ডিজিটাল করোনাভাইরাস - Ransomware এবং Infostealer এর সংমিশ্রণ

করোনাভাইরাস থিম ব্যবহার করে বিভিন্ন হুমকি অনলাইনে প্রদর্শিত হতে থাকে। এবং আজ আমরা একটি আকর্ষণীয় উদাহরণ সম্পর্কে তথ্য ভাগ করতে চাই যা স্পষ্টভাবে আক্রমণকারীদের তাদের লাভ সর্বাধিক করার ইচ্ছা প্রদর্শন করে। "2-ইন-1" ক্যাটাগরির হুমকি নিজেকে করোনাভাইরাস বলে। এবং ম্যালওয়্যার সম্পর্কে বিস্তারিত তথ্য কাটা অধীনে আছে.

করোনাভাইরাস থিমের শোষণ এক মাসেরও বেশি আগে শুরু হয়েছিল। আক্রমণকারীরা মহামারীটির বিস্তার এবং গৃহীত ব্যবস্থা সম্পর্কে তথ্যে জনসাধারণের আগ্রহের সুযোগ নিয়েছিল। ইন্টারনেটে বিপুল সংখ্যক বিভিন্ন তথ্যদাতা, বিশেষ অ্যাপ্লিকেশন এবং জাল সাইট উপস্থিত হয়েছে যা ব্যবহারকারীদের সাথে আপস করে, ডেটা চুরি করে এবং কখনও কখনও ডিভাইসের বিষয়বস্তু এনক্রিপ্ট করে এবং মুক্তিপণ দাবি করে। করোনাভাইরাস ট্র্যাকার মোবাইল অ্যাপটি ঠিক এটিই করে, ডিভাইসে অ্যাক্সেস ব্লক করে এবং মুক্তিপণ দাবি করে।

ম্যালওয়্যারের বিস্তারের জন্য একটি পৃথক সমস্যা ছিল আর্থিক সহায়তা ব্যবস্থা নিয়ে বিভ্রান্তি। অনেক দেশে, সরকার মহামারী চলাকালীন সাধারণ নাগরিক এবং ব্যবসায়ী প্রতিনিধিদের সহায়তা এবং সমর্থনের প্রতিশ্রুতি দিয়েছে। এবং প্রায় কোথাও এই সাহায্য সহজ এবং স্বচ্ছ গ্রহণ করা হয় না. তাছাড়া অনেকেই আশা করছেন যে তাদের আর্থিকভাবে সাহায্য করা হবে, কিন্তু যারা সরকারী ভর্তুকি পাবেন তাদের তালিকায় অন্তর্ভুক্ত আছে কি না তা জানেন না। এবং যারা ইতিমধ্যে রাষ্ট্রের কাছ থেকে কিছু পেয়েছে তারা অতিরিক্ত সাহায্য প্রত্যাখ্যান করার সম্ভাবনা কম।

আক্রমণকারীরা ঠিক এই সুবিধাই নেয়। তারা ব্যাঙ্ক, আর্থিক নিয়ন্ত্রক এবং সামাজিক নিরাপত্তা কর্তৃপক্ষের পক্ষে চিঠি পাঠায়, সাহায্যের প্রস্তাব দেয়। আপনাকে শুধু লিঙ্কটি অনুসরণ করতে হবে...

এটি অনুমান করা কঠিন নয় যে একটি সন্দেহজনক ঠিকানায় ক্লিক করার পরে, একজন ব্যক্তি একটি ফিশিং সাইটে শেষ হয় যেখানে তাকে তার আর্থিক তথ্য প্রবেশ করতে বলা হয়। প্রায়শই, একটি ওয়েবসাইট খোলার সাথে সাথে, আক্রমণকারীরা ব্যক্তিগত ডেটা এবং বিশেষত, আর্থিক তথ্য চুরি করার লক্ষ্যে একটি ট্রোজান প্রোগ্রাম দিয়ে একটি কম্পিউটারকে সংক্রামিত করার চেষ্টা করে। কখনও কখনও একটি ইমেল সংযুক্তিতে একটি পাসওয়ার্ড-সুরক্ষিত ফাইল থাকে যাতে স্পাইওয়্যার বা র্যানসমওয়্যার আকারে "আপনি কীভাবে সরকারী সহায়তা পেতে পারেন সে সম্পর্কে গুরুত্বপূর্ণ তথ্য" ধারণ করে।

