کورونا وائرس تھیمز کا استعمال کرتے ہوئے مختلف خطرات آن لائن ظاہر ہوتے رہتے ہیں۔ اور آج ہم ایک دلچسپ واقعہ کے بارے میں معلومات کا اشتراک کرنا چاہتے ہیں جو حملہ آوروں کی اپنے منافع کو زیادہ سے زیادہ کرنے کی خواہش کو واضح طور پر ظاہر کرتی ہے۔ "2-in-1" زمرے کا خطرہ خود کو کورونا وائرس کہتا ہے۔ اور میلویئر کے بارے میں تفصیلی معلومات کٹ کے نیچے ہے۔
کورونا وائرس تھیم کا استحصال ایک ماہ سے زیادہ پہلے شروع ہوا تھا۔ حملہ آوروں نے وبائی امراض کے پھیلاؤ اور اٹھائے گئے اقدامات کے بارے میں معلومات میں عوام کی دلچسپی کا فائدہ اٹھایا۔ انٹرنیٹ پر مختلف مخبروں، خصوصی ایپلی کیشنز اور جعلی سائٹس کی ایک بڑی تعداد نمودار ہوئی ہے جو صارفین سے سمجھوتہ کرتی ہیں، ڈیٹا چوری کرتی ہیں اور بعض اوقات ڈیوائس کے مواد کو انکرپٹ کرتی ہیں اور تاوان کا مطالبہ کرتی ہیں۔ یہ بالکل وہی ہے جو کورونا وائرس ٹریکر موبائل ایپ کرتی ہے، ڈیوائس تک رسائی کو روکتی ہے اور تاوان کا مطالبہ کرتی ہے۔
مالویئر کے پھیلاؤ کے لیے ایک الگ مسئلہ مالی معاونت کے اقدامات میں الجھن تھی۔ بہت سے ممالک میں، حکومت نے وبائی امراض کے دوران عام شہریوں اور کاروباری نمائندوں کو مدد اور مدد کا وعدہ کیا ہے۔ اور تقریباً کہیں بھی یہ امداد سادہ اور شفاف نہیں مل رہی ہے۔ اس کے علاوہ، بہت سے لوگوں کو امید ہے کہ ان کی مالی مدد کی جائے گی، لیکن یہ نہیں معلوم کہ وہ ان لوگوں کی فہرست میں شامل ہیں جن کو سرکاری سبسڈی ملے گی یا نہیں۔ اور وہ لوگ جو پہلے ہی ریاست سے کچھ حاصل کر چکے ہیں اضافی مدد سے انکار کرنے کا امکان نہیں ہے۔
حملہ آور بالکل یہی فائدہ اٹھاتے ہیں۔ وہ بینکوں، مالیاتی ریگولیٹرز اور سوشل سیکورٹی حکام کی جانب سے مدد کی پیشکش کرتے ہوئے خط بھیجتے ہیں۔ آپ کو صرف لنک پر عمل کرنے کی ضرورت ہے ...
یہ اندازہ لگانا مشکل نہیں ہے کہ ایک مشکوک ایڈریس پر کلک کرنے کے بعد، ایک شخص فشنگ سائٹ پر پہنچ جاتا ہے جہاں اس سے اپنی مالی معلومات درج کرنے کو کہا جاتا ہے۔ اکثر، ایک ویب سائٹ کھولنے کے ساتھ ساتھ، حملہ آور ایک کمپیوٹر کو ٹروجن پروگرام سے متاثر کرنے کی کوشش کرتے ہیں جس کا مقصد ذاتی ڈیٹا اور خاص طور پر مالی معلومات چوری کرنا ہوتا ہے۔ بعض اوقات ای میل اٹیچمنٹ میں پاس ورڈ سے محفوظ فائل شامل ہوتی ہے جس میں اسپائی ویئر یا رینسم ویئر کی شکل میں "اس بارے میں اہم معلومات ہوتی ہیں کہ آپ حکومتی مدد کیسے حاصل کر سکتے ہیں"۔
