सायबर हल्ला काय प्रकरण आहे?

Submitted by ऋन्मेऽऽष on 14 May, 2017 - 14:16

कोणाला काही खबरबात आहे का?
आपल्याला काही भिती आहे का?
काही काळजी घेता येईल का?

आज वर्तमानपत्रात खालील बातम्या वाचल्या -
जगभरातील 74 देशातील संगणक हॅक करून ठप्प केले.
ब्रिटनची आरोग्यसेवा पुर्ण कोलमडली.
हॅकर्सनी केली खंडणीची मागणी.

आताच व्हॉटसपवर हा मेसेज वाचला.

Massive Ransomeware attack...Total 74 countries affected...Please do not open any email which has attachments with *"tasksche.exe"* file. Please send this important message to all your computer users

खरेच असे काही आहे का? या गोष्टीतले ज्ञान नसल्याने काय खरे काय खोटे हे आपल्या बुद्धीने पडताळणे अवघड झालेय.

प्रगत देशांची अशी स्थिती आहे तर आपले काय??

शब्दखुणा: 
Group content visibility: 
Public - accessible to all site users

आरारा चांगली माहिती.
तुमच्या आणि माबोच्या नावासह एक दोन मित्रांच्या आणि फॅमिली ग्रूपला आपली पोस्ट व्हॉटसप करू का?

हॅकर्स (कधीकधी) त्यांच्या प्रोग्रामवर कंट्रोल ठेवयासाठी त्यात काही 'किल स्विच' ठेवतात >>>

आ. रा. रा., इथे तो किल स्विच नसून सिक्युरीटी अ‍ॅनालिस्ट्सना आपला प्रोग्राम अ‍ॅनालाईझ न करू द्यायची युक्ती होती.

मालवेअरचे सँपल मिळाले, की लोक त्याला 'सँडबॉक्स' करून अ‍ॅनालाईझ करायला लागतात. म्हणजेच प्रोग्रामला एका सुरक्षित एनव्हायरोनमेंटमध्ये आयसोलेट करून त्याला हवे तसे वागू द्यायचे, व तो कुठल्या सर्व्हर्सना कनेक्ट करतो आहे, कशा रीतीने आपले काम करतो आहे, हे पाहायचे. थोडक्यात पेट्रीडिशमध्ये सँपल गोळा करून बॅक्टेरियाची वाढ अभ्यासण्यासारखे. अशा वेळेस मालवेअर बाहेर कुठल्या आयपीला कनेक्ट करायचा प्रयत्न करत असेल, तर त्याला ते डमी सर्व्हरशी कनेक्ट करून त्याच आयपीशी बोलतो आहे असे भासवतात, व त्याचे रिस्पॉन्सेस बघतात.

ह्यावर मालवेअर लिहिणार्‍याने काढलेली युक्ती म्हणजे मालवेअरला एका भलत्याच त्यांच्याशी संबंध नसलेल्या अस्तित्वातच नसलेल्या आयपीशी कनेक्ट करायला सांगायचे, पण आज्ञा अशी द्यायची, की जर रिस्पॉन्स आला नाही, तर तू काम चालू ठेव, पण रिस्पॉन्स आला, तर काम बंद करून टाक. जेणेकरून अ‍ॅनालिस्ट्सच्या डमी सर्व्हरकडून रिस्पॉन्स आला, की प्रोग्राम बंद पडेल. इन शॉर्ट, द मालवेअर ट्राईज टू रेकग्नाईझ व्हेन इट इज बीइंग अ‍ॅनालाईझ्ड.

पण सर्वसाधारण मालवेअरमध्ये एक रँडम युआरएल जनरेटर टाकला जातो, जेणेकरून प्रत्येक इन्स्टन्सच्या वेळी तो एक नॉन्सेन्स युआरएल जनरेट करेल, व त्याच्याशी कनेक्ट करायचा प्रयत्न करेल. ह्या केसमध्ये मात्र तो आयपी स्टॅटिक होता, त्यामुळे सापडला. ही अमॅच्युअर मिस्टेक असू शकते, किंवा कोणीतरी मुद्दाम तो स्टॅटिक ठेवून किती वेळात पकडला जातो आहे, हे बघण्यासाठी केलेले असू शकते. रिस्पॉन्स टाईम टेस्ट करण्यासाठी. तसे असेल, तर हे प्रकरण वाटते तितके साधे नाही.

बाकी पोस्ट छानच. मी सकाळी लिहिणार होतो, पण कंटाळा केला. Happy

नक्कीच, ऋ

भाचा, डिटेल स्पष्टीकरणाबद्दल धन्यवाद. मी हौशी कलाकार आहे हे आधी लिहिले आहेच.

