Що таке CryptoLocker і як цього уникнути - керівництво від Semalt

CryptoLocker - це викупне програмне забезпечення. Ділова модель викупного програмного забезпечення полягає у вимаганні грошей від користувачів Інтернету. CryptoLocker посилює тенденцію, розроблену сумнозвісним програмним забезпеченням "Вірус поліції", яке просить користувачів Інтернету платити гроші за розблокування своїх пристроїв. CryptoLocker викрадає важливі документи та файли та інформує користувачів про сплату викупу протягом зазначеного терміну.

Джейсон Адлер, менеджер із успішності клієнтів Digital Sem Services, детально розглядає питання безпеки CryptoLocker та надає кілька переконливих ідей, щоб цього уникнути.

Встановлення зловмисного програмного забезпечення

CryptoLocker застосовує стратегії соціальної інженерії, щоб обманути користувачів Інтернету, щоб завантажити та запустити його. Користувач електронної пошти отримує повідомлення із захищеним паролем ZIP-файлом. Повідомлення повідомляється від організації, яка займається логістичним бізнесом.

Троян запускається, коли користувач електронної пошти відкриває ZIP-файл, використовуючи вказаний пароль. Виявити CryptoLocker дуже складно, оскільки він використовує переваги статусу Windows за замовчуванням, який не вказує на розширення імені файлу. Коли жертва запускає зловмисне програмне забезпечення, троянець виконує різні дії:

a) Троянець зберігає себе у папці, що знаходиться у профілі користувача, наприклад, LocalAppData.

б) Троян вводить ключ до реєстру. Ця дія забезпечує його виконання під час завантаження комп'ютера.

в) Він працює на основі двох процесів. Перший - основний процес. Друге - це запобігання припиненню основного процесу.

Шифрування файлів

Троянський виробляє випадковий симетричний ключ і застосовує його до кожного зашифрованого файлу. Вміст файлу шифрується за допомогою алгоритму AES та симетричного ключа. Після цього випадковий ключ шифрується за допомогою алгоритму асиметричного шифрування ключа (RSA). Ключі також повинні бути більше 1024 біт. Бувають випадки, коли в процесі шифрування використовувалися 2048 бітові ключі. Троян забезпечує, що постачальник приватного ключа RSA отримує випадковий ключ, який використовується при шифруванні файлу. Неможливо отримати перезаписані файли за допомогою криміналістичного підходу.

Після запуску троян отримує відкритий ключ (ПК) від сервера C&C. Розміщуючи активний C&C-сервер, троян використовує алгоритм генерації домену (DGA) для створення випадкових доменних імен. DGA також називається "твістер Мерсена". Алгоритм застосовує поточну дату як насіння, яке може виробляти більше 1000 доменів щодня. Створені домени мають різні розміри.

Троянин завантажує ПК і зберігає його в ключі HKCUSoftwareCryptoLockerPublic. Троян починає шифрувати файли на жорсткому диску та мережеві файли, які відкриває користувач. CryptoLocker впливає не на всі файли. Він націлений лише на невиконані файли, що мають розширення, проілюстровані в коді шкідливого програмного забезпечення. Ці розширення файлів включають * .odt, * .xls, * .pptm, * .rft, * .pem та * .jpg. Також CryptoLocker реєструє у кожному файлі, який був зашифрований до HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Після процесу шифрування вірус відображає повідомлення з проханням сплатити викуп протягом зазначеної тривалості. Платіж повинен бути здійснений до знищення приватного ключа.

Уникнення CryptoLocker

a) Користувачі електронної пошти повинні підозріло ставитись до повідомлень від невідомих осіб чи організацій.

b) Користувачі Інтернету повинні вимкнути приховані розширення файлів для поліпшення ідентифікації зловмисного програмного забезпечення або вірусної атаки.

в) Важливі файли повинні зберігатися в резервній системі.

d) Якщо файли заражаються, користувач не повинен сплачувати викуп. Розробники зловмисних програм ніколи не повинні винагороджуватися.

mass gmail