Kaj je CryptoLocker in kako se mu tega izogniti - smernica Semalt

CryptoLocker je odkupna programska oprema. Poslovni model odkupne programske opreme je izsiljevanje denarja od uporabnikov interneta. CryptoLocker krepi trend, ki ga je razvil zloglasni zlonamerni program "Police Virus", ki od uporabnikov interneta zahteva plačilo denarja za odklepanje njihovih naprav. CryptoLocker ugrabi pomembne dokumente in datoteke ter uporabnike obvesti, da plačajo odkupnino v določenem roku.

Jason Adler, vodