رینسم ویئر حملے کو کیسے ہینڈل کیا جائے - IBM بلاگ

یہ وہ خبر ہے جو کوئی بھی تنظیم نہیں سننا چاہتی- آپ ایک کا شکار ہوئے ہیں۔ ransomware کے حملہ، اور اب آپ سوچ رہے ہیں کہ آگے کیا کرنا ہے۔ 

ذہن میں رکھنے کی پہلی چیز یہ ہے کہ آپ اکیلے نہیں ہیں۔ تمام سائبر حملوں میں سے 17 فیصد سے زیادہ میں رینسم ویئر شامل ہے۔- کی ایک قسم میلویئر جو شکار کے ڈیٹا یا ڈیوائس کو لاک رکھتا ہے جب تک کہ شکار ہیکر کو تاوان ادا نہ کرے۔ ایک حالیہ تحقیق میں سروے کیے گئے 1,350 تنظیموں میں سے، 78 فیصد کو رینسم ویئر کے کامیاب حملے کا سامنا کرنا پڑا (لنک ibm.com سے باہر رہتا ہے)۔

رینسم ویئر کے حملے نیٹ ورکس یا آلات کو متاثر کرنے کے لیے کئی طریقوں، یا ویکٹرز کا استعمال کرتے ہیں، بشمول لوگوں کو دھوکہ دہی سے نقصان دہ لنکس پر کلک کرنے کے لیے فشنگ ای میلز اور سافٹ ویئر اور آپریٹنگ سسٹمز میں کمزوریوں کا استحصال کرنا، جیسے ریموٹ رسائی۔ سائبر کرائمینز عام طور پر بٹ کوائن اور دیگر مشکل سے ٹریس کریپٹو کرنسیوں میں تاوان کی ادائیگی کی درخواست کرتے ہیں، متاثرین کو ان کے آلات کو غیر مقفل کرنے کے لیے ادائیگی پر ڈکرپشن کیز فراہم کرتے ہیں۔

اچھی خبر یہ ہے کہ رینسم ویئر حملے کی صورت میں، کوئی بھی تنظیم حملے پر قابو پانے، حساس معلومات کی حفاظت، اور ڈاؤن ٹائم کو کم کر کے کاروبار کے تسلسل کو یقینی بنانے میں مدد کے لیے بنیادی اقدامات کر سکتی ہے۔

ابتدائی جواب

متاثرہ نظاموں کو الگ تھلگ کریں۔ 

چونکہ رینسم ویئر کی سب سے عام قسمیں پس منظر میں پھیلنے والی کمزوریوں کے لیے نیٹ ورکس کو اسکین کرتی ہیں، اس لیے یہ ضروری ہے کہ متاثرہ سسٹمز کو جلد از جلد الگ تھلگ کیا جائے۔ کسی بھی متاثرہ یا ممکنہ طور پر متاثرہ ڈیوائس کے لیے ایتھرنیٹ کو منقطع کریں اور وائی فائی، بلوٹوتھ اور دیگر نیٹ ورک کی صلاحیتوں کو غیر فعال کریں۔

غور کرنے کے لئے دو دیگر اقدامات: 

• دیکھ بھال کے کاموں کو بند کرنا۔ فوری طور پر خودکار کاموں کو غیر فعال کر دیں — جیسے، عارضی فائلوں کو حذف کرنا یا لاگز کو گھمانا — متاثرہ نظام۔ یہ کام فائلوں میں مداخلت کر سکتے ہیں اور رینسم ویئر کی تفتیش اور بازیابی کو روک سکتے ہیں۔ 
• بیک اپس کو منقطع کرنا۔ چونکہ رینسم ویئر کی بہت سی نئی قسمیں ٹارگٹ بیک اپس کو ریکوری کو مشکل بناتی ہیں، اس لیے ڈیٹا بیک اپ کو آف لائن رکھیں۔ بیک اپ سسٹم تک رسائی کو اس وقت تک محدود رکھیں جب تک کہ آپ انفیکشن کو دور نہ کر دیں۔

تاوان کے نوٹ کی تصویر کھینچیں۔

کسی اور چیز کے ساتھ آگے بڑھنے سے پہلے، تاوان کے نوٹ کی ایک تصویر لیں—مثالی طور پر متاثرہ آلے کی اسکرین کو اسمارٹ فون یا کیمرہ جیسے الگ آلے سے فوٹو کھینچ کر۔ تصویر بازیابی کے عمل کو تیز کرے گی اور آپ کی انشورنس کمپنی کے ساتھ پولیس رپورٹ یا ممکنہ دعویٰ دائر کرنے میں مدد کرے گی۔

سیکیورٹی ٹیم کو مطلع کریں۔

ایک بار جب آپ نے متاثرہ سسٹم کو منقطع کر لیا تو اپنے کو مطلع کریں۔ آئی ٹی سیکیورٹی حملے کی ٹیم. زیادہ تر معاملات میں، آئی ٹی سیکیورٹی کے پیشہ ور افراد اگلے اقدامات کے بارے میں مشورہ دے سکتے ہیں اور آپ کی تنظیم کو فعال کر سکتے ہیں۔ واقعہ کا جواب منصوبہ، یعنی سائبر حملوں کا پتہ لگانے اور ان کا جواب دینے کے لیے آپ کی تنظیم کے عمل اور ٹیکنالوجیز۔

متاثرہ آلات کو دوبارہ شروع نہ کریں۔

رینسم ویئر سے نمٹنے کے دوران، متاثرہ آلات کو دوبارہ شروع کرنے سے گریز کریں۔ ہیکرز جانتے ہیں کہ یہ آپ کی پہلی جبلت ہو سکتی ہے، اور کچھ قسم کے ransomware نوٹس دوبارہ شروع کرنے کی کوششیں کرتے ہیں اور اضافی نقصان پہنچاتے ہیں، جیسے Windows کو نقصان پہنچانا یا انکرپٹڈ فائلوں کو حذف کرنا۔ ریبوٹنگ سے رینسم ویئر کے حملوں کی چھان بین کرنا بھی مشکل ہو جاتا ہے — قیمتی اشارے کمپیوٹر کی میموری میں محفوظ ہوتے ہیں، جو دوبارہ شروع ہونے پر صاف ہو جاتے ہیں۔ 

اس کے بجائے، متاثرہ نظاموں کو ہائبرنیشن میں ڈال دیں۔ یہ میموری میں موجود تمام ڈیٹا کو ڈیوائس کی ہارڈ ڈرائیو پر ایک ریفرنس فائل میں محفوظ کر دے گا، اسے مستقبل کے تجزیے کے لیے محفوظ کر دے گا۔

خاتمے کا خاتمہ 

اب جب کہ آپ نے متاثرہ آلات کو الگ کر دیا ہے، آپ ممکنہ طور پر اپنے آلات کو غیر مقفل کرنے اور اپنا ڈیٹا بازیافت کرنے کے خواہشمند ہیں۔ اگرچہ ransomware کے انفیکشنز کا خاتمہ مشکل ہو سکتا ہے، خاص طور پر زیادہ جدید تناؤ، مندرجہ ذیل اقدامات آپ کو بحالی کے راستے پر گامزن کر سکتے ہیں۔ 

حملے کے مختلف قسم کا تعین کریں۔

کئی مفت ٹولز آپ کے آلات کو متاثر کرنے والے رینسم ویئر کی قسم کی شناخت میں مدد کر سکتے ہیں۔ مخصوص تناؤ کو جاننے سے آپ کو کئی اہم عوامل کو سمجھنے میں مدد مل سکتی ہے، بشمول یہ کیسے پھیلتا ہے، کن فائلوں کو لاک کرتا ہے، اور آپ اسے کیسے ہٹا سکتے ہیں۔ صرف انکرپٹڈ فائل کا ایک نمونہ اپ لوڈ کریں اور، اگر آپ کے پاس ہے، تو تاوان کا نوٹ اور حملہ آور کے رابطے کی معلومات۔ 

رینسم ویئر کی دو سب سے عام قسمیں اسکرین لاکرز اور انکرپٹرز ہیں۔ اسکرین لاکرز آپ کے سسٹم کو لاک کر دیتے ہیں لیکن آپ کی فائلوں کو اس وقت تک محفوظ رکھتے ہیں جب تک آپ ادائیگی نہیں کرتے، جبکہ انکرپٹرز کو حل کرنا زیادہ مشکل ہوتا ہے کیونکہ وہ آپ کے تمام حساس ڈیٹا کو ڈھونڈ کر انکرپٹ کرتے ہیں اور تاوان کی ادائیگی کے بعد ہی اسے ڈکرپٹ کرتے ہیں۔ 