भा, ह्या केसमध्ये मात्र तो आयपी स्टॅटिक होता, >> आयपी स्टॅटिक होता का यूआरएल स्टॅटिक होतं?
अरारा चांगली पोस्ट.
हेल्थकेअरला टार्गेट करतात कारण प्रचंड प्रमाणात कम्प्युटर हेल्थकेअर वापरतात, अपग्रेड करण्यावर अनेकदा निर्बंध असू शकतात, संगणक साक्षर/ अवेअर लोकांचं प्रमाण तुलनेने कमी असते आणि बोलबाला जास्त होतो.

ध्नन्यवाद आ.रा.रा आणि भाचा, चांगली माहिती देत आहात. हे प्रकरण झाल्यापासून अ‍ॅडव्हायजरीजच्या मेल्स येऊन पडत आहेत पण नेमकं काय आहे व पुढे ते काय करणार्/आपण काय करणार हे अजून कोणालाच नक्की कळत नाहीये असं वाटतंय.

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

हा तो अ‍ॅड्रेस होता. नॉनसेन्स स्ट्रींग ऑफ लेटर्स टू मेक शुअर दॅट धिस डजन्ट एक्झिस्ट. पण आता तिथे वेबसाईट आहे.

व्हर्जन २.० मध्ये रँडम युआरएल जनरेटर मिळालेला आहे असे म्हणतात.
<<
कठीण आहे.
पण आपल्या ब्लॅक मनि सारखी गम्मत आहे. जिथे लाईट भसकन आल्या गेल्याने हार्ड डिस्क कधीही उडेल असं असतं, तिथे बॅकअप देवाचे भक्त व बफर असते. तेव्हा थोडा डेटा गेल्याने फार पर्सनल नुकसान नाही.
बॅंकेत data चोरी झाली तर मात्र हाल आहेत..

ह्यानिमित्ताने - https://www.nomoreransom.org/ - येथे काही प्रकारच्या रॅनसमवेअरच्या डीक्रिप्ट कीज मिळू शकतील. नेदरलँड्स पोलिस, युरोपियन पोलिस, कास्पर्स्की लॅब, व इंटेल सिक्युरीटी ह्यांचं हे प्रोजेक्ट आहे. वॉन्नाक्रायच्या कीज बहुधा अजून कोणालाच सापडलेल्या नाहीत, त्यामुळे ह्या पर्टिक्युलर केसमध्ये सध्यातरी उपयोग नाही, पण दुसर्‍या कशासाठी म्हणून रेफरन्सला देऊन ठेवतो.

भाचा, खूप छान माहिती दिली आहे, अजून येऊद्या...

आरारा, हौशी कलाकाराचा प्रयत्न उत्तम होता....

रॅन्समवेअरपासून सुरक्षित राहायचे असेल तर कर्मचार्‍यांचे पुर्वप्रशिक्षण फार महत्त्वाचे असे मी खूप आधी कधीतरी वाचले होते.

>>ही अमॅच्युअर मिस्टेक असू शकते, किंवा कोणीतरी मुद्दाम तो स्टॅटिक ठेवून किती वेळात पकडला जातो आहे, हे बघण्यासाठी केलेले असू शकते.<<

बर्‍याच थिअरीज चर्चेत आहेत परंतु "किल स्विच" ची थिअरी जास्त कंन्विंसिंग वाटतेय - का ते सांगतो.

स्टॅटिक युआरेल हि बाय डिझाइन असण्याची शक्यता जास्त कारण प्रत्येक कोडमध्ये ग्रेस्फुली एक्झिट्ची प्रोविजन असणे हे डिसिप्लिन्ड कोडरचं लक्षण आहे, मग भले तो हॅकर असला तरी हि (हॅकर्स के भी उसुल होते है). व्हायरस्/मॅल्वेर हाताबाहेर जायला लागला तर फेल सेफ मॅकेनिझ्म लाँच करणं हा ऑप्शन स्टॅटिक (नोन) वॅल्युज ने करणं वाजवी ठरतं, रँडम (अन्नोन) वॅल्युज ऐवजी; आणि तेच झालेलं आहे ड्मी डोमेन क्रिएट केल्यावर...

अर्थात, या मॅल्वेरची वेगळी भावंडं असल्याने प्रत्येकाचा "स्विच" वेगळा (नॉट नेसेसरीली स्टॅटिक किंवा रँडम युआरेल) असणार आहे, जो आज ना उद्या जाहिर होईलंच...