اس کے علاوہ، حال ہی میں Infostealer زمرے کے پروگرام بھی سوشل نیٹ ورکس پر پھیلنا شروع ہو گئے ہیں۔ مثال کے طور پر، اگر آپ ونڈوز کی کچھ جائز یوٹیلیٹی ڈاؤن لوڈ کرنا چاہتے ہیں، تو wisecleaner[.]بہترین، Infostealer اس کے ساتھ بنڈل ہو سکتا ہے۔ لنک پر کلک کرنے سے، صارف کو ایک ڈاؤنلوڈر موصول ہوتا ہے جو یوٹیلیٹی کے ساتھ ساتھ میلویئر کو بھی ڈاؤن لوڈ کرتا ہے، اور متاثرہ کے کمپیوٹر کی ترتیب کے لحاظ سے ڈاؤن لوڈ کا ذریعہ منتخب کیا جاتا ہے۔
کوروناویرس 2022
ہم اس ساری سیر سے کیوں گزرے؟ حقیقت یہ ہے کہ نیا میلویئر، جس کے تخلیق کاروں نے نام کے بارے میں زیادہ دیر تک نہیں سوچا، نے صرف تمام بہترین چیزوں کو جذب کر لیا ہے اور ایک ہی وقت میں دو قسم کے حملوں سے شکار کو خوش کر دیا ہے۔ ایک طرف، انکرپشن پروگرام (کورونا وائرس) لوڈ ہے، اور دوسری طرف، KPOT infostealer۔
کورونا وائرس رینسم ویئر
ransomware خود ایک چھوٹی فائل ہے جس کی پیمائش 44KB ہے۔ دھمکی سادہ لیکن موثر ہے۔ قابل عمل فائل خود کو بے ترتیب نام کے تحت کاپی کرتی ہے۔ %AppData%LocalTempvprdh.exe، اور رجسٹری میں کلید بھی سیٹ کرتا ہے۔ WindowsCurrentVersionRun. ایک بار کاپی رکھ دیے جانے کے بعد، اصل حذف ہو جاتی ہے۔
زیادہ تر رینسم ویئر کی طرح، کورونا وائرس مقامی بیک اپ کو حذف کرنے اور درج ذیل سسٹم کمانڈز کو چلا کر فائل شیڈونگ کو غیر فعال کرنے کی کوشش کرتا ہے۔
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
اگلا، سافٹ ویئر فائلوں کو خفیہ کرنا شروع کرتا ہے۔ ہر انکرپٹڈ فائل کے نام پر مشتمل ہوگا۔ [email protected]__ شروع میں، اور باقی سب کچھ ویسا ہی رہتا ہے۔
اس کے علاوہ، رینسم ویئر سی ڈرائیو کا نام بدل کر کورونا وائرس کر دیتا ہے۔
ہر وہ ڈائرکٹری جس میں یہ وائرس متاثر ہونے میں کامیاب ہوا، ایک CoronaVirus.txt فائل ظاہر ہوتی ہے، جس میں ادائیگی کی ہدایات ہوتی ہیں۔ تاوان صرف 0,008 بٹ کوائنز یا تقریباً 60 ڈالر ہے۔ مجھے یہ کہنا ضروری ہے، یہ ایک بہت ہی معمولی شخصیت ہے۔ اور یہاں بات یا تو یہ ہے کہ مصنف نے خود کو بہت زیادہ امیر ہونے کا ہدف مقرر نہیں کیا تھا... یا اس کے برعکس، اس نے فیصلہ کیا کہ یہ ایک بہترین رقم ہے جسے گھر بیٹھے ہر صارف خود کو الگ تھلگ کر کے ادا کر سکتا ہے۔ متفق ہوں، اگر آپ باہر نہیں جا سکتے، تو آپ کے کمپیوٹر کو دوبارہ کام کرنے کے لیے $60 اتنا زیادہ نہیں ہے۔
اس کے علاوہ، نیا رینسم ویئر عارضی فائلز فولڈر میں ایک چھوٹی DOS ایگزیکیوٹیبل فائل لکھتا ہے اور اسے BootExecute کلید کے تحت رجسٹری میں رجسٹر کرتا ہے تاکہ اگلی بار کمپیوٹر کے ریبوٹ ہونے پر ادائیگی کی ہدایات دکھائی دیں۔ سسٹم کی ترتیبات پر منحصر ہے، یہ پیغام ظاہر نہیں ہو سکتا۔ تاہم، تمام فائلوں کی انکرپشن مکمل ہونے کے بعد، کمپیوٹر خود بخود دوبارہ شروع ہو جائے گا۔
کے پی او ٹی انفوسٹیلر
