अगर Russian keyboard इंस्टॉल हो, तो कई ransomware चलना बंद कर देते हैं (2021)

 (krebsonsecurity.com)
4 पॉइंट द्वारा GN⁺ 2025-06-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ज़्यादातर ransomware संक्रमित किए जाने वाले target system पर Russian, Ukrainian जैसी CIS देशों की भाषा का keyboard इंस्टॉल होने पर चलना बंद कर देते हैं
  • यह bypass technique आपराधिक समूहों को अपने ही देश की संस्थाओं या व्यक्तियों को शिकार बनाने से रोकती है, ताकि वे स्थानीय जांच एजेंसियों का ध्यान न खींचें
  • केवल keyboard language बदल देने से सभी malware से बचाव संभव नहीं है; मूल रूप से अलग-अलग security best practices का पालन ज़रूरी है
  • keyboard language जोड़ना आसान है, मुफ़्त है, और इसके side effects लगभग नहीं हैं
  • अगर Russian hackers इसे bypass भी कर लें, तब भी उनका कानूनी जोखिम बढ़ता है, इसलिए यह बचाव के तौर on कुछ हद तक असरदार है

Russian/Ukrainian keyboard इंस्टॉल होने पर ransomware infection रोकने का असर

Keyboard language detection और ransomware का execution रुकना

  • हाल की ransomware हमलों पर Twitter चर्चा में यह बात सामने आई कि बहुत से ransomware में एक built-in safeguard होता है, जो Microsoft Windows पर Russian, Ukrainian जैसी virtual keyboard languages इंस्टॉल होने पर execution रोक देता है
  • यह तरीका मुख्य रूप से पूर्वी यूरोप से आने वाले malware में आम है
  • उदाहरण के लिए, कई ransomware CIS (Commonwealth of Independent States) देशों की भाषाएँ इंस्टॉल होने पर उस system को संक्रमित नहीं करते
  • इसका मुख्य मकसद इन आपराधिक समूहों के लिए अपने ही देश में कानूनी जांच से बचना है

Colonial Pipeline मामला और DarkSide group

  • यह बात Colonial Pipeline ransomware attack पर चर्चा के दौरान खास तौर पर सामने आई
  • यह हमला DarkSide नाम के ransomware-as-a-service group ने किया था, जो मुख्य रूप से बड़े enterprises को target करता था
  • Russia-आधारित आपराधिक संगठनों ने Ukraine, Russia और अन्य पूर्वी यूरोपीय देशों को infection target न बनाने की आंतरिक मनाही रखी हुई थी
  • इस policy का उद्देश्य स्थानीय सरकारों की जांच और दखल से बचना था

Russia और पूर्वी यूरोप में कानूनी ढांचा

  • Russia में आधिकारिक cybercrime investigation आम तौर पर तभी शुरू होती है जब पीड़ित अपने ही देश का नागरिक हो
  • इसलिए अपराधियों के लिए अपने देश के systems को नुकसान न पहुँचाना सबसे सुरक्षित तरीका माना जाता है
  • वास्तव में DarkSide और REvil जैसे कई ransomware groups इस policy का कड़ाई से पालन करते रहे हैं

Code में hardcoded language detection

  • DarkSide और कई अन्य malware CIS देशों की भाषाओं को hardcoded list में रखते हैं, और अगर system पर वे भाषाएँ इंस्टॉल हों तो execute नहीं करते
  • वास्तव में अनगिनत malware system language देखकर तय करते हैं कि चलना है या नहीं

Bypass तरीके की सीमाएँ और वास्तविक असर

  • सिर्फ Russian जैसी CIS keyboard languages इंस्टॉल करने से कुछ ransomware के खिलाफ रोकथाम का असर मिल सकता है
  • लेकिन यह सभी malware के खिलाफ काम नहीं करता, इसलिए multi-layered defense strategy ज़रूरी है
  • language बदलने से होने वाले side effects भी बड़े नहीं हैं। अगर गलती से भाषा बदल जाए, तो Windows+Spacebar से आसानी से switch किया जा सकता है

आगे attackers की strategy बदलने की संभावना

  • कुछ experts का मानना है कि attackers language checking step को छोड़ भी सकते हैं
  • वास्तव में हाल में Mandiant द्वारा analyzed DarkSide version में language check छोड़ा गया था
  • लेकिन ऐसा करने पर अपराधियों का कानूनी जोखिम काफ़ी बढ़ जाता है

Expert comments और 'vaccine effect'

  • Unit221B की Allison Nixon ने समझाया कि Russian hackers इस language check का इस्तेमाल कानूनी सुरक्षा पाने के लिए करते हैं
  • अगर यह language और keyboard जोड़ दिए जाएँ, तो यह एक तरह के 'Russian malware vaccine' जैसा काम कर सकता है
  • अगर यह तरीका बड़े पैमाने पर इस्तेमाल हो, तो अपराधियों के सामने कानूनी सुरक्षा और कमाई के बीच चुनाव की दुविधा खड़ी हो सकती है
  • अपराधियों के लिए, ठीक पश्चिमी security teams की तरह, यह पहचानना मुश्किल हो जाता है कि system सच में स्थानीय है या नहीं

