Mis on CryptoLocker ja kuidas seda vältida - juhend Semalt

CryptoLocker on lunavara. Lunavara ärimudel on raha väljapressimine internetikasutajatelt. CryptoLocker edendab kurikuulsa pahatahtliku õelvara "Police Virus" välja töötatud trendi, mis palub Interneti-kasutajatel oma seadmete lukust vabastamise eest raha maksta. CryptoLocker kaaperdab olulised dokumendid ja failid ning teavitab kasutajaid maksma lunaraha kindlaksmääratud aja jooksul.

Semalt Digital Services kliendi edujuht Jason Adler tegeleb CryptoLockeri turvalisusega ja pakub välja mõned kaalukad ideed selle vältimiseks.

Pahavara installimine

CryptoLocker rakendab sotsiaaltehnoloogia strateegiaid, et petta Interneti-kasutajaid selle alla laadimiseks ja käitamiseks. E-posti kasutaja saab teate, millel on parooliga kaitstud ZIP-fail. Väidetavalt pärineb e-post logistikaäris tegutsevalt organisatsioonilt.

Troojalane käivitub, kui e-posti kasutaja avab ZIP-faili näidatud parooliga. CryptoLockeri tuvastamine on keeruline, kuna see kasutab ära Windowsi vaikeolekut, mis ei näita faili nime pikendust. Kui ohver käitab pahavara, teeb troojalane mitmesuguseid tegevusi:

a) Troojalane salvestab end kasutaja profiilis asuvasse kausta, näiteks LocalAppData.

b) Troojalane tutvustab registri võtit. See toiming tagab selle käivitamise arvuti käivitamise ajal.

c) See põhineb kahel protsessil. Esimene on peamine protsess. Teine on põhiprotsessi lõpetamise ärahoidmine.

Failide krüptimine

Troojalane tekitab juhusliku sümmeetrilise võtme ja rakendab seda kõigile krüptitud failidele. Faili sisu krüptitakse AES algoritmi ja sümmeetrilise võtme abil. Seejärel krüpteeritakse juhuslik võti asümmeetrilise võtme krüptimisalgoritmi (RSA) abil. Klahvid peaksid olema ka rohkem kui 1024 bitti. On juhtumeid, kui krüpteerimisprotsessis kasutati 2048 bitist võtit. Troojalane tagab, et privaatse RSA võtme pakkuja saab juhusliku võtme, mida kasutatakse faili krüptimisel. Üleskirjutatud faile pole kohtuekspertiisi abil võimalik kätte saada.

Pärast käivitamist saab troojalane C&C serverist avaliku võtme (PK). Aktiivse C&C serveri leidmisel kasutab troojalane juhuslike domeeninimede loomiseks domeeni genereerimise algoritmi (DGA). DGA-d nimetatakse ka "Mersenne twisteriks". Algoritm rakendab praegust kuupäeva seemnena, mis võib päevas toota üle 1000 domeeni. Loodud domeenid on erineva suurusega.

Troojalane laadib PK alla ja salvestab selle HKCUSoftwareCryptoLockerPublic Key alla. Troojalane hakkab kõvakettal olevate failide ja kasutaja avatavate võrgufailide krüptimist. CryptoLocker ei mõjuta kõiki faile. See sihib ainult mittetäidetavaid faile, mille laiendid on pahavara koodis näidatud. Need faililaiendid hõlmavad * .odt, * .xls, * .pptm, * .rft, * .pem ja * .jpg. Samuti logib CryptoLocker sisse kõik failid, mis on krüptitud tarkvara HKEY_CURRENT_USERStarkvaraCryptoLockerFiles jaoks.

Pärast krüptimisprotsessi näitab viirus teadet, mis taotleb lunaraha maksmist määratud aja jooksul. Makse tuleks teha enne privaatvõtme hävitamist.

CryptoLockeri vältimine

a) E-posti kasutajad peaksid tundmatute isikute või organisatsioonide sõnumite suhtes kahtlema.

b) Interneti-kasutajad peaksid pahavara või viiruse rünnaku tuvastamise hõlbustamiseks peidetud faililaiendid keelama.

c) Olulisi faile tuleks hoida varusüsteemis.

d) Kui failid nakatuvad, ei tohiks kasutaja lunaraha maksta. Pahavara arendajaid ei tohiks kunagi premeerida.