এছাড়াও, সম্প্রতি ইনফোস্টিলার ক্যাটাগরির প্রোগ্রামগুলিও সামাজিক নেটওয়ার্কগুলিতে ছড়িয়ে পড়তে শুরু করেছে। উদাহরণস্বরূপ, আপনি যদি কিছু বৈধ উইন্ডোজ ইউটিলিটি ডাউনলোড করতে চান, তাহলে বলুন wisecleaner[.]best, Infostealer এর সাথে একত্রিত হতে পারে। লিঙ্কটিতে ক্লিক করার মাধ্যমে, ব্যবহারকারী একটি ডাউনলোডার পায় যেটি ইউটিলিটি সহ ম্যালওয়্যার ডাউনলোড করে এবং ডাউনলোডের উৎসটি শিকারের কম্পিউটারের কনফিগারেশনের উপর নির্ভর করে নির্বাচন করা হয়।

করোনাভাইরাস 2022

কেন আমরা এই পুরো ভ্রমণের মধ্য দিয়ে গেলাম? আসল বিষয়টি হ'ল নতুন ম্যালওয়্যার, যার নির্মাতারা নামটি নিয়ে খুব বেশি সময় ভাবেননি, কেবলমাত্র সমস্ত সেরাটি শুষে নিয়েছে এবং একবারে দুটি ধরণের আক্রমণের শিকারকে আনন্দিত করেছে। একদিকে, এনক্রিপশন প্রোগ্রাম (করোনাভাইরাস) লোড করা হয়েছে, এবং অন্যদিকে, কেপিওটি ইনফোস্টিলার।

করোনাভাইরাস র‍্যানসমওয়্যার

Ransomware নিজেই 44KB পরিমাপের একটি ছোট ফাইল। হুমকি সহজ কিন্তু কার্যকর. এক্সিকিউটেবল ফাইলটি একটি র্যান্ডম নামের অধীনে নিজেকে কপি করে %AppData%LocalTempvprdh.exe, এবং রেজিস্ট্রিতে কী সেট করে WindowsCurrentVersionRun. একবার কপি স্থাপন করা হলে, আসলটি মুছে ফেলা হয়।

বেশিরভাগ র্যানসমওয়্যারের মতো, করোনাভাইরাস স্থানীয় ব্যাকআপগুলি মুছে ফেলার চেষ্টা করে এবং নিম্নলিখিত সিস্টেম কমান্ডগুলি চালিয়ে ফাইল শ্যাডো করা অক্ষম করে:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet

এর পরে, সফ্টওয়্যারটি ফাইলগুলি এনক্রিপ্ট করতে শুরু করে। প্রতিটি এনক্রিপ্ট করা ফাইলের নাম থাকবে [email protected]__ শুরুতে, এবং বাকি সবকিছু একই থাকে।
এছাড়াও, র‍্যানসমওয়্যার সি ড্রাইভের নাম পরিবর্তন করে করোনাভাইরাস করে।

এই ভাইরাস সংক্রমিত করতে পরিচালিত প্রতিটি ডিরেক্টরিতে, একটি CoronaVirus.txt ফাইল উপস্থিত হয়, যাতে অর্থপ্রদানের নির্দেশাবলী রয়েছে। মুক্তিপণ মাত্র 0,008 বিটকয়েন বা প্রায় $60। আমি অবশ্যই বলব, এটি একটি খুব বিনয়ী ব্যক্তিত্ব। এবং এখানে বিন্দু হল যে লেখক নিজেকে খুব ধনী হওয়ার লক্ষ্য স্থির করেননি... অথবা, বিপরীতে, তিনি সিদ্ধান্ত নিয়েছেন যে এটি একটি দুর্দান্ত পরিমাণ যা প্রতিটি ব্যবহারকারী স্ব-বিচ্ছিন্ন অবস্থায় বাড়িতে বসে দিতে পারে। সম্মত হন, আপনি যদি বাইরে যেতে না পারেন, তাহলে আপনার কম্পিউটার আবার কাজ করার জন্য $60 এর বেশি নয়।

এছাড়াও, নতুন Ransomware অস্থায়ী ফাইল ফোল্ডারে একটি ছোট DOS এক্সিকিউটেবল ফাইল লিখে এবং এটিকে BootExecute কী-এর অধীনে রেজিস্ট্রিতে নিবন্ধিত করে যাতে পরবর্তী সময়ে কম্পিউটার রিবুট করার সময় অর্থপ্রদানের নির্দেশাবলী দেখানো হয়। সিস্টেম সেটিংসের উপর নির্ভর করে, এই বার্তাটি প্রদর্শিত নাও হতে পারে। যাইহোক, সমস্ত ফাইলের এনক্রিপশন সম্পূর্ণ হওয়ার পরে, কম্পিউটার স্বয়ংক্রিয়ভাবে পুনরায় চালু হবে।

