করার জন্য তৈরি করা হয় এবং ডেটা পুনরুদ্ধারের বিনিময়ে ক্ষতিগ্রস্তদের কাছ থেকে মুক্তিপণ দাবি করা হয়। এই নতুন র্যানসমওয়্যারটি এনক্রিপ্ট করা ফাইলগুলিকে চিহ্নিত করার জন্য .lockymap এক্সটেনশন ব্যবহার করে। এটি সিস্টেমে নিম্নলিখিত দূষিত পেলোড ড্রপ করে তার আক্রমণ চালানো শুরু করে:
নাম: facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
ফাইলের আকার: 5.3 মেগাবাইট
এর দূষিত পেলোড ড্রপ করার পরে, এই ক্রিপ্টো-ম্যালওয়্যারটি সংক্রামিত কম্পিউটারটিকে একটি দূরবর্তী সার্ভারের সাথে সংযুক্ত করে যেখানে এটি আরও দূষিত ফাইল ডাউনলোড করে এবং সেগুলিকে সিস্টেম ফোল্ডারে রাখে। এটি তারপর ব্যবহারকারী এবং কম্পিউটার সম্পর্কে তথ্য সংগ্রহ করতে ব্যবহৃত একটি ডেটা সংগ্রহ মডিউল প্রয়োগ করে। প্রাপ্ত ডেটা সহ আগে ডাউনলোড করা দূষিত ফাইলগুলি স্টিলথ সুরক্ষা নামক আরেকটি মডিউলের জন্য ব্যবহৃত হয়। এটি PyLocky ransomware কে সিস্টেমে ইনস্টল করা কোনো নিরাপত্তা বা অ্যান্টিভাইরাস প্রোগ্রাম থেকে সনাক্ত না করেই আক্রমণ চালাতে দেয়। এটি উইন্ডোজ রেজিস্ট্রিতে কিছু রেজিস্ট্রি কী এবং এন্ট্রি সংশোধন করে যেমন:
- HKEY_CURRENT_USER কন্ট্রোল PanelDesktop
- HKEY_USERS.DEFAULTকন্ট্রোল প্যানেলডেস্কটপ
- HKEY_LOCAL_MACHINES সফ্টওয়্যারমাইক্রোসফ্ট উইন্ডোজ কারেন্ট সংস্করণ রান
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINESসফ্টওয়্যারমাইক্রোসফ্ট উইন্ডোজ কারেন্ট সংস্করণ রান একবার
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
একবার সমস্ত পরিবর্তন করা হয়ে গেলে, পাইলকি র্যানসমওয়্যার একটি পরিশীলিত এনক্রিপশন সাইফার ব্যবহার করে তার লক্ষ্যযুক্ত ফাইলগুলিকে এনক্রিপ্ট করা শুরু করবে। এনক্রিপশন অনুসরণ করে, এটি এনক্রিপ্ট করা ফাইলগুলির প্রতিটিতে .lockymap এক্সটেনশন যোগ করে এবং "LOCKY-README.txt" নামে একটি মুক্তিপণ নোট প্রকাশ করে যাতে নিম্নলিখিত বিষয়বস্তু রয়েছে:
"অনুগ্রহ করে পরামর্শ দিন:
আপনার সমস্ত ফাইল, ছবি নথি এবং ডেটা মিলিটারি গ্রেড এনক্রিপশন RSA ABS-256 দিয়ে এনক্রিপ্ট করা হয়েছে।
আপনার তথ্য হারিয়ে যায় না. কিন্তু এনক্রিপ্টেড।
আপনার ফাইলগুলি পুনরুদ্ধার করার জন্য, আপনাকে একটি ডিক্রিপ্টার কিনতে হবে৷
আপনার ফাইলগুলি পুনরুদ্ধার করতে এই পদক্ষেপগুলি অনুসরণ করুন৷
1* টর ব্রাউজারটি ডাউনলোড করুন। (শুধু গুগলে টাইপ করুন "টর ডাউনলোড করুন"
2' URL-এ ব্রাউজ করুন: http://4wcgqlckaazungm.onion/index.php
3* আপনার ফাইল পুনরুদ্ধার করতে ডিক্রিপ্টর কিনুন।
এটা খুব সহজ. আপনি যদি বিশ্বাস না করেন যে আমরা আপনার ফাইলগুলি পুনরুদ্ধার করতে পারি, তাহলে আপনি বিনামূল্যের জন্য 1টি চিত্র বিন্যাসের ফাইল পুনরুদ্ধার করতে পারেন৷
সচেতন থাকুন সময় টিক টিক করছে। দাম প্রতি 96 ঘন্টা দ্বিগুণ হবে তাই এটি বুদ্ধিমানের সাথে ব্যবহার করুন।
আপনার অনন্য আইডি:
সতর্কতা:
অনুগ্রহ করে কোনো এনক্রিপ্ট করা ফাইল সংশোধন বা মুছে ফেলার চেষ্টা করবেন না কারণ এটি পুনরুদ্ধার করা কঠিন হবে।
সহায়তা:
আপনার জন্য আপনার ফাইলগুলি ডিক্রিপ্ট করতে সহায়তা করতে আপনি সহায়তার সাথে যোগাযোগ করতে পারেন৷
http://4wcgqlckaazungm.onion/index.php এ সমর্থনে ক্লিক করুন”
PyLocky ransomware কিভাবে ওয়েবে ছড়িয়ে পড়ে?