वर कोणितरी विंडोज एक्स्पी बाबत तक्रार केलेली आहे - भारतात एटिएममध्ये ती अजुनहि वापरली जाते म्हणुन. इथे तर ओएस/२ जी विंडोजच्या आधी रिलीज झाली होती ती अजुनहि काहि एटिएम्स मध्ये वापरली जाते... Happy

स्टॅटिक युआरेल हि बाय डिझाइन असण्याची शक्यता जास्त कारण प्रत्येक कोडमध्ये ग्रेस्फुली एक्झिट्ची प्रोविजन असणे हे डिसिप्लिन्ड कोडरचं लक्षण आहे >>>

राज, उलट (आता) लक्षणे अशी दिसत आहेत, की ह्या कोडर्सना एनएसएचा कोड घेऊन तो वापरण्याशिवाय फार डिसिप्लिन आलेलं नाही. एका सिक्युरीटी एक्स्पर्टने वॉन्नाक्रायचा कोड निरखून बघितला, व त्याला असं दिसलं, की वॉन्नाक्राय इतर रॅन्समवेअरप्रमाणे एका पर्टिक्युलर युजरने पेमेंट केलं आहे की नाही, हे स्वतःहून व्हेरिफाय करू शकत नाही, कारण प्रत्येक व्हिक्टिमला पैसे पाठवण्यासाठी युनिकली जनरेटेड बिटकॉइन अ‍ॅड्रेस त्याने असाईन केलेला नाही! त्या हॅकर्सचे ४ हार्डकोडेड स्टॅटिक बिटकॉईन अ‍ॅड्रेसेस आहेत, त्या चारपैकी एक अ‍ॅड्रेस व्हिक्टिमला दिला जातोय. त्यामुळे व्हिक्टिमने पे केले, तरी हॅकर्सच्या एंडला कोणीतरी ते मॅन्युअल व्हेरिफाय केल्याशिवाय की रीलीज होऊ शकत नाही. त्यासाठी व्हिक्टिमला कंपल्सरी त्यांना "काँटॅक्ट"मधून इमेल करावी लागते. २ लाखावर व्हिक्टिम मशिन्स असताना आणि डेटा डीलीशनला अवघे ३-४ दिवस असताना ही सिस्टम वर्क होऊ शकत नाही. त्यामुळे ह्यांना पैसे दिले तरी तुम्हाला की न मिळण्याचीच शक्यता अधिक आहे, जे रॅनसमवेअरच्या आतापर्यंतच्या अनुभवाच्या अगदी विरूद्ध आहे. (सोफिस्टिकेटेड हॅकर्स डू टेंड टू गिव्ह यू द की वन्स यू पे, कारण ते सगळं ऑटोमॅटिक असतं.)

त्याचबरोबर अवघे ४ हार्डकोडेड बिटकॉईन अ‍ॅड्रेसेस ट्रॅक करायचे असल्याने त्यांच्यावर लक्ष ठेवणे तुलनेने सोपे आहे. ह्याचमुळे त्यांना मिळालेले टोटल पैसे फार नाहीत, हे सहज कळलेले आहे. (लॉ एनफोर्समेंटलासुद्धा हे (माझ्या अंदाजानुसार) जास्त बरे पडू शकते.) पूर्वीच्या कमी क्नोन असलेल्या रॅनसमवेअर्सनी मिलियन्स ऑफ डॉलर्स कमावलेले आहेत. अँगलर नामक एका रॅनसमवेअरने अंदाजे ६ कोटी डॉलर्स मिळवले. त्या तुलनेत ह्यांना खूपच कमी पेमेंट झालेले आहे आणि व्हिजिबिलिटी खूपच जास्त आहे. एकंदरीत हा रॅनसमवेअर अ‍ॅटॅक कमी आणि डिसरप्टिव्ह अ‍ॅटॅक जास्त झालेला आहे. त्यात त्यांना फक्त एनएसएचे टूल वापरणे जमले, पण रॅनसमवेअर सिस्टीम काही व्यवस्थित वापरता आली नाही असे सकृतदर्शनी दिसते.

तळटीप - वॉन्नाक्रायमध्ये 'चेक पेमेंट' बटन आहे. ते अ‍ॅक्चुअली फंक्शनल नाही, हे मी वर म्हणतोय. पेमेंट केले असो वा नसो, ते बटन दाबल्यावर रँडमली ३ खोट्या एरर मेसेजपैकी १ किंवा १ खोटा डिक्रिप्शनचा मेसेज येतो. इन इदर केस, व्हिक्टिमला हॅकर्सना काँटॅक्ट करणे भाग पडतेच.

जाई, मी स्वतः कालच एनइएफटीने पेमेंट केलेले आहे. तुम्ही आता सर्वसाधारण (आपल्याच बँकेची साईट आहे ना, इ. इ.) काळज्या घेऊन पेमेंट न घाबरता करू शकता, असे मला वाटते. तुम्हाला हवे तर इन्कॉग्निटो व्हा, त्याचा काही इश्यु नाही. Happy

(१) कुठल्याही संशयास्पद इ-मेलवर क्लिक करू नका. कितीही जवळच्या माणसाकडून आलेली असली तरी. खात्री केल्यानंतर तुम्ही त्यांना ती पुन्हा पाठवायला सांगूच शकता.