KPOT infostealer

এই Ransomware এছাড়াও KPOT স্পাইওয়্যার সঙ্গে আসে. এই ইনফোস্টিলার বিভিন্ন ব্রাউজার থেকে কুকি এবং সেভ করা পাসওয়ার্ড চুরি করতে পারে, সেইসাথে পিসিতে ইনস্টল করা গেম থেকে (স্টিম সহ), জ্যাবার এবং স্কাইপ ইনস্ট্যান্ট মেসেঞ্জার। তার আগ্রহের ক্ষেত্রটিতে FTP এবং VPN-এর অ্যাক্সেসের বিবরণও অন্তর্ভুক্ত রয়েছে। তার কাজটি করে এবং যা যা করতে পারে তা চুরি করে, গুপ্তচর নিম্নলিখিত কমান্ডের সাথে নিজেকে মুছে ফেলে:

cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe

এটা আর শুধু Ransomware নয়

করোনভাইরাস মহামারীর থিমের সাথে আবদ্ধ এই আক্রমণটি আবারও প্রমাণ করে যে আধুনিক র্যানসমওয়্যার আপনার ফাইলগুলিকে এনক্রিপ্ট করার চেয়ে আরও বেশি কিছু করতে চায়। এই ক্ষেত্রে, ভুক্তভোগী বিভিন্ন সাইট এবং পোর্টালের পাসওয়ার্ড চুরি হওয়ার ঝুঁকি চালান। ম্যাজ এবং ডপেলপেমারের মতো উচ্চ সংগঠিত সাইবার অপরাধী গোষ্ঠীগুলি ব্যবহারকারীদের ফাইল পুনরুদ্ধারের জন্য অর্থ প্রদান করতে না চাইলে তাদের ব্ল্যাকমেইল করার জন্য চুরি করা ব্যক্তিগত ডেটা ব্যবহার করতে পারদর্শী হয়ে উঠেছে। প্রকৃতপক্ষে, হঠাৎ করে তারা এত গুরুত্বপূর্ণ নয়, বা ব্যবহারকারীর একটি ব্যাকআপ সিস্টেম রয়েছে যা Ransomware আক্রমণের জন্য সংবেদনশীল নয়।

এর সরলতা সত্ত্বেও, নতুন করোনাভাইরাস স্পষ্টভাবে দেখায় যে সাইবার অপরাধীরাও তাদের আয় বাড়াতে চাইছে এবং নগদীকরণের অতিরিক্ত উপায় খুঁজছে। কৌশলটি নিজেই নতুন নয়-এখন বেশ কয়েক বছর ধরে, অ্যাক্রোনিস বিশ্লেষকরা র্যানসমওয়্যার আক্রমণ পর্যবেক্ষণ করছেন যা শিকারের কম্পিউটারে আর্থিক ট্রোজানও বসায়। অধিকন্তু, আধুনিক পরিস্থিতিতে, একটি র‍্যানসমওয়্যার আক্রমণ সাধারণত আক্রমণকারীদের মূল লক্ষ্য - ডেটা ফাঁস থেকে মনোযোগ সরানোর জন্য একটি নাশকতা হিসাবে কাজ করতে পারে।

এক বা অন্য উপায়, এই ধরনের হুমকির বিরুদ্ধে সুরক্ষা শুধুমাত্র সাইবার প্রতিরক্ষার একটি সমন্বিত পদ্ধতি ব্যবহার করে অর্জন করা যেতে পারে। এবং আধুনিক নিরাপত্তা ব্যবস্থা সহজেই মেশিন লার্নিং প্রযুক্তি ব্যবহার করে হিউরিস্টিক অ্যালগরিদম ব্যবহার শুরু করার আগেই এই ধরনের হুমকি (এবং তাদের উভয় উপাদান) ব্লক করে। একটি ব্যাকআপ/দুর্যোগ পুনরুদ্ধার সিস্টেমের সাথে একত্রিত হলে, প্রথম ক্ষতিগ্রস্ত ফাইলগুলি অবিলম্বে পুনরুদ্ধার করা হবে।

যারা আগ্রহী তাদের জন্য, IoC ফাইলের হ্যাশ সমষ্টি:

CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240

শুধুমাত্র নিবন্ধিত ব্যবহারকারীরা জরিপে অংশগ্রহণ করতে পারবেন। সাইন ইন করুনকরুন।

আপনি কি কখনও একযোগে এনক্রিপশন এবং ডেটা চুরির অভিজ্ঞতা পেয়েছেন?

• 19,0%হ্যাঁ 4

• 42,9%No9

• 28,6%আমাদের আরও সজাগ থাকতে হবে ৬

• 9,5%আমি এটা সম্পর্কে চিন্তাও করিনি 2

21 ব্যবহারকারী ভোট দিয়েছেন। 5 জন ব্যবহারকারী বিরত ছিলেন।

উত্স: www.habr.com