Co to jest CryptoLocker i jak tego uniknąć - wytyczne od firmy Semalt

CryptoLocker to oprogramowanie ransomware. Model biznesowy oprogramowania ransomware polega na wyłudzaniu pieniędzy od użytkowników Internetu. CryptoLocker wzmacnia trend opracowany przez niesławne złośliwe oprogramowanie „Police Virus”, które prosi internautów o płacenie za odblokowanie urządzeń. CryptoLocker przechwytuje ważne dokumenty i pliki i informuje użytkowników, aby zapłacili okup w określonym czasie.

Jason Adler, Customer Success Manager firmy Semalt Digital Services, opracowuje zabezpieczenia CryptoLocker i przedstawia kilka przekonujących pomysłów, jak tego uniknąć.

Instalacja złośliwego oprogramowania

CryptoLocker stosuje strategie inżynierii społecznej, aby nakłonić internautów do pobrania i uruchomienia go. Użytkownik poczty e-mail otrzymuje wiadomość z plikiem ZIP chronionym hasłem. Wiadomość e-mail prawdopodobnie pochodzi od organizacji działającej w branży logistycznej.

Trojan działa, gdy użytkownik poczty e-mail otwiera plik ZIP przy użyciu wskazanego hasła. Wykrywanie CryptoLocker jest trudne, ponieważ wykorzystuje domyślny status systemu Windows, który nie wskazuje rozszerzenia nazwy pliku. Gdy ofiara uruchamia złośliwe oprogramowanie, trojan wykonuje różne działania:

a) Trojan zapisuje się w folderze znajdującym się w profilu użytkownika, na przykład LocalAppData.

b) Trojan wprowadza klucz do rejestru. Ta akcja zapewnia, że będzie działać podczas procesu uruchamiania komputera.

c) Działa w oparciu o dwa procesy. Pierwszy to główny proces. Drugim jest zapobieganie zakończeniu głównego procesu.

Szyfrowanie plików

Trojan wytwarza losowy klucz symetryczny i stosuje go do każdego zaszyfrowanego pliku. Zawartość pliku jest szyfrowana za pomocą algorytmu AES i klucza symetrycznego. Klucz losowy jest następnie szyfrowany przy użyciu algorytmu szyfrowania asymetrycznego klucza (RSA). Klucze powinny mieć także więcej niż 1024 bity. Są przypadki, w których w procesie szyfrowania użyto 2048 bitów. Trojan zapewnia, że dostawca prywatnego klucza RSA otrzyma losowy klucz, który jest wykorzystywany do szyfrowania pliku. Nie można odzyskać zastąpionych plików przy użyciu podejścia kryminalistycznego.

Po uruchomieniu trojan pobiera klucz publiczny (PK) z serwera C&C. Lokalizując aktywny serwer C&C, trojan wykorzystuje algorytm generowania domen (DGA) do tworzenia losowych nazw domen. DGA jest również określane jako „twister Mersenne”. Algorytm stosuje bieżącą datę jako ziarno, które może produkować ponad 1000 domen dziennie. Wygenerowane domeny mają różne rozmiary.

Trojan pobiera PK i zapisuje go w kluczu HKCUSoftwareCryptoLockerPublic. Trojan zaczyna szyfrować pliki na dysku twardym oraz pliki sieciowe otwierane przez użytkownika. CryptoLocker nie wpływa na wszystkie pliki. Jego celem są tylko pliki niewykonywalne, które mają rozszerzenia przedstawione w kodzie złośliwego oprogramowania. Te rozszerzenia plików to * .odt, * .xls, * .pptm, * .rft, * .pem i * .jpg. Ponadto CryptoLocker loguje się w każdym pliku, który został zaszyfrowany w plikach HKEY_CURRENT_USERSoftwareCryptoLocker.

Po zakończeniu procesu szyfrowania wirus wyświetla komunikat z żądaniem zapłaty okupu w określonym czasie. Płatności należy dokonać przed zniszczeniem klucza prywatnego.

Unikanie CryptoLocker

a) Użytkownicy poczty e-mail powinni być podejrzliwi wobec wiadomości od nieznanych osób lub organizacji.

b) Użytkownicy Internetu powinni wyłączyć ukryte rozszerzenia plików, aby poprawić identyfikację złośliwego oprogramowania lub ataku wirusa.

c) Ważne pliki powinny być przechowywane w systemie kopii zapasowych.

d) Jeśli pliki zostaną zainfekowane, użytkownik nie powinien płacić okupu. Twórcy szkodliwego oprogramowania nigdy nie powinni być nagradzani.

mass gmail