(२) माहीत नसलेल्या वेबसाईटवर जाणे शक्यतो टाळा. जावे लागल्यासच अत्यंत सावध राहा. जर वेबसाईट विचित्र वाटत असेल, व स्पेशली अशा वेबसाईटवर तुम्हाला काही निमित्ताने कॅपचा एंटर करायला सांगत असतील, तर लगेच तिथून बाहेर पडा. रॅनसमवेअर डिलीव्हर करायची हीदेखील एक टेक्निक आहे. अँटी-व्हायरसने डाऊनलोड्स ऑटो-स्कॅन होतील हे पहा.

(३) जुनी विंडोज असेल, तर पॅच करून घ्या. सॉफ्टवेअर जमेल तितके सतत अद्ययावत ठेवा. पायरेटेड कॉपी असेल, अपडेट करता येत नसेल, तर ह्यानिमित्ताने ओरिजिनल कॉपी घ्यायचा विचार करा, असे सुचवतो.

ह्या एवढ्या बाबी कटाक्षाने पाळल्या, तर सध्या असलेला (व जनरलच) धोका तुमच्यापर्यंत पोहोचण्याची शक्यता कमी होईल.

पायरेटेड कॉपी असेल, अपडेट करता येत नसेल, तर ह्यानिमित्ताने ओरिजिनल कॉपी घ्यायचा विचार करा, असे सुचवतो.>>>> हीच मोठ्ठी गोम तर नव्हे Wink

>> अशा वेबसाईटवर तुम्हाला काही निमित्ताने कॅपचा एंटर करायला सांगत असतील, तर लगेच तिथून बाहेर पडा.

भाचा, याबद्दल थोडी माहिती सांगता का? कॅपचा आणि युजरच्या सिक्युरिटीचा काय संबंध आहे?

हा व्हायरस बनला आहे अमेरिके मधे. त्यात भाषा दिसत आहे चीन, जपानीसारखी, इफेक्ट झाला आहे इंग्लंड आणि रशिया सारख्या त्रयस्थ देशात.

कुठून कसला जोडतोड लागत आहे.

व्यत्यय, रॅनसमवेअरला तुमच्या काँप्युटरवर त्याच्या फाईल्स कोणत्यातरी प्रकारे पोचवायच्या असतात. इमेल अ‍ॅटॅचमेंट डाऊनलोड हा सर्वात पॉप्युलर मार्ग आहे. परंतु 'टॉरंटलॉकर' हे एक (आणि अजून काही) रॅनसमवेअर आहेत, ज्यांनी कॅपचा एक्झीक्युशन हा मार्ग इफेक्टिव्हली वापरला आहे. (कारण लोक इमेल अ‍ॅटॅचमेंट्सविषयी सतर्क होऊ लागले आहेत, पण खाली जी मेथड आहे त्याची लोकांना कल्पना नसते.)

ह्या रॅनसमवेअरद्वारे तुम्हाला मिसलीड करून 'ऑफिशियल' भासणार्‍या वेबसाईटवर नेले जाते. उदा. तुम्हाला अर्जंट पार्सल आले आहे अशी पोस्टाकडून आलेली इमेल. (हे परदेशातले उदाहरण आहे, पण उदाहरणार्थ समजून घ्या.) त्या पार्सलची ट्रॅकिंग व इतर इन्फर्मेशन बघून ते सोडवून घेऊन जा, असे सांगून ती इन्फर्मेशन पाहण्यासाठी त्यांनीच दिलेला ट्रॅकिंग नंबर टाकून तुम्ही बटन क्लिक केले, तर ते अ‍ॅक्चुअल काही इन्फर्मेशन न देता कॅपचासारखा कोड एक्झीक्युट करून रॅनसमवेअर तुमच्या काँप्युटरवर 'डिलीव्हर' करून एक्स्ट्रॅक्ट करते.

ह्याचेच वेगळे व्हेरियंट्स म्हणजे तुम्हाला लॉटरी लागली आहे, पण तुम्ही ह्युमन आहात हे कन्फर्म करायला २+२ = ४ चा कॅपचा एंटर करा असे मेसेजेस. कॅपचावर क्लिक केल्यावर जे एक्झीक्युट होते, त्यात गोम दडलेली असते.

तळटीप - खाली दिलेले चित्र हे ऑस्ट्रेलियातील टॉरंटलॉकरची मेथड दाखवते. वेबसाईटचे नाव इ. सगळे ऑफिशियल वाटेल असे.

image-1.jpg

चित्र आंतरजालावरून साभार.

वाव, सुपर इन्फो
आरारा, भाचा धन्यवाद

कॅप्तचा एक्सिक्यूशन हि नवी माहिती मिळाली

अमीदिप, बिटकॉईन काय आहे? >> बिटकॉइन हि ऑनलाईन ओपन सौर्स करन्सी आहे

Pages