VPNFilter - वायरस को हटाने के कारण और तरीके

सिस्को टैलो इंटेलिजेंस ग्रुप द्वारा हाल ही में पहचाने जाने वाले माइक्रो टिक वीपीएफलेटर के रूप में जाना जाने वाला नया मैलवेयर पहले ही 500, 000 से अधिक राउटर और नेटवर्क स्टोरेज डिवाइस (एनएएस) को संक्रमित कर चुका है, जिनमें से कई छोटे व्यवसायों और कार्यालयों के निपटान में हैं। यह वायरस विशेष रूप से खतरनाक बनाता है कि इसमें नुकसान करने की तथाकथित "स्थायी" क्षमता है, जिसका अर्थ है कि यह सिर्फ गायब नहीं होगा क्योंकि राउटर को रिबूट किया जाएगा।

वायरस सॉफ्टवेयर को कैसे हटाएं - वीपीएनफिल्टर।

VPNFilter क्या है

Symantec के अनुसार, "Symantec के डेटा और सेंसर से पता चलता है कि अन्य IoT खतरों के विपरीत, VPNFilter वायरस स्कैन नहीं करता है और दुनिया भर के सभी कमजोर उपकरणों को संक्रमित करने की कोशिश करता है।" इसका मतलब है कि संक्रमण की एक निश्चित रणनीति और लक्ष्य है। संभावित लक्ष्यों के रूप में, Symantec ने Linksys, MikroTik, Netgear, TP-Link और QNAP से उपकरणों की पहचान की है।

तो उपकरण कैसे संक्रमित हैं? ये सॉफ्टवेयर या हार्डवेयर की खामियां हैं जो एक प्रकार का बैकडोर बनाते हैं जिसके माध्यम से एक हमलावर डिवाइस के संचालन को बाधित कर सकता है। हैकर्स उपकरणों को संक्रमित करने के लिए मानक डिफ़ॉल्ट नाम और पासवर्ड का उपयोग करते हैं या ज्ञात कमजोरियों के माध्यम से पहुंच प्राप्त करते हैं जिन्हें नियमित सॉफ्टवेयर अपडेट या फर्मवेयर के साथ तय किया जाना चाहिए था। यह वही तंत्र है जिसने पिछले साल इक्विफैक्स से बड़े पैमाने पर उल्लंघन किया था, और यह संभवतः साइबर भेद्यता का सबसे बड़ा स्रोत है!

यह भी स्पष्ट नहीं है कि ये हैकर्स कौन हैं और उनके इरादे क्या हैं। एक धारणा है कि बड़े पैमाने पर हमले की योजना है जो संक्रमित उपकरणों को बेकार कर देगा। यह खतरा इतना व्यापक है कि न्याय मंत्रालय और एफबीआई ने हाल ही में घोषणा की कि अदालत ने उपकरणों को तोड़ने के संदेह में जब्त करने का फैसला सुनाया। अदालत के फैसले से पीड़ित डिवाइस की पहचान करने, हैकर्स की व्यक्तिगत और अन्य गोपनीय जानकारी चुराने की क्षमता का उल्लंघन करने और वीपीएफलेटर ट्रोजन के विध्वंसक साइबर हमलों को अंजाम देने में मदद मिलेगी।

वायरस कैसे काम करता है

VPNFIlter संक्रमण का एक बहुत ही परिष्कृत दो-चरण विधि का उपयोग करता है, जिसका उद्देश्य आपका कंप्यूटर है, जो खुफिया जानकारी एकत्र करने और यहां तक ​​कि वर्णन ऑपरेशन का शिकार हो जाता है। वायरस के पहले चरण में आपके राउटर या हब को रिबूट करना शामिल है। चूंकि VPNFilter मैलवेयर मुख्य रूप से राउटर, साथ ही इंटरनेट से जुड़े अन्य उपकरणों, साथ ही मिराई मैलवेयर के उद्देश्य से है, यह स्वचालित बॉटनेट हमले के परिणामस्वरूप हो सकता है जो केंद्रीय सर्वरों के सफल समझौते के परिणामस्वरूप लागू नहीं होता है। संक्रमण एक शोषण के माध्यम से होता है जो एक स्मार्ट डिवाइस को रिबूट करने का कारण बनता है। इस चरण का मुख्य उद्देश्य आंशिक नियंत्रण प्राप्त करना है और पुनरारंभ प्रक्रिया पूरी होने के बाद चरण 2 की तैनाती को सक्षम करना है। चरण 1 चरण इस प्रकार हैं:

  1. Photobucket से एक फ़ोटो अपलोड करता है।
  2. एक्सप्लॉइट लॉन्च किए जाते हैं, और मेटाडाटा का उपयोग आईपी पते को कॉल करने के लिए किया जाता है।
  3. वायरस सर्वर से जुड़ता है और एक दुर्भावनापूर्ण प्रोग्राम को डाउनलोड करता है, जिसके बाद यह स्वचालित रूप से इसे निष्पादित करता है।