یہ Ransomware KPOT سپائی ویئر کے ساتھ بھی آتا ہے۔ یہ انفوسٹیلر مختلف قسم کے براؤزرز کے ساتھ ساتھ پی سی (بشمول بھاپ)، جابر اور اسکائپ انسٹنٹ میسنجر پر نصب گیمز سے کوکیز اور محفوظ کردہ پاس ورڈز چرا سکتا ہے۔ اس کی دلچسپی کے علاقے میں FTP اور VPN تک رسائی کی تفصیلات بھی شامل ہیں۔ اپنا کام کرنے اور ہر ممکن چیز چوری کرنے کے بعد، جاسوس مندرجہ ذیل کمانڈ کے ساتھ خود کو حذف کر دیتا ہے۔
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
یہ اب صرف رینسم ویئر نہیں ہے۔
یہ حملہ، ایک بار پھر کورونا وائرس وبائی مرض کے تھیم سے جڑا ہوا ہے، ایک بار پھر یہ ثابت کرتا ہے کہ جدید رینسم ویئر آپ کی فائلوں کو انکرپٹ کرنے سے زیادہ کچھ کرنا چاہتا ہے۔ اس صورت میں، متاثرہ شخص کو مختلف سائٹس اور پورٹلز کے پاس ورڈز کے چوری ہونے کا خطرہ ہوتا ہے۔ Maze اور DoppelPaymer جیسے انتہائی منظم سائبر کرائمین گروپ صارفین کو بلیک میل کرنے کے لیے چوری شدہ ذاتی ڈیٹا استعمال کرنے میں ماہر ہو گئے ہیں اگر وہ فائل ریکوری کے لیے ادائیگی نہیں کرنا چاہتے ہیں۔ درحقیقت، اچانک وہ اتنے اہم نہیں ہیں، یا صارف کے پاس بیک اپ سسٹم ہے جو Ransomware حملوں کے لیے حساس نہیں ہے۔
اپنی سادگی کے باوجود، نیا کورونا وائرس واضح طور پر ظاہر کرتا ہے کہ سائبر کرائمین بھی اپنی آمدنی بڑھانے کے لیے کوشاں ہیں اور منیٹائزیشن کے اضافی ذرائع تلاش کر رہے ہیں۔ یہ حکمت عملی بذات خود نئی نہیں ہے — اب کئی سالوں سے، Acronis تجزیہ کار ransomware حملوں کا مشاہدہ کر رہے ہیں جو متاثرہ کے کمپیوٹر پر مالی ٹروجن بھی لگاتے ہیں۔ مزید برآں، جدید حالات میں، رینسم ویئر حملہ عام طور پر ایک تخریب کاری کا کام کر سکتا ہے تاکہ حملہ آوروں کے اصل مقصد یعنی ڈیٹا لیکیج سے توجہ ہٹائی جا سکے۔
کسی نہ کسی طریقے سے، اس طرح کے خطرات سے تحفظ صرف سائبر ڈیفنس کے لیے مربوط طریقہ کار کے ذریعے ہی حاصل کیا جا سکتا ہے۔ اور جدید سیکیورٹی سسٹم مشین لرننگ ٹیکنالوجیز کا استعمال کرتے ہوئے ہیورسٹک الگورتھم کا استعمال شروع کرنے سے پہلے ہی اس طرح کے خطرات (اور ان کے دونوں اجزاء) کو آسانی سے روک دیتے ہیں۔ اگر بیک اپ/ڈیزاسٹر ریکوری سسٹم کے ساتھ مربوط کیا جائے تو پہلی خراب فائلوں کو فوری طور پر بحال کر دیا جائے گا۔
دلچسپی رکھنے والوں کے لیے، IoC فائلوں کی ہیش رقم:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
سروے میں صرف رجسٹرڈ صارفین ہی حصہ لے سکتے ہیں۔ ، برائے مہربانی.
کیا آپ نے کبھی بیک وقت انکرپشن اور ڈیٹا چوری کا تجربہ کیا ہے؟
-
19,0٪ہاں 4
-
42,9٪نمبر 9
-
28,6٪ہمیں مزید چوکس رہنا پڑے گا 6
-
9,5٪میں نے اس کے بارے میں سوچا بھی نہیں 2
21 صارفین نے ووٹ دیا۔ 5 صارفین غیر حاضر رہے۔
ماخذ: www.habr.com