Čo je CryptoLocker a ako sa tomu vyhnúť - usmernenie od spoločnosti Semalt

CryptoLocker je ransomware. Obchodným modelom ransomware je vydieranie peňazí od používateľov internetu. CryptoLocker zvyšuje trend vyvíjaný neslávne známym „policajným vírusom“, ktorý žiada používateľov internetu, aby platili za odomknutie svojich zariadení. CryptoLocker unesie dôležité dokumenty a súbory a informuje používateľov, aby zaplatili výkupné v stanovenej dobe.

Jason Adler, manažér zákazníckeho úspechu Semalt Digital Services, pracuje na zabezpečení CryptoLocker a poskytuje presvedčivé nápady, ako sa tomu vyhnúť.

Inštalácia škodlivého softvéru

CryptoLocker aplikuje stratégie sociálneho inžinierstva na podvádzanie používateľov internetu, aby ich stiahli a spustili. Používateľ elektronickej pošty dostane správu, ktorá obsahuje súbor ZIP chránený heslom. E-mail je údajne od organizácie, ktorá sa zaoberá logistikou.

Trójsky kôň sa spustí, keď používateľ elektronickej pošty otvorí súbor ZIP pomocou zadaného hesla. Zistiť CryptoLocker je náročné, pretože využíva predvolený stav systému Windows, ktorý neoznačuje príponu názvu súboru. Keď obeť spustí škodlivý softvér, trójsky kôň vykonáva rôzne činnosti:

a) Trójsky kôň sa uloží do priečinka umiestneného v profile používateľa, napríklad LocalAppData.

b) Trójsky kôň predstavuje kľúč do registra. Táto akcia zabezpečí, že sa spustí počas procesu zavádzania počítača.

c) Funguje na základe dvoch procesov. Prvým je hlavný proces. Druhým je zabránenie ukončenia hlavného procesu.

Šifrovanie súborov

Trójsky kôň vytvorí náhodný symetrický kľúč a použije ho na každý šifrovaný súbor. Obsah súboru je šifrovaný pomocou algoritmu AES a symetrického kľúča. Náhodný kľúč sa potom zašifruje pomocou algoritmu šifrovania asymetrického kľúča (RSA). Klávesy by tiež mali mať viac ako 1024 bitov. Existujú prípady, keď sa v procese šifrovania použilo 2048 bitových kľúčov. Trójsky kôň zaistí, že poskytovateľ súkromného kľúča RSA dostane náhodný kľúč, ktorý sa používa pri šifrovaní súboru. Nie je možné načítať prepísané súbory pomocou forenzného prístupu.

Po spustení získa trójsky kôň verejný kľúč (PK) zo servera C&C. Pri vyhľadávaní aktívneho servera C&C trójsky kôň používa algoritmus generovania domény (DGA) na vytváranie náhodných názvov domén. DGA sa označuje aj ako „Mersenne twister“. Algoritmus používa aktuálny dátum ako semeno, ktoré môže produkovať viac ako 1 000 domén denne. Generované domény majú rôzne veľkosti.

Trójsky kôň stiahne PK a uloží ho do HKCUSoftwareCryptoLockerPublic Key. Trójsky kôň začne šifrovať súbory na pevnom disku a sieťové súbory, ktoré otvára používateľ. CryptoLocker nemá vplyv na všetky súbory. Zacieľuje iba na spustiteľné súbory, ktoré majú prípony zobrazené v kóde škodlivého softvéru. Tieto prípony súborov zahŕňajú * .odt, * .xls, * .pptm, * .rft, * .pem a * .jpg. CryptoLocker sa tiež prihlási do každého súboru, ktorý bol zašifrovaný na súbory HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Po procese šifrovania vírus zobrazí správu požadujúcu výkupné v stanovenej lehote. Platba by sa mala uskutočniť pred zničením súkromného kľúča.

Vyhnite sa CryptoLocker

a) Používatelia e-mailov by mali mať podozrenie na správy od neznámych osôb alebo organizácií.

b) Používatelia internetu by mali zakázať skryté prípony súborov, aby sa zlepšila identifikácia škodlivého softvéru alebo vírusového útoku.

c) Dôležité súbory by mali byť uložené v zálohovacom systéme.

d) Ak dôjde k infikovaniu súborov, užívateľ by nemal platiť výkupné. Vývojári škodlivého softvéru by nikdy nemali byť odmeňovaní.

mass gmail