Virtual machine environment detection को bypass करना

  • कुछ Twitter users ने virtual machine होने का संकेत देने वाली registry entries जोड़ने का सुझाव भी दिया
  • पहले यह असरदार था, लेकिन आज कई organizations नियमित रूप से virtual machines इस्तेमाल करती हैं, इसलिए इस technique पर अब भरोसा नहीं किया जाता

Language जोड़ने का आसान तरीका

  • Unit221B के Lance James ने एक 2-line Windows batch script बनाई और साझा की, जो system को ऐसा दिखाती है मानो Russian keyboard इंस्टॉल हो
  • इस script से असली Russian libraries डाउनलोड किए बिना भी infection avoidance effect पाया जा सकता है
  • पारंपरिक तरीके से भी 'Settings → Time & Language → Add a language' के जरिए keyboard language आसानी से जोड़ी जा सकती है
  • अगर language settings बदलने से menu Russian में दिखने लगे, तो Windows+Spacebar से language switch किया जा सकता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-06-30
Hacker News की राय

  • बात यह है कि अगर मैं अपने कंप्यूटर को malware analysis sandbox जैसा दिखा दूँ, तो ज़्यादातर malware analysis से बचने के लिए बंद हो जाता है; यह पूरी चीज़ बिल्ली-चूहे के खेल जैसी लगती है

    • आजकल ज़्यादातर Windows server virtualization environment में चलते हैं, इसलिए यह पहले जितना असरदार न भी हो, फिर भी दूसरे indicators को ध्यान में रखा जा सकता है
    • firmware में VirtualBox string डालने का एक मज़ाकिया सुझाव
    • यह बात पहले भी एक दूसरे Hacker News पोस्ट में आई थी, और कहा गया कि वह इस लिंक में था
    • अब शायद हर workstation पर Ghidra install करनी पड़ेगी, ऐसा मज़ाक
    • ‘अगर मैं अपने कंप्यूटर को sandbox की तरह छिपा दूँ तो बहुत-सा malware analysis से बचने के लिए बंद हो जाएगा’ इस दावे पर जवाब कि यह पूरी तरह अलग चिंता है। ज़ोर इस बात पर कि अगर Russian input method install हो, तो malware कानूनी जोखिम से बचने के लिए बंद हो जाता है

  • राय यह है कि Patya, Fancy Bear, Cozy Bear, Conti जैसे ransomware groups के खिलाफ यह तरीका, यानी Russian keyboard detection, वास्तव में कारगर रहा है; बड़ी वजह यह है कि Russian government अपने नागरिकों को तब तक immunity देती है जब तक वे अपने ही नागरिकों को निशाना न बनाएँ
    साथ ही, यह भी कहा गया कि अगर हमलावरों से Russian में बात की जाए या उन्हें बताया जाए कि आप Russian हैं, तो कभी-कभी वे सिस्टम को मुफ्त में decrypt भी कर देते हैं

    • ‘अपने Russian होने की बात बताने पर free decryption’ AI translation के दौर में कैसे लागू होगा, इस पर जिज्ञासा; साथ ही पुराने Russian shareware developers की याद, जो Russian लोगों को मुफ्त license दे देते थे
    • इस बात पर ज़ोर कि Russian hacker groups ‘don’t piss inside the tent’ नीति को बहुत अच्छी तरह जानते हैं और हर कोई इसे समझता है
    • इशारा कि हकीकत इतनी सरल नहीं हो सकती; Russian लोग हर जगह हो सकते हैं और पीड़ित कंपनी में काम भी कर सकते हैं, लेकिन जब ransom कई मिलियन डॉलर का हो तो सिर्फ Russian होने से शायद कोई नहीं छोड़ेगा; शायद असली Russian ownership साबित करनी पड़े या ‘मेरे पिता FSB में काम करते हैं’ जैसी कोई बात दिखानी पड़े

  • 2000s के आखिर में tech में कमज़ोर दोस्तों के कंप्यूटर से ‘winlocker’ हटाने वाले एक Russian ने अपना अनुभव साझा किया; ये malware सिर्फ files encrypt नहीं करते थे, बल्कि ऐसा window दिखाते थे जिसे बंद नहीं किया जा सकता था और पैसे माँगते थे; ‘adult website quick access widget के लिए धन्यवाद’ जैसे मज़ेदार वाक्य भी दिखते थे

  • लगता है कि ऐसा malware भी ज़रूर होगा जो खास तौर पर Cyrillic keyboard activate किए गए systems को निशाना बनाता हो; यानी Russian environment होना भी हमलावरों के लिए जाँच का एक point है