ڈکرپشن ٹولز تلاش کریں۔

ایک بار جب آپ نے رینسم ویئر کے تناؤ کی نشاندہی کر لی ہے، تو ڈکرپشن ٹولز تلاش کرنے پر غور کریں۔ اس مرحلے میں مدد کے لیے مفت ٹولز بھی موجود ہیں، بشمول سائٹس کوئی اور رعایت نہیں. بس ransomware سٹرین کے نام پر پلگ لگائیں اور مماثل ڈکرپشن تلاش کریں۔ 

رینسم ویئر کے لیے حتمی گائیڈ ڈاؤن لوڈ کریں۔

شفایابی 

اگر آپ ransomware کے انفیکشن کو ہٹانے میں کافی خوش قسمت رہے ہیں، تو یہ بحالی کا عمل شروع کرنے کا وقت ہے۔

اپنے سسٹم کے پاس ورڈز کو اپ ڈیٹ کرکے شروع کریں، پھر بیک اپ سے اپنا ڈیٹا بازیافت کریں۔ آپ کو ہمیشہ اپنے ڈیٹا کی تین کاپیاں دو مختلف فارمیٹس میں رکھنے کا ہدف رکھنا چاہیے، ایک کاپی اسٹور شدہ آف سائٹ کے ساتھ۔ یہ نقطہ نظر، جسے 3-2-1 اصول کہا جاتا ہے، آپ کو اپنے ڈیٹا کو تیزی سے بحال کرنے اور تاوان کی ادائیگیوں سے بچنے کی اجازت دیتا ہے۔ 

حملے کے بعد، آپ کو سیکیورٹی آڈٹ کرنے اور تمام سسٹمز کو اپ ڈیٹ کرنے پر بھی غور کرنا چاہیے۔ سسٹمز کو اپ ٹو ڈیٹ رکھنے سے ہیکرز کو پرانے سافٹ ویئر میں پائی جانے والی کمزوریوں کا فائدہ اٹھانے سے روکنے میں مدد ملتی ہے، اور باقاعدگی سے پیچ کرنے سے آپ کی مشینیں موجودہ، مستحکم اور مالویئر کے خطرات کے خلاف مزاحم رہتی ہیں۔ آپ اپنے واقعے کے ردعمل کے منصوبے کو سیکھے گئے کسی بھی اسباق کے ساتھ بھی بہتر کرنا چاہیں گے اور اس بات کو یقینی بنائیں گے کہ آپ نے تمام ضروری اسٹیک ہولڈرز کو اس واقعے کی کافی حد تک اطلاع دی ہے۔ 

حکام کو مطلع کرنا 

چونکہ ransomware بھتہ خوری اور جرم ہے، آپ کو ہمیشہ قانون نافذ کرنے والے اہلکاروں یا FBI کو ransomware حملوں کی اطلاع دینی چاہیے۔ 

اگر آپ کی بازیابی کی کوششیں کام نہیں کرتی ہیں تو حکام آپ کی فائلوں کو ڈکرپٹ کرنے میں مدد کر سکتے ہیں۔ لیکن یہاں تک کہ اگر وہ آپ کا ڈیٹا محفوظ نہیں کر پاتے ہیں، تب بھی ان کے لیے سائبر کرائمینل سرگرمی کی فہرست بنانا بہت ضروری ہے اور امید ہے کہ اسی طرح کی قسمت سے بچنے میں دوسروں کی مدد کریں۔ 

ransomware حملوں کے کچھ متاثرین کو بھی قانونی طور پر ransomware کے انفیکشن کی اطلاع دینے کی ضرورت پڑ سکتی ہے۔ مثال کے طور پر، HIPAA کی تعمیل کے لیے عام طور پر صحت کی دیکھ بھال کرنے والے اداروں کی ضرورت ہوتی ہے کہ وہ کسی بھی ڈیٹا کی خلاف ورزی، بشمول ransomware حملوں کی، محکمہ صحت اور انسانی خدمات کو رپورٹ کریں۔

