पाइलॉकी रैंसमवेयर क्या है? और यह अपने हमले को कैसे अंजाम देता है?
पाइलॉकी रैंसमवेयर एक फाइल-लॉकिंग मालवेयर है जो महत्वपूर्ण फाइलों को लॉक करने और डेटा रिकवरी के बदले पीड़ितों से फिरौती मांगने के लिए बनाया गया है। यह नया रैंसमवेयर .lockymap एक्सटेंशन का उपयोग उन फाइलों को चिह्नित करने में करता है जो इसे एन्क्रिप्ट करती हैं। यह सिस्टम में निम्नलिखित दुर्भावनापूर्ण पेलोड को गिराकर अपने हमले को अंजाम देना शुरू करता है:
नाम: facture_4739149_08.26.2018.exe
SHA256:8655f8599b0892d55efc13fea404b520858d01812251b1d25dcf0afb4684dce9
आकार: 5.3 एमबी
अपने दुर्भावनापूर्ण पेलोड को छोड़ने के बाद, यह क्रिप्टो-मैलवेयर संक्रमित कंप्यूटर को एक दूरस्थ सर्वर से जोड़ता है जहां यह अधिक दुर्भावनापूर्ण फ़ाइलों को डाउनलोड करता है और उन्हें सिस्टम फ़ोल्डर्स पर रखता है। यह तब उपयोगकर्ता और कंप्यूटर के बारे में डेटा एकत्र करने के लिए उपयोग किए जाने वाले डेटा एकत्र करने वाले मॉड्यूल को लागू करता है। प्राप्त डेटा के साथ पहले डाउनलोड की गई दुर्भावनापूर्ण फ़ाइलें स्टील्थ सुरक्षा नामक एक अन्य मॉड्यूल के लिए उपयोग की जाती हैं। यह पाइलॉकी रैंसमवेयर को सिस्टम में स्थापित किसी भी सुरक्षा या एंटीवायरस प्रोग्राम से पता लगाए बिना अपने हमले को अंजाम देने की अनुमति देता है। यह विंडोज रजिस्ट्री में कुछ रजिस्ट्री कुंजियों और प्रविष्टियों को भी संशोधित करता है जैसे:
- HKEY_CURRENT_USERControl PanelDesktop
- HKEY_USERS.DEFAULTकंट्रोल पैनलडेस्कटॉप
- HKEY_LOCAL_MACHINEसॉफ़्टवेयरMicrosoftWindowsCurrentVersionRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINEसॉफ़्टवेयरMicrosoftWindowsCurrentVersionRunOnce
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
एक बार सभी संशोधन किए जाने के बाद, पाइलॉकी रैंसमवेयर एक परिष्कृत एन्क्रिप्शन सिफर का उपयोग करके अपनी लक्षित फ़ाइलों को एन्क्रिप्ट करना शुरू कर देगा। एन्क्रिप्शन के बाद, यह एन्क्रिप्टेड फ़ाइलों में से प्रत्येक में .lockymap एक्सटेंशन जोड़ता है और "LOCKY-README.txt" नामक एक फिरौती नोट जारी करता है जिसमें निम्नलिखित सामग्री होती है:
"कृपया संज्ञान लें:
आपकी सभी फ़ाइलें, चित्र दस्तावेज़ और डेटा मिलिट्री ग्रेड एन्क्रिप्शन RSA ABS-256 के साथ एन्क्रिप्ट किया गया है।
आपकी जानकारी खो नहीं गई है। लेकिन एन्क्रिप्टेड।
अपनी फ़ाइलों को पुनर्स्थापित करने के लिए, आपको एक डिक्रिप्टर खरीदना होगा।
अपनी फ़ाइलों को पुनर्स्थापित करने के लिए इन चरणों का पालन करें।
1* टोर ब्राउजर डाउनलोड करें। (बस गूगल में टाइप करें “डाउनलोड टोर”
2' URL पर ब्राउज़ करें: http://4wcgqlckaazungm.onion/index.php
3* अपनी फ़ाइलों को पुनर्स्थापित करने के लिए डिक्रिप्टर खरीदें।
यह बहुत ही सरल है। यदि आपको विश्वास नहीं है कि हम आपकी फ़ाइलों को पुनर्स्थापित कर सकते हैं, तो आप छवि प्रारूप की 1 फ़ाइल को निःशुल्क पुनर्स्थापित कर सकते हैं।
ध्यान रहे समय चल रहा है। कीमत हर 96 घंटे में दोगुनी हो जाएगी इसलिए इसे समझदारी से इस्तेमाल करें।
आपकी विशिष्ट आईडी:
चेतावनी:
कृपया किसी एन्क्रिप्टेड फ़ाइल को संशोधित करने या हटाने का प्रयास न करें क्योंकि इसे पुनर्स्थापित करना कठिन होगा।
समर्थन:
आप अपने लिए अपनी फ़ाइलों को डिक्रिप्ट करने में सहायता के लिए समर्थन से संपर्क कर सकते हैं।
http://4wcgqlckaazungm.onion/index.php पर सपोर्ट पर क्लिक करें"
पाइलॉकी रैंसमवेयर वेब पर कैसे फैलता है?
