تاوان طلب کرنے والے مال ویئر پہلے سے زیادہ طاقتور ہوگئے ہیں

سکیوریٹی ماہرین نے خبردار کیا ہے کہ تاوان طلب کرنے والے مال ویئر (Ransomware) فائلیں انکرپٹ کرنے کی اپنی صلاحیت کو زیادہ طاقتور اور انفیکشن پھیلانے کے نت نئے طریقے اختیار کررہے ہیں جس سے ان حملوں سے بچاؤ مشکل ہوتا جارہا ہے۔

ونڈوز کے صارفین کے لئے CryptoWall کی شکل میں سب سے بڑا اور خطرناک رینسم ویئر موجود ہے۔ یہ انتہائی طاقتور رینسم ویئر ہے جو کئی مختلف اقسام کی فائلوں کو انکرپٹ (encrypt) کردیتا ہے اور متاثرہ صارف سے انکرپٹ فائلوں کو دوبارہ بحال کرنے کے لئے تاوان طلب کرتا ہے۔ یہ تاوان صرف بٹ کوائنز کی شکل میں وصول کیا جاتا ہے۔ کرپٹو وال خفیہ کاری کا جو الگورتھم استعمال کرتا ہے وہ ناقابل تسخیر ہے اور اس رینسم ویئر کو بنانے والوں نے اس کے کمانڈ اینڈ کنٹرول سرور کو Tor اور I2P نیٹ ورکس پر چھپا رکھا ہے۔ یہی وجہ ہے کہ سکیوریٹی محققین اور قانون نافذ کرنے والے ادارے کرپٹو وال کے کمانڈ اینڈ کنٹرول سرور کا پتا لگانے میں تادم تحریر ناکام ہیں اور کرپٹو وال کے متاثرین کی تعداد بڑھتی ہی جارہی ہے ۔

کرپٹو وال کا ورژن 3، ماہ جنوری میں ریلیز کیا گیا تھا اور اس میں کئی اہم تبدیلیاں کی گئی ہیں۔ اب یہ پہلے سے زیادہ خطرناک ہے۔ گزشتہ ورژن میں ونڈوز کی ایک خامی جسے Privilege escalation exploit کہا جاتا ہے، کا فائدہ اٹھاتے ہوئے کرپٹو وال کو ونڈوز پر زیادہ سے زیادہ اختیار رکھنے والے یوزر اکاؤنٹ سے چلایا جاتا تھا۔ اس طرح کرپٹو وال متاثرہ ونڈوز پر موجود سکیوریٹی سافٹ ویئر یا خصوصیات کو غیر فعال کرلیتا تھا۔ نئے ورژن میں ونڈوز کی خرابیوں پر انحصار کے بجائے drive-by download کا طریقہ کار اختیار کیا گیا ۔ drive-by download حملے میں شکار کو کسی مخصوص ویب سائٹ جسے حملہ آوروں نے پہلے ہی متاثر کررکھا ہوتا ہے، بھیجا جاتا ہے۔ اس کےلئے عموماً دل دلبھانے والے اشتہارات کا سہارا لیا جاتا ہے۔ جیسے ہی شکار متاثرہ ویب سائٹ پر جاتا ہے، حملہ آور شکار کے ویب براؤزر یا اس میں شامل plug-ins مثلاً فلیش پلیئر، جاوا، ایڈوبی ریڈر، سلور لائٹ وغیرہ کی خامیوں کا فائدہ اُٹھا کر ونڈوز کو متاثر کردیتے ہیں۔اس حملے کے لئے exploit kits کہلانے والے ٹولز استعمال کئے جاتے ہیں جن میں ونڈوز پر زیادہ سے زیادہ اختیارات حاصل کرنے کی صلاحیت ہوتی ہے۔

تاہم رینسم ویئر کے بنانے والوں نے انفکیشن پھیلانے کے عمومی طریقوں کا استعمال بھی جاری رکھا ہوا ہے۔ اینٹی وائرس بنانے والے کمپنی ایف سیکیور کے مطابق انہوں نے CTB-Lockerکہلانے والے رینسم ویئر سے متاثر ہونے والے کمپیوٹروں کی تعداد میں اضافہ نوٹ کیا ہے۔ یہ رینسم ویئر ای میل اٹیچمنٹ کی شکل میں پھیلایا جاتا ہے۔ شکار کو ای میل میں ایک زِپ فائل بھیجی جاتی ہے۔ اس زپ فائل کے اندر ایک اور زِپ فائل ہوتی ہے جس میں .scr یا .cab ایکسٹینشن رکھنے والے فائلیں ہوتی ہیں۔ ان میں سے کسی بھی فائل کو چلانے پر CTB-Locker اپنا کام شروع کردیتا ہے۔

