پیٹا رانسومویئر / وائپر کا موڈس چل رہا ہے ایک نئی بوتل میں پرانی شراب

پیٹا رونومویئر / وائپر یورپ میں تباہی پیدا کردی گئی ہے اور ان سے پہلے سے زیادہ یوکرائن میں دیکھا گیا تھا. 12،500 مشینیں معاہدے کی گئی تھیں. بدترین حصہ یہ تھا کہ بیلجیم، برازیل، بھارت اور ریاست ہائے متحدہ امریکہ میں انفیکشنز بھی پھیل چکے ہیں. پیٹیا کیڑے کی صلاحیتیں ہیں جو اسے نیٹ ورک میں بعد میں پھیلانے کی اجازت دے گی. مائیکروسافٹ نے ایک ہدایات جاری کی ہے کہ پیٹیا سے نمٹنے کے طریقے سے یہ کس طرح،

پیٹیا رانسومویئر / وائپر

ابتدائی انفیکشن کے پھیلاؤ کے بعد، مائیکرو مائیکروسافٹ نے اب اس ثبوت کا ثبوت دیا ہے کہ رانسوم ویئر کے چند فعال انفیکشنز پہلے سے جائز تھے. MEDOC اپ ڈیٹ کی عمل. اس نے یہ سافٹ ویئر سپلائی چین کے حملوں کا واضح کیس بنا دیا ہے جس سے حملہ آوروں کے ساتھ بہت عام ہو گیا ہے کیونکہ اس سے بہت زیادہ سطح کی حفاظت کی ضرورت ہوتی ہے.

مندرجہ بالا تصویر سے پتہ چلتا ہے کہ ایم ای ڈی سے Evit.exe پروسیسنگ مندرجہ ذیل کمانڈ لائن، دلچسپ بات یہ ہے کہ یوکرائن سائبر پولیس نے معاہدے کے اشارے کی عوامی فہرست میں بھی ذکر کیا تھا. یہ کہا جاتا ہے کہ پیٹا قابل قدر ہے

• اسناد چوری اور فعال سیشن
• فائلوں کی شرائط کی خدمات کا استعمال کرکے مشینوں میں بدسلوکی فائلوں کو منتقلی کرنے کے قابل ہے
• غیر مقفل شدہ مشینوں کے معاملے میں ایس ایم ایم کی خرابیوں کو روکنے کے قابل.

ممکنہ چوری اور خرابی کا استعمال کرتے ہوئے جراثیمی تحریک میکانیزم ہوتا ہے

یہ سب پیٹا کے ساتھ ایک قابل اعتماد ڈمپنگ کے آلے کو شروع کرتا ہے، اور یہ دونوں 32 بٹ اور 64 بٹ مختلف قسم میں آتا ہے. چونکہ صارفین عام طور پر کئی مقامی اکاؤنٹس کے ساتھ لاگ ان ہوتے ہیں، ہمیشہ ایک موقع ہے کہ ایک فعال سیشن میں سے ایک سے زیادہ مشینیں بھر میں کھل جائے گی. چوری اسنادوں کو پیٹایا کی بنیادی سطح تک رسائی حاصل کرنے میں مدد ملے گی.

ایک بار پیٹیا نے بندرگاہ پر ٹی سی پی / 139 اور ٹی سی پی / 445 پر مقامی کنکشن کے لئے مقامی نیٹ ورک سکین کیا. اس کے بعد اگلے مرحلے میں، یہ سب سنیٹ اور ہر ذیلی نیٹ ورک کے صارفین کے لئے TCP / 139 اور TCP / 445 کو بلایا جاتا ہے. ایک جواب حاصل کرنے کے بعد، میلویئر فائل کی منتقلی کی خصوصیت کے استعمال کے ذریعے ریموٹ مشین پر بائنری کاپی کریں گے اور اس سے قبل اس نے پہلے ہی چوری کرنے میں کامیاب کیا تھا.

psexex.exe ایک سرایت وسائل سے Ransomware کی طرف سے گرا دیا جاتا ہے.. اگلے مرحلے میں، یہ منتظم $ $ حصص کے لئے مقامی نیٹ ورک کو اسکین کرتا ہے اور پھر نیٹ ورک میں خود کو نقل کرتا ہے. کریڈٹ ڈیپنگ کے علاوہ ڈومویئر کو کریڈٹ ایونٹیٹ ڈبلیو کے استعمال کے ذریعے اپنے کریڈٹورٹس کو چوری کرنے کی بھی کوشش کی جاتی ہے تاکہ دوسرے کریڈٹ اسٹوریج سے دیگر صارف کی اسناد حاصل کرسکیں.

خفیہ کاری

میلویئر پر منحصر نظام کو خفیہ کرنے کا فیصلہ میلویئر کے عمل کی استحکام کی سطح، اور یہ ایک XOR پر مبنی ہسنگنگ الگورتھم ملازم کی طرف سے ہوتا ہے جو حش کے اقدار کے خلاف چیک کرتا ہے اور اسے رویے کے اخراج کے طور پر استعمال کرتا ہے.

اگلے مرحلے میں، Ransomware ماسٹر بوٹ ریکارڈ پر لکھتا ہے اور پھر سیٹ سسٹم دوبارہ شروع کرنے کے لئے. اس کے علاوہ، یہ 10 منٹ کے بعد مشین کو بند کرنے کے لئے مقرر کردہ کاموں کی فعالیت کا بھی استعمال کرتا ہے. اب پیٹا ذیل میں دکھایا گیا ہے کے طور پر ذیل میں دکھایا گیا ہے کے بعد جعلی غلطی کے پیغام کو ظاہر کرتا ہے.

Ransomware پھر C: ونڈوز کے علاوہ تمام ڈرائیوز میں مختلف ملانے کے ساتھ تمام فائلوں کو خفیہ کاری کرنے کی کوشش کریں گے. مائیکروسافٹ کا کہنا ہے کہ ای ای ایس کلید فی فکسڈ ڈرائیو ہے، اور یہ حملہ آور کی سرایت شدہ 2048 بٹ آر ایس ایس عوامی کلید کا استعمال کرتا ہے اور استعمال کرتا ہے.