Mi a CryptoLocker és hogyan lehet elkerülni - a Semalt útmutatója

A CryptoLocker egy váltságdíjas program. A ransomware üzleti modellje az, hogy pénz kiszabadítson az internethasználóktól. A CryptoLocker elősegíti a hírhedt "Police Virus" rosszindulatú program által kifejlesztett tendenciát, amely arra kéri az internethasználókat, hogy fizessenek pénzt az eszközök felszabadításáért. A CryptoLocker eltéríti a fontos dokumentumokat és fájlokat, és tájékoztatja a felhasználókat, hogy a megadott időtartamon belül fizetsék meg a váltságdíjat.

Jason Adler, a Semalt Digital Services ügyfél-menedzserét fejleszti a CryptoLocker biztonságával kapcsolatban, és néhány vonzó ötletet nyújt annak elkerülésére.

Malware telepítése

A CryptoLocker társadalmi mérnöki stratégiákat alkalmaz az internetes felhasználók becsapására, hogy letöltsék és futtassák. Az e-mail felhasználó üzenetet kap, amely jelszóval védett ZIP fájlt tartalmaz. Az e-mail állítólag egy logisztikai üzleti vállalkozástól származik.

A trójai akkor fut, amikor az e-mail felhasználó a megadott jelszóval megnyitja a ZIP fájlt. A CryptoLocker észlelése kihívást jelent, mivel kihasználja a Windows alapértelmezett állapotát, amely nem jelzi a fájlnévkiterjesztést. Amikor az áldozat futtatja a rosszindulatú szoftvert, a trójai különféle tevékenységeket hajt végre:

a) A trójai a felhasználói profilban található mappába menti magát, például a LocalAppData mappába.

b) A trójai bevezet egy kulcsot a nyilvántartásba. Ez a művelet biztosítja, hogy fut a számítógép indításakor.

c) Két folyamaton alapul. Az első a fő folyamat. A második a fő folyamat lezárásának megakadályozása.

Fájl titkosítása

A trójai előállítja a véletlenszerű szimmetrikus kulcsot, és minden titkosított fájlra alkalmazza. A fájl tartalma az AES algoritmus és a szimmetrikus kulcs segítségével titkosítva. A véletlenszerű kulcsot ezután az aszimmetrikus kulcs titkosítási algoritmus (RSA) segítségével titkosítják. A kulcsoknak 1024 bitnél is nagyobbnak kell lenniük. Vannak esetek, amikor 2048 bites kulcsokat használtak a titkosítási folyamatban. A trójai biztosítja, hogy a magán RSA kulcs szolgáltatója megkapja a véletlenszerű kulcsot, amelyet a fájl titkosításában használnak. A felülírt fájlokat a kriminalisztikai megközelítés segítségével nem lehet letölteni.

A futtatás után a trójai megkapja a nyilvános kulcsot (PK) a C&C szerverről. Az aktív C&C szerver lokalizálásában a trójai a tartománygenerációs algoritmust (DGA) használja a véletlenszerű tartománynevek előállításához. A DGA-t "Mersenne twister" -nek is nevezik. Az algoritmus az aktuális dátumot alkalmazza olyan vetőmagként, amely naponta több mint 1000 domaint képes előállítani. A generált tartományok különböző méretűek.

A trójai letölti a PK-t, és elmenti a HKCUSoftwareCryptoLockerPublic kulcsba. A trójai megkezdi a merevlemezen lévő fájlok és a felhasználó által megnyitott hálózati fájlok titkosítását. A CryptoLocker nem érinti az összes fájlt. Csak azokat a nem végrehajtható fájlokat célozza meg, amelyek kiterjesztései vannak a rosszindulatú programok kódjában. Ezek a fájlkiterjesztések a következőket tartalmazzák: * .odt, * .xls, * .pptm, * .rft, * .pem és * .jpg. Ezenkívül a CryptoLocker minden olyan fájlba bejelentkezik, amelyet a HKEY_CURRENT_USERSoftwareCryptoLockerFiles titkosított.

A titkosítási folyamat után a vírus üzenetet jelenít meg, amely kéri a váltságdíj kifizetését a megadott időtartamon belül. A fizetést a privát kulcs megsemmisítése előtt kell megtenni.

Kerülje el a CryptoLocker alkalmazást

a) Az e-mail felhasználóknak gyanakvónak kell lenniük ismeretlen személyek vagy szervezetek üzeneteitől.

b) Az Internet-felhasználóknak le kell tiltaniuk a rejtett fájlkiterjesztéseket, hogy javítsák a rosszindulatú programok vagy a vírusok támadásainak azonosítását.

c) A fontos fájlokat biztonsági mentési rendszerben kell tárolni.

d) Ha a fájlok megfertőződnek, a felhasználónak nem kell megfizetnie a váltságdíjat. A rosszindulatú programok fejlesztõit soha nem szabad jutalmazni.