  • Windows पर सबसे अच्छा anti-malware तरीका यह है कि रोज़मर्रा का default account administrator privileges वाला न होकर एक सामान्य account हो
    अलग से एक local administrator account बनाना चाहिए और उसका password अलग होना चाहिए; software install करना हो या powershell चलाना हो जैसी admin tasks के लिए अलग admin authentication चाहिए, इसलिए अगर कोई suspicious popup दिखे तो वह संकेत होगा कि कुछ गड़बड़ है सामान्य account के लिए साधारण लेकिन बहुत छोटा न होने वाला password रखा जा सकता है, और administrator account के लिए जटिल password; खासकर IT जानकारी न रखने वाले परिवार के लोगों के लिए इसे सुझाया गया

    • इशारा कि administrator privileges के बिना भी malware बहुत कुछ कर सकता है; user के file system तक पहुँचना या internet से जुड़ना लगभग बिना रोक-टोक संभव है, इसलिए यह privilege separation data exfiltration, ransomware, data destruction जैसी चीज़ें नहीं रोकती
    • 2000s की शुरुआत से 2012 तक की बात से सहमति, लेकिन Vista के बाद UAC के हिसाब से malware evolve हो गया, इसलिए सामान्य account में भी वह ठीक से काम कर लेता है; सिर्फ admin privileges न होने से data protection में खास मदद नहीं मिलती। उदाहरण के तौर पर सबसे संवेदनशील काम, खासकर financial काम, अलग physical computer पर करने या Windows में user account separation से data isolation करने की बात; साथ ही Qubes OS जैसे मजबूत isolation-focused OS का उपयोग करना चाहने पर भी अभी न सीख पाने की निजी राय
    • आखिरकार, यह सार कि उपयोगकर्ता जो बता रहा है वही तरीका है जिसे Windows Vista के बाद से User Account Control(UAC) डिफ़ॉल्ट रूप से लागू करता आया है
    • राय कि organized crime वाले ransomware attacks का मुख्य निशाना आम लोग नहीं बल्कि कंपनियाँ होती हैं, इसलिए ransomware से ज़्यादा सामना व्यक्तिगत नहीं बल्कि enterprise environment में होता है। Petya ransomware का उदाहरण देते हुए कहा गया कि केवल सामान्य user privileges होने पर भी अंदरूनी network में administrator sessions hijack करना या domain administrator privileges हासिल करना संभव हो सकता है; admin privileges के बिना भी data delete या encrypt किया जा सकता है, malware छिपाया जा सकता है, और bundled software के साथ आया malware उपयोगकर्ता खुद install कर सकता है
    • xkcd 1200 कॉमिक के लिंक के साथ यह बात कि कई लोगों द्वारा इस्तेमाल होने वाले कंप्यूटर में account separation का मतलब है, लेकिन ज़्यादातर single-user मामलों में admin privilege separation की उपयोगिता सीमित है; व्यावहारिक रूप से personal PC में admin separation hacking रोकने में बहुत मदद नहीं करती

  • 2021 में Brian Krebs द्वारा यह बात सार्वजनिक करने के बाद भी क्या यह तरीका अभी तक काम करता है, इस पर जिज्ञासा

    • दावा कि Russia और North Korea ransomware को वैध आर्थिक गतिविधि मानते हैं, और यह hybrid warfare strategy के हिस्से के रूप में जारी रहेगा
    • यह भी समझाया गया कि मूल रूप से यह कानूनी और law-enforcement का मामला है; जब तक Russian government को नहीं छेड़ा जाता, तब तक एक-दूसरे को न छेड़ने का नियम चलता है। ज़ोर इस बात पर कि Russia की तुलना में America लूट का कहीं बड़ा target market है; 2024 में केवल business email compromise (BEC) से ही America में 2.7 billion dollar का नुकसान हुआ, ऐसा FBI के आँकड़ों के हवाले से कहा गया। साथ ही एक केस साझा किया गया जिसमें Chinese threat actor ने American company में कर्मचारी बनकर घुसपैठ की, अंदरूनी employee discount benefits में कई दसियों हज़ार dollar हड़पे और 1 million dollar का नुकसान कराया
    • FBI 2024 Internet Crime Report लिंक संलग्न

  • सिर्फ इतना कि शीर्षक अपने आप में ही मज़ेदार है; इसमें यह भावना है कि ज़्यादातर ransomware के Russian मूल के होने का अनुमान बहुत स्वाभाविक लगता है

  • यह विचार कि अगर Russian keyboard मौजूद हो तो वह NSA malware के लिए और भी आकर्षक हो सकता है

    • एक trivia कि Russia, China वगैरह संवेदनशील सरकारी और सैन्य संस्थानों में Windows पर रोक लगाते हैं और अपनी Linux distributions इस्तेमाल करते हैं

  • सिर्फ ‘2021’ लिखा हुआ छोटा संदेश

    • जिज्ञासा कि क्या Ukraine को exclusion list से हटा दिया गया था, और इस बात पर ध्यान कि उसका keyboard layout Russian से अलग है

  • जिज्ञासा कि क्या keyboard layout के अलावा, समय बदलने पर timezone और दूसरी कई जानकारियाँ भी साथ में जाँची जाती होंगी