यदि आप आम तौर पर तकनीकी समझदार होते हैं, जब भी आप किसी सिस्टम को संक्रमित करते हैं, तो आप आमतौर पर कोड के निष्पादन योग्य टुकड़े के बारे में सोचते हैं जिसने किसी भी तरह से अपने सबसे सुरक्षित कार्यों को अपहृत कर दिया है। संक्रमण किसी भी तरीके से फैल सकता है, लेकिन एक बात बनी हुई है: वायरस और निष्पादन योग्य कोड के बीच का लिंक इतना मजबूत है कि हमें जरूरी नहीं है कि हमें खुद को फ़ाइल प्रकारों जैसे जेपीईजी, पीएनजी छवियों और एमपी 3 फाइलों से सुरक्षित रखना होगा। या हम करते हैं? पिछले अनुमान के विपरीत, 27 नवंबर 2016 को एंजेजेट के लिए जॉन फिंगस द्वारा रिपोर्ट किए गए अनुसार, पहले दो फ़ाइल प्रकारों का उल्लेख मैंने फेसबुक और लिंक्डइन पर सोशल मीडिया मैसेजिंग सिस्टम के माध्यम से कंप्यूटर को संक्रमित करने के लिए किया है।

क्या चल रहा है?

18 फरवरी 2016 को सिमेंटेक को सॉफ़्टवेयर का एक अजीब टुकड़ा मिला जो वेब के माध्यम से फैलाने वाले रांसमवेयर का एक नया संस्करण साबित हुआ (यदि आपको नहीं पता कि ransomware क्या है, तो इसका संदर्भ लें)। यह विशेष तनाव - लॉकी के रूप में जाना जाता है - जनवरी और मार्च 2016 के बीच प्रति सप्ताह लगभग दस से बीस हजार पीड़ितों की दर से अनुलग्नकों के साथ स्पैम ईमेल के माध्यम से फैलता है। वायरस को इस तरह फैलाने के लिए जरूरी नहीं है। ज़िप अनुलग्नकों के साथ ईमेल संदेश 90 के दशक के बाद से इनोक्यूलेशन रणनीति जा रहे हैं।

फिर, कुछ और हुआ।

नवंबर 2016 के अंत में, फेसबुक और लिंक्डइन के उपयोगकर्ताओं ने छवि संलग्नक के साथ भेजे गए संदेश देखना शुरू कर दिया। वे अपेक्षाकृत सुरक्षित लगते हैं, लेकिन जब खोले गए तो उन्होंने लॉकी का एक नया तनाव प्रकट किया जो सिस्टम की फाइलों को एन्क्रिप्ट करेगा और केवल तभी अनलॉक करेगा जब पीड़ित ने 200 अमेरिकी डॉलर और 400 डॉलर के बीच कहीं भी छुड़ौती का भुगतान किया था। इसका सबसे चौंकाने वाला हिस्सा यह था कि वायरस परंपरागत निष्पादित कोड की बजाय छवियों के माध्यम से फैल गया।

ऐसा लगता है कि सब कुछ नहीं है

यद्यपि छवियों का निश्चित रूप से सोशल मीडिया पर लोगों को संक्रमित करने के लिए उपयोग किया जा रहा है, लेकिन यह बिल्कुल नहीं दिखता है! मैंने लॉकी और उसके फिसलन तरीकों के तंत्र पर गहराई से देखा है, और ऐसा लगता है कि जेपीईजी के समूह की तुलना में कहानी के लिए और भी कुछ है जो "आपको पाने के लिए बाहर" हैं।

सबसे पहले, जब आप किसी को मैलवेयर भेजते हैं तो आप जो वितरण कर रहे हैं वह यह धारणा है कि आप किसी को सोशल मीडिया पर एक छवि दे रहे हैं। फेसबुक और लिंक्डइन के कोड में एक दोष है जो कुछ फ़ाइलों को छवि आइकन के साथ स्थानांतरित करने की अनुमति देता है, जिससे प्राप्तकर्ता को यह विश्वास होता है कि उन्हें किसी की पालतू बिल्ली या नए बगीचे की हानिरहित तस्वीर मिली है। वास्तव में प्राप्तकर्ता जो डाउनलोड करता है वह एक एचटीए फ़ाइल है, जो विंडोज के लिए एक बहुत पुराना निष्पादन योग्य प्रोग्राम है जो 1 999 से आसपास रहा है (90% में सॉफ़्टवेयर क्यों पूरी तरह से बोनर था) की सूची में जोड़ने के लिए एक और आइटम।

असल में, एचटीए अनुप्रयोग EXEs की तरह हैं, सिवाय इसके कि वे "mshta.exe" के शीर्ष पर स्तरित हैं और प्रशासकों द्वारा तेजी से सिस्टम में परिवर्तन करने के लिए उपयोग किए जाते थे। चूंकि उनके पास सिस्टम का पूर्ण "ट्रस्ट" है, इसलिए वे चल रहे हैं, वे किसी भी प्रकार की कहर को तोड़ने के लिए स्वतंत्र हैं, जिससे उनका कोड उन्हें अनुमति देता है।

संक्रमण को कैसे रोकें

एक बार जब आप लॉकी से संक्रमित हो जाते हैं, तो आप ऐसा करने के अलावा बहुत कुछ नहीं कर सकते हैं, आपको एंटी-मैलवेयर एप्लिकेशन मिल जाए जो सुरक्षित मोड में बूट होने पर इसे हटा सकता है। लेकिन पहली जगह में संक्रमण को रोकने के बजाय आसान है। जब आप फेसबुक पर एक छवि फ़ाइल प्राप्त करते हैं, और उसके पास नीचे दी गई छवि की तरह कोई पूर्वावलोकन नहीं है, तो आपको शायद इसे डाउनलोड करने के लिए कहा जा रहा है।

एक बार फ़ाइल डाउनलोड करने के बाद, इसका विस्तार जांचें। यदि यह जेपीजी, जेपीईजी, पीएनजी, या ऐसा कुछ भी नहीं कहता है जो एक छवि है, तो यह शायद एक वायरस है। हमने लॉकी को एचटीए प्रारूप में देखा है, लेकिन यह अन्य प्रकार के निष्पादन योग्य कोड (.COM, .PIF, .SCR, .CPL, .JAR, .PLPLICATION, .EXE, .MSI, आदि) में भी दिखाई दे सकता है। बस फाइल एक्सटेंशन के लिए नजर रखें और जो कुछ भी आप पहचान नहीं सकते उससे सावधान रहें। यह जांचने का एक निश्चित तरीका है कि आपके द्वारा प्राप्त की गई फ़ाइल एक छवि है, यह देखने के द्वारा कि क्या Windows Explorer आपको पूर्वावलोकन प्रदान करता है जब आप प्रदर्शन शैली को "बड़े आइकन" में बदलते हैं।

साझा करने के लिए सलाह के किसी अन्य निफ्टी टुकड़े हैं? एक टिप्पणी में हमें बताओ!