کرپٹو وال کی طرح سی ٹی بی لاکر بھی خفیہ کاری کا انتہائی طاقتور الگورتھم استعمال کرتا ہے۔ ان دونوں کی انکرپٹ کی ہوئی فائلوں کو بحال کرنے کے لئے تاوان دینے کے علاوہ کوئی چارہ نہیں۔ سی ٹی بی 3بٹ کوائن (تقریباً 650 امریکی ڈالر) طلب کرتاہے اور کرپٹو وال 500 امریکی ڈالر کے برابر بٹ کوائن کا تاوان مانگتا ہے۔
اینڈروئیڈ کے صارفین بھی ان خطرناک رینسم ویئر سے بچے ہوئے نہیں ہیں۔ Simplocker اینڈروئیڈ پر مبنی فون کر انکرپٹ کردیتا ہے ۔ اسے پھیلانے کا طریقہ بھی drive-by download جیسا ہی ہے کہ صارف کو ایک ویب سائٹ پر بھیجا جاتا ہے جہاں اسے بتایا جاتا ہے کہ اس کے فون میں فلیش پلیئر نصب نہیں ہے اور دیئے ہوئے ربط پر کلک کرکے فلیش پلیئر ڈاؤن لوڈ کیا جاسکتا ہے۔ اس ربط پر کلک کرنے سے فلیش پلیئر نہیں بلکہ سِمپ لاکر ڈاؤن لوڈ اور نصب ہوجاتا ہے۔ نصب ہونے کے بعد یہ فون کو لاک کردیتا ہے اور صارف کو بتاتا ہے کہ فون کو unlockکرنے کے لئے اسے 200 ڈالر تاوان دینا ہوگا۔

شروع میں جب سمپ لاکر نے اینڈروئیڈ فون متاثر کرنا شروع کئے تو اس مال ویئر کے بنانے والوں پر خوب ہنسا گیا۔ اینٹی مال ویئر بنانے والے ماہرین نے پتا لگایا کہ سمپ لاکر جس اینڈروئیڈ فون کو متاثر کرتا ہے، اس کی انکرپٹ فائلوں کو صرف ایک ہی کلید (key) سے کھولا جاسکتا ہے اور یہ کلید سمپ لاکر میں ہی موجود ہوتی ہے۔ اس لئے متاثرہ فائلوں کو ٹھیک کرنا بے حد آسان تھا۔ لیکن جلد ہی سمپ لاکر بنانے والے نئے ورژن کے ساتھ میدان میں اُتر آئے اور اب جو اینڈروئیڈ فون اس مال ویئر سے متاثر ہوتے ہیں ، ان تمام کے لئے منفرد سکیوریٹی کلید بنائی جاتی ہے۔ لہٰذا نئے ورژن سے متاثرہ فائلیں بحال کرنا ممکن نہیں ہوتا۔ جو اینڈروئیڈ فون سمپ لاکر سے متاثر ہوجاتا ہے، اس پر ایک پیغام جس کے بارے میں رینسم ویئر جھوٹا دعویٰ کرتا ہے کہ وہ ایف بی آئی کی جانب سے ہے، میں صارف کو بتایا جاتا ہے کہ اس کے فون میں غیر قانونی مواد پایا گیا ہے اس لئے اسے لاک کردیا گیا ہے۔

ماہرین نے خبردار کیا ہے کہ جس چالاکی سے رینسم ویئر کو بد سے بدتر بنایا جارہا ہے، اس کو دیکھتے ہوئے صارفین کو چاہئے کہ اپنے قیمتی ڈیٹا کا لازمی طور پر بیک اپ ایسی جگہ پر رکھیں جو کہ ان کے زیر استعمال کمپیوٹر سے منسلک نہ ہو۔ یعنی کمپیوٹر سے ہر وقت جڑی رہنے والے فلیش ڈرائیو بیک اپ بنانے کے لئے مناسب نہیں کیونکہ اگر کمپیوٹر میں رینسم ویئر آگیا تو وہ کمپیوٹر سے جڑی ہر اسٹوریج ڈیوائس کی فائلوں کو انکرپٹ کردے گا۔ خوش آئند بات یہ ہے کہ تمام جدید اینٹی وائرس رینسم ویئر سے مناسب بچاؤ فراہم کرتے ہیں۔ اس لئے ہمیشہ اپنے اینٹی وائرس کو اپ ڈیٹ رکھیں۔

یہ تحریر فروری 2015ء کے شمارے میں شائع ہوئی تھی۔

Comments are closed.