PyLocky ransomware দূষিত স্প্যাম ইমেল প্রচারাভিযান ব্যবহার করে ছড়িয়ে পড়ে। এই হুমকির নির্মাতারা স্প্যাম ইমেলগুলিতে একটি সংক্রামিত সংযুক্তি এম্বেড করে এবং একটি স্প্যামবট ব্যবহার করে সেগুলি পাঠায়। ক্রুকস এমনকি প্রতারণামূলক কৌশল অবলম্বন করতে পারে যাতে আপনি অবিলম্বে ম্যালওয়্যার-বোঝাই খোলার জন্য প্রতারণা করেন যা আপনার উচিত নয়। সুতরাং, কোন ইমেল খোলার আগে, নিশ্চিত করুন যে আপনি সেগুলি পুঙ্খানুপুঙ্খভাবে পরীক্ষা করেছেন।
আপনার কম্পিউটার থেকে PyLocky ransomware সফলভাবে মুছে ফেলার জন্য, নিচে দেওয়া রিমুভাল গাইড দেখুন।
- ধাপ 1: আপনার কীবোর্ডে Ctrl + Shift + Esc কীগুলিকে ট্যাপ করে টাস্ক ম্যানেজার চালু করুন।
- ধাপ 2: টাস্ক ম্যানেজারের অধীনে, প্রসেস ট্যাবে যান এবং নাম দেওয়া প্রক্রিয়াটি সন্ধান করুন facture_4739149_08.26.2018.exe এবং যেকোন সন্দেহজনক-সুদর্শন প্রক্রিয়া যা আপনার CPU-এর বেশিরভাগ সংস্থান গ্রহণ করে এবং সম্ভবত PyLocky ransomware এর সাথে সম্পর্কিত।
- ধাপ 3: এর পরে, টাস্ক ম্যানেজার বন্ধ করুন।
- ধাপ 4: Win + R ট্যাপ করুন, টাইপ করুন appwiz.cpl এবং ওকে ক্লিক করুন বা কন্ট্রোল প্যানেলের ইনস্টল করা প্রোগ্রামগুলির তালিকা খুলতে এন্টার আলতো চাপুন।
- ধাপ 5: ইনস্টল করা প্রোগ্রামগুলির তালিকার অধীনে, PyLocky ransomware বা অনুরূপ কিছু সন্ধান করুন এবং তারপরে এটি আনইনস্টল করুন।
- ধাপ 6: এর পরে, কন্ট্রোল প্যানেল বন্ধ করুন এবং ফাইল এক্সপ্লোরার চালু করতে Win + E কী ট্যাপ করুন।
- ধাপ 7: নীচের নিম্নলিখিত অবস্থানগুলিতে নেভিগেট করুন এবং PyLocky ransomware-এর ক্ষতিকারক উপাদানগুলি সন্ধান করুন যেমন facture_4739149_08.26.2018.exe এবং LOCKY-README.txt সেইসাথে অন্যান্য সন্দেহজনক ফাইল, তারপর তাদের সব মুছে দিন।
% টেম্প%
%WINDIR%সিস্টেম32টাস্ক
%APPDATA%MicrosoftWindowsTemplates
%USERPROFILE%ডাউনলোড
%USERPROFILE%ডেস্কটপ
- ধাপ 8: ফাইল এক্সপ্লোরার বন্ধ করুন।
- ধাপ 9: রান খুলতে Win + R এ আলতো চাপুন এবং তারপরে টাইপ করুন regedit ক্ষেত্রটিতে এবং উইন্ডোজ রেজিস্ট্রি টানতে এন্টার আলতো চাপুন।
- ধাপ 10: নিম্নলিখিত পাথ নেভিগেট করুন:
HKEY_CURRENT_USER কন্ট্রোল PanelDesktop
HKEY_USERS.DEFAULTকন্ট্রোল প্যানেলডেস্কটপ
HKEY_LOCAL_MACHINES সফ্টওয়্যারমাইক্রোসফ্ট উইন্ডোজ কারেন্ট সংস্করণ রান
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESসফ্টওয়্যারমাইক্রোসফ্ট উইন্ডোজ কারেন্ট সংস্করণ রান একবার
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
- ধাপ 11: PyLocky ransomware দ্বারা তৈরি রেজিস্ট্রি কী এবং সাব-কি মুছুন।
- ধাপ 12: রেজিস্ট্রি এডিটর বন্ধ করুন এবং রিসাইকেল বিন খালি করুন।
শ্যাডো ভলিউম কপি ব্যবহার করে আপনার এনক্রিপ্ট করা ফাইল পুনরুদ্ধার করার চেষ্টা করুন
উইন্ডোজ ব্যবহার করে আপনার এনক্রিপ্ট করা ফাইল পুনরুদ্ধার করা হচ্ছে পূর্বের সংস্করণসমূহ PyLocky ransomware আপনার ফাইলের ছায়া কপি মুছে না দিলেই বৈশিষ্ট্যটি কার্যকর হবে। তবে এখনও, এটি একটি সেরা এবং বিনামূল্যের পদ্ধতি, তাই এটি অবশ্যই একটি শটের মূল্যবান।
এনক্রিপ্ট করা ফাইল পুনরুদ্ধার করতে, সঠিক পছন্দ এটিতে এবং নির্বাচন করুন প্রোপার্টি, একটি নতুন উইন্ডো পপ আপ হবে, তারপরে এগিয়ে যান পূর্বের সংস্করণসমূহ. এটি সংশোধন করার আগে ফাইলের পূর্ববর্তী সংস্করণটি লোড করবে। এটি লোড হওয়ার পরে, নীচের চিত্রের মতো তালিকায় প্রদর্শিত পূর্ববর্তী সংস্করণগুলির মধ্যে যেকোনো একটি নির্বাচন করুন৷ এবং তারপর ক্লিক করুন প্রত্যর্পণ করা বোতাম.