PyLocky रैंसमवेयर दुर्भावनापूर्ण स्पैम ईमेल अभियानों का उपयोग करके फैलता है। इस खतरे के निर्माता स्पैम ईमेल में एक संक्रमित अटैचमेंट एम्बेड करते हैं और उन्हें स्पैमबॉट का उपयोग करके भेजते हैं। मैलवेयर से भरे हुए मैलवेयर को तुरंत खोलने के लिए आपको बरगलाने के लिए बदमाश भ्रामक रणनीति का उपयोग भी कर सकते हैं, जो कि आपको नहीं करना चाहिए। इस प्रकार, कोई भी ईमेल खोलने से पहले, सुनिश्चित करें कि आपने उन्हें अच्छी तरह से जांच लिया है।
अपने कंप्यूटर से पाइलॉकी रैंसमवेयर को सफलतापूर्वक मिटाने के लिए, नीचे दी गई निष्कासन मार्गदर्शिका देखें।
- चरण १: अपने कीबोर्ड पर केवल Ctrl + Shift + Esc कुंजियों को टैप करके टास्क मैनेजर लॉन्च करें।
- चरण १: टास्क मैनेजर के तहत, प्रोसेस टैब पर जाएं और नाम की प्रक्रिया देखें fact_4739149_08.26.2018.exe और कोई भी संदिग्ध दिखने वाली प्रक्रिया जो आपके CPU के अधिकांश संसाधनों को ले लेती है और संभवतः PyLocky रैंसमवेयर से संबंधित है।
- चरण १: उसके बाद, टास्क मैनेजर को बंद कर दें।
- चरण १: विन + आर टैप करें, टाइप करें appwiz.cpl और ओके पर क्लिक करें या कंट्रोल पैनल की इंस्टॉल किए गए प्रोग्राम्स की सूची खोलने के लिए एंटर पर टैप करें।
- चरण १: इंस्टॉल किए गए प्रोग्रामों की सूची के अंतर्गत, पाइलॉकी रैनसमवेयर या उसके जैसा कुछ भी देखें और फिर इसे अनइंस्टॉल करें।
- चरण १: इसके बाद, कंट्रोल पैनल को बंद करें और फाइल एक्सप्लोरर लॉन्च करने के लिए विन + ई कुंजी पर टैप करें।
- चरण १: नीचे दिए गए स्थानों पर नेविगेट करें और पाइलॉकी रैंसमवेयर के दुर्भावनापूर्ण घटकों को देखें जैसे: fact_4739149_08.26.2018.exe और LOCKY-README.txt साथ ही अन्य संदिग्ध फ़ाइलें, फिर उन सभी को हटा दें।
% TEMP%
%WINDIR%System32कार्य
%एप्लिकेशनडेटा%माइक्रोसॉफ्टविंडोजटेम्प्लेट्स
%USERPROFILE%डाउनलोड
%USERPROFILE%डेस्कटॉप
- चरण १: फ़ाइल एक्सप्लोरर बंद करें।
- चरण १: रन खोलने के लिए विन + आर टैप करें और फिर टाइप करें : Regedit पर क्षेत्र में और विंडोज रजिस्ट्री को खींचने के लिए एंटर पर टैप करें।
- चरण १: निम्न पथ पर नेविगेट करें:
HKEY_CURRENT_USERControl PanelDesktop
HKEY_USERS.DEFAULTकंट्रोल पैनलडेस्कटॉप
HKEY_LOCAL_MACHINEसॉफ़्टवेयरMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINEसॉफ़्टवेयरMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
- चरण १: PyLocky रैंसमवेयर द्वारा बनाई गई रजिस्ट्री कुंजियों और उप-कुंजियों को हटा दें।
- चरण १: रजिस्ट्री संपादक को बंद करें और रीसायकल बिन को खाली करें।
शैडो वॉल्यूम प्रतियों का उपयोग करके अपनी एन्क्रिप्टेड फ़ाइलों को पुनर्प्राप्त करने का प्रयास करें
विंडोज़ का उपयोग करके अपनी एन्क्रिप्टेड फ़ाइलों को पुनर्स्थापित करना पिछले संस्करणों यह सुविधा केवल तभी प्रभावी होगी जब पाइलॉकी रैंसमवेयर ने आपकी फाइलों की छाया प्रतियों को हटाया नहीं है। लेकिन फिर भी, यह सबसे अच्छी और मुफ्त विधियों में से एक है, इसलिए यह निश्चित रूप से एक शॉट के लायक है।
एन्क्रिप्टेड फ़ाइल को पुनर्स्थापित करने के लिए, दाएँ क्लिक करें उस पर और चयन करें गुण, एक नई विंडो पॉप अप होगी, फिर आगे बढ़ें पिछले संस्करणों. यह फ़ाइल के पिछले संस्करण को संशोधित करने से पहले लोड करेगा। इसके लोड होने के बाद, सूची में प्रदर्शित पिछले संस्करणों में से किसी एक का चयन करें जैसा कि नीचे दिए गए चित्रण में है। और फिर क्लिक करें पुनर्स्थापित बटन.