Ce este CryptoLocker și cum să-l evităm - Orientarea de la Semalt
CryptoLocker este un ransomware. Modelul de afaceri al ransomware-ului este extorcarea banilor de la utilizatorii de internet. CryptoLocker îmbunătățește tendința dezvoltată de infamul malware „Police Virus” care solicită utilizatorilor de internet să plătească bani pentru deblocarea dispozitivelor. CryptoLocker detine documente și fișiere importante și informează utilizatorii să plătească răscumpărarea într-o durată determinată.
Jason Adler, managerul de succes al clienților Semalt Digital Services, dezvoltă securitatea CryptoLocker și oferă câteva idei convingătoare pentru ao evita.
Instalare malware
CryptoLocker aplică strategii de inginerie socială pentru a-i păcăli pe utilizatorii de internet să-l descarce și să îl ruleze. Utilizatorul de e-mail primește un mesaj care are un fișier ZIP protejat prin parolă. E-mailul presupune să fie dintr-o organizație care se află în activitatea de logistică.
Troian se execută atunci când utilizatorul de e-mail deschide fișierul ZIP folosind parola indicată. Este dificil să detectați CryptoLocker, deoarece profită de starea implicită a Windows-ului care nu indică extensia de nume de fișier. Când victima rulează programele malware, troianul efectuează diverse activități:
a) Troianul se salvează într-un folder situat în profilul utilizatorului, de exemplu, LocalAppData.
b) Troianul introduce o cheie în registru. Această acțiune asigură rularea în timpul procesului de pornire a computerului.
c) Se rulează pe baza a două procese. Primul este principalul proces. Al doilea este prevenirea încetării procesului principal.
Criptarea fișierelor
Troianul produce cheia simetrică aleatorie și o aplică fiecărui fișier criptat. Conținutul fișierului este criptat folosind algoritmul AES și cheia simetrică. După aceea, cheia aleatorie este criptată folosind algoritmul de criptare a cheilor asimetrice (RSA). Tastele ar trebui, de asemenea, să depășească 1024 biți. Există cazuri în care tastele de 2048 biți au fost utilizate în procesul de criptare. Troianul se asigură că furnizorul cheii RSA private primește cheia aleatorie care este utilizată în criptarea fișierului. Nu este posibilă recuperarea fișierelor suprascrise folosind abordarea criminalistică.
Odată executat, troianul primește cheia publică (PK) de pe serverul C&C. În localizarea serverului C&C activ, troianul folosește algoritmul de generare a domeniilor (DGA) pentru a produce nume de domeniu aleatoare. DGA este, de asemenea, denumit "torsiunea Mersenne". Algoritmul aplică data curentă ca semință care poate produce mai mult de 1.000 de domenii zilnic. Domeniile generate sunt de diferite dimensiuni.
Troianul descarcă PK-ul și îl salvează în cheia HKCUSoftwareCryptoLockerPublic. Troianul începe să cripteze fișierele pe hard disk și fișierele de rețea care sunt deschise de utilizator. CryptoLocker nu afectează toate fișierele. Se adresează numai fișierelor neexecutabile care au extensiile care sunt ilustrate în codul malware. Aceste extensii de fișiere includ * .odt, * .xls, * .pptm, * .rft, * .pem și * .jpg. De asemenea, CryptoLocker se înregistrează în fiecare fișier care a fost criptat la HKEY_CURRENT_USERSoftwareCryptoLockerFiles.
După procesul de criptare, virusul afișează un mesaj care solicită plata răscumpărării în perioada de timp declarată. Plata trebuie făcută înainte ca cheia privată să fie distrusă.
Evitarea CryptoLocker
a) Utilizatorii de e-mail ar trebui să suspecteze mesajele de la persoane sau organizații necunoscute.
b) Utilizatorii de internet ar trebui să dezactiveze extensiile de fișiere ascunse pentru a îmbunătăți identificarea malware-ului sau a atacului de virus.
c) Fișierele importante ar trebui stocate într-un sistem de rezervă.
d) Dacă fișierele sunt infectate, utilizatorul nu ar trebui să plătească răscumpărarea. Dezvoltatorii de malware nu trebuie recompensați niciodată.