فیصلہ کرنا کہ آیا ادا کرنا ہے۔ 

فیصلہ کرنا تاوان کی ادائیگی کرنا ہے یا نہیں۔ ایک پیچیدہ فیصلہ ہے. زیادہ تر ماہرین کا مشورہ ہے کہ آپ کو ادائیگی کرنے پر صرف اس صورت میں غور کرنا چاہیے جب آپ نے دیگر تمام آپشنز آزمائے ہوں اور ڈیٹا کا نقصان ادائیگی کے مقابلے میں نمایاں طور پر زیادہ نقصان دہ ہو گا۔

آپ کے فیصلے سے قطع نظر، آپ کو آگے بڑھنے سے پہلے ہمیشہ قانون نافذ کرنے والے اہلکاروں اور سائبر سیکیورٹی کے پیشہ ور افراد سے مشورہ کرنا چاہیے۔

تاوان کی ادائیگی اس بات کی ضمانت نہیں دیتی کہ آپ اپنے ڈیٹا تک دوبارہ رسائی حاصل کر لیں گے یا حملہ آور اپنے وعدوں کو پورا کریں گے—متاثرین اکثر تاوان ادا کرتے ہیں، صرف ڈکرپشن کلید حاصل کرنے کے لیے۔ مزید برآں، تاوان کی ادائیگی سائبر جرائم کی سرگرمیوں کو برقرار رکھتی ہے اور سائبر کرائمز کو مزید فنڈ دے سکتی ہے۔

مستقبل میں رینسم ویئر کے حملوں کو روکنا

ای میل سیکیورٹی ٹولز اور اینٹی میلویئر اور اینٹی وائرس سافٹ ویئر رینسم ویئر حملوں کے خلاف دفاع کی اہم پہلی لائنیں ہیں۔

تنظیمیں فائر والز، وی پی این اور جیسے ایڈوانس اینڈ پوائنٹ سیکیورٹی ٹولز پر بھی انحصار کرتی ہیں۔ کثیر عنصر کی تصدیق ڈیٹا کی خلاف ورزیوں کے خلاف دفاع کے لیے ڈیٹا کے تحفظ کی ایک وسیع حکمت عملی کے حصے کے طور پر۔

تاہم، سائبر کرائمین کو حقیقی وقت میں پکڑنے اور کامیاب سائبر حملوں کے اثرات کو کم کرنے کے لیے جدید ترین خطرے کا پتہ لگانے اور واقعے کے ردعمل کی صلاحیتوں کے بغیر کوئی سائبر سیکیورٹی سسٹم مکمل نہیں ہے۔

IBM Security® QRadar® SIEM مشین لرننگ اور صارف کے رویے کے تجزیات (UBA) کو نیٹ ورک ٹریفک پر روایتی لاگز کے ساتھ ساتھ خطرے کی بہتر شناخت اور تیز تر تدارک کے لیے لاگو کرتا ہے۔ Forrester کی ایک حالیہ تحقیق میں، QRadar SIEM نے تین سالوں کے دوران 14,000 گھنٹے سے زیادہ بچانے میں سیکیورٹی تجزیہ کاروں کی مدد کی، جھوٹے مثبت پہلوؤں کی نشاندہی کرکے، واقعات کی تفتیش میں صرف ہونے والے وقت کو 90٪ تک کم کرکے، اور سیکیورٹی کی سنگین خلاف ورزی کا سامنا کرنے کے خطرے کو 60٪ تک کم کیا۔* QRadar کے ساتھ۔ SIEM، وسائل سے تنگ سیکیورٹی ٹیموں کے پاس وہ مرئیت اور تجزیات ہیں جن کی انہیں خطرات کا تیزی سے پتہ لگانے اور حملے کے اثرات کو کم کرنے کے لیے فوری، باخبر کارروائی کرنے کی ضرورت ہے۔

IBM QRadar SIEM کے بارے میں مزید جانیں۔

* دی IBM سیکیورٹی QRadar SIEM کا کل اقتصادی اثر IBM کی جانب سے Forrester Consulting کی طرف سے اپریل 2023 میں ایک کمیشن شدہ مطالعہ کیا گیا ہے۔ 4 انٹرویو کیے گئے IBM صارفین سے تیار کردہ ایک جامع تنظیم کے متوقع نتائج کی بنیاد پر۔ اصل نتائج کلائنٹ کنفیگریشنز اور حالات کی بنیاد پر مختلف ہوں گے اور اس لیے عام طور پر متوقع نتائج فراہم نہیں کیے جا سکتے۔