जैसा कि शोधकर्ताओं की रिपोर्ट है, संक्रमण के पहले चरण के साथ अलग URL के रूप में, नकली फोटो-ऑब्जेक्ट उपयोगकर्ताओं के पुस्तकालय हैं:

  • com / उपयोगकर्ता / nikkireed11 / पुस्तकालय
  • com / उपयोगकर्ता / kmila302 / पुस्तकालय
  • com / उपयोगकर्ता / lisabraun87 / पुस्तकालय
  • com / उपयोगकर्ता / eva_green1 / पुस्तकालय
  • com / उपयोगकर्ता / monicabelci4 / पुस्तकालय
  • com / उपयोगकर्ता / katyperry45 / पुस्तकालय
  • com / उपयोगकर्ता / saragray1 / पुस्तकालय
  • com / उपयोगकर्ता / मिलरफ्रेड / पुस्तकालय
  • com / उपयोगकर्ता / jeniferaniston1 / पुस्तकालय
  • com / उपयोगकर्ता / amandaseyfried1 / पुस्तकालय
  • com / उपयोगकर्ता / suwe8 / पुस्तकालय
  • com / उपयोगकर्ता / bob7301 / पुस्तकालय

जैसे ही संक्रमण का दूसरा चरण शुरू होता है, वीपीएनफिल्टर मैलवेयर की वास्तविक क्षमताएं अधिक व्यापक हो जाती हैं। इनमें निम्नलिखित क्रियाओं में वायरस का उपयोग शामिल है:

  • एक सी और सी सर्वर से जोड़ता है।
  • टोर, पीएस और अन्य प्लगइन्स करता है।
  • दुर्भावनापूर्ण कार्य करता है जिसमें डेटा संग्रह, कमांड निष्पादन, फ़ाइल चोरी, डिवाइस प्रबंधन शामिल है।
  • आत्म-विनाश की गतिविधियों को करने में सक्षम।

आईपी ​​एड्रेस संक्रमण के दूसरे चरण के साथ संबद्ध:

  • 121, 109, 209
  • 12.202.40
  • 242.222.68
  • 118, 242, 124
  • 151.209.33
  • 79.179.14
  • 214, 203, 144
  • 211, 198, 231
  • 154.180.60
  • 149.250.54
  • 200.13.76
  • 185.80.82
  • 210, 180, 229

इन दो चरणों के अलावा, सिस्को तलोस के साइबर सुरक्षा के शोधकर्ताओं ने एक चरण 3 सर्वर पर भी रिपोर्ट किया, जिसका उद्देश्य अभी भी अज्ञात है।

कमजोर राउटर

हर राउटर VPNFilter से पीड़ित नहीं हो सकता है। सिमेंटेक विस्तार से वर्णन करता है कि कौन से रूटर्स असुरक्षित हैं। आज, VPNFilter Linksys, MikroTik, Netgear, और TP-Link राउटर, साथ ही QNAP नेटवर्क-संलग्न (NAS) उपकरणों को संक्रमित कर सकता है। इनमें शामिल हैं:

  • Linksys e1200
  • Linksys E2500
  • Linksys WRVS4400N
  • मिकरोटिक राउटर (क्लाउड कोर संस्करणों के साथ 1016, 1036 और 1072 के लिए)
  • नेटगियर DGN2200
  • नेटगियर r6400
  • नेटगियर R7000
  • नेटगियर R8000
  • नेटगियर WNR1000
  • नेटगियर WNR2000
  • QNAP TS251
  • QNAP TS439 प्रो
  • QTS सॉफ्टवेयर के साथ अन्य QNAP NAS डिवाइस
  • टीपी-लिंक आर 600 वीपीएन

यदि आपके पास उपरोक्त में से कोई भी उपकरण है, तो VPNFilter को हटाने के अपडेट और सुझावों के लिए अपने निर्माता के समर्थन पृष्ठ की जांच करें। अधिकांश निर्माताओं के पास पहले से ही एक फर्मवेयर अपडेट है जो आपको वीपीएफलेटर अटैक वेक्टर्स से पूरी तरह से रक्षा करना चाहिए।

यह कैसे निर्धारित किया जाए कि राउटर संक्रमित है

कैस्परस्की एंटी-वायरस की मदद से भी राउटर के संक्रमण की डिग्री निर्धारित करना असंभव है। सभी अग्रणी विश्व कंपनियों के आईटी विशेषज्ञों ने अभी तक इस समस्या का समाधान नहीं किया है। केवल सिफारिशें जो वे अब तक की पेशकश कर सकते हैं वे डिवाइस को फ़ैक्टरी सेटिंग्स पर रीसेट करने के लिए हैं।

रूटर को रीबूट करने से वीपीएनफिल्टर संक्रमण से छुटकारा पाने में मदद मिलेगी

राउटर को फिर से शुरू करने से केवल पहले दो चरणों में वायरस के विकास को रोकने में मदद मिलेगी। इसमें अभी भी मैलवेयर के निशान हैं, जो धीरे-धीरे राउटर को संक्रमित करेगा। समस्या को हल करने से डिवाइस को फ़ैक्टरी सेटिंग्स पर रीसेट करने में मदद मिलेगी।

VPNFilter को कैसे निकालें और अपने राउटर या NAS की सुरक्षा कैसे करें

सिमेंटेक की सिफारिशों के अनुसार, आपको डिवाइस को पुनरारंभ करने की आवश्यकता है, और फिर अपडेट करने और चमकाने के लिए आवश्यक किसी भी कार्रवाई को तुरंत लागू करें। यह आसान लगता है, लेकिन, फिर से, लगातार सॉफ्टवेयर और फर्मवेयर अपडेट की कमी साइबर हमलों का सबसे आम कारण है। नेटगियर किसी भी रिमोट कंट्रोल सुविधाओं को अक्षम करने के लिए अपने उपकरणों के उपयोगकर्ताओं को सलाह देता है। Linksys हर कुछ दिनों में कम से कम एक बार अपने उपकरणों को फिर से शुरू करने की सलाह देता है।

अपने राउटर की सरल सफाई और रीसेट करना हमेशा समस्या को पूरी तरह से खत्म नहीं करता है, क्योंकि मैलवेयर एक जटिल खतरा पैदा कर सकता है जो आपके राउटर की फर्मवेयर वस्तुओं को गहराई से प्रभावित कर सकता है। इसीलिए पहला कदम यह जांचना है कि क्या आपका नेटवर्क इस मैलवेयर के संपर्क में आया है या नहीं। सिस्को के शोधकर्ता निम्नलिखित चरणों को पूरा करके इसकी जोरदार अनुशंसा करते हैं:

  1. "VPNFilter C2" नाम के साथ मेजबानों का एक नया समूह बनाएं और इसे जावा यूआई के माध्यम से बाहरी मेजबानों के नीचे स्थित करें।
  2. उसके बाद, पुष्टि करें कि समूह आपके डिवाइस पर समूह के "संपर्क" की जांच करके डेटा का आदान-प्रदान कर रहा है।
  3. यदि कोई सक्रिय ट्रैफ़िक नहीं है, तो शोधकर्ता नेटवर्क प्रशासकों को एक प्रकार का डिस्कनेक्ट सिग्नल बनाने की सलाह देते हैं, जो कि एक इवेंट बनाकर और वेब-आधारित उपयोगकर्ता इंटरफ़ेस में एक होस्ट का चयन करते ही, जैसे ही होस्ट्स के एक समूह में ट्रैफ़िक होता है।

अभी आपको राउटर को रिबूट करना होगा। ऐसा करने के लिए, बस इसे 30 सेकंड के लिए बिजली की आपूर्ति से डिस्कनेक्ट करें, फिर इसे वापस प्लग करें।

अगला चरण आपके राउटर को रीसेट करना है। यह कैसे करना है इसकी जानकारी बॉक्स में मैनुअल या निर्माता की वेबसाइट पर पाई जा सकती है। जब आप अपने राउटर को पुनः लोड करते हैं, तो आपको यह सुनिश्चित करने की आवश्यकता होती है कि इसका फर्मवेयर संस्करण नवीनतम है। फिर, अपने राउटर के साथ आए डॉक्यूमेंट का संदर्भ लें कि इसे कैसे अपडेट किया जाए।

महत्वपूर्ण। प्रशासन के लिए कभी भी डिफ़ॉल्ट उपयोगकर्ता नाम और पासवर्ड का उपयोग न करें। एक ही मॉडल के सभी राउटर इस नाम और पासवर्ड का उपयोग करेंगे, जिससे सेटिंग्स को बदलना या मैलवेयर इंस्टॉल करना आसान हो जाता है।

मजबूत फ़ायरवॉल के बिना इंटरनेट का उपयोग कभी न करें। जोखिम में एफ़टीपी सर्वर, एनएएस सर्वर, Plex सर्वर हैं। कभी भी दूरस्थ प्रशासन को सक्षम न रखें। यह सुविधाजनक हो सकता है यदि आप अक्सर अपने नेटवर्क से बहुत दूर हैं, लेकिन यह एक संभावित भेद्यता है जो हर हैकर शोषण कर सकता है। हमेशा अप टू डेट रहें। इसका मतलब है कि आपको नियमित रूप से नए फर्मवेयर की जांच करनी चाहिए और अपडेट जारी होने पर इसे फिर से स्थापित करना चाहिए।

अगर मेरी डिवाइस सूची में नहीं है, तो क्या मुझे राउटर की सेटिंग्स को रीसेट करने की आवश्यकता है

जोखिम समूह में राउटर के डेटाबेस को दैनिक रूप से अपडेट किया जाता है, इसलिए राउटर को रीसेट करना नियमित रूप से निष्पादित किया जाना चाहिए। निर्माता की वेबसाइट पर फर्मवेयर अपडेट के लिए जाँच करें और सामाजिक नेटवर्क में अपने ब्लॉग या पोस्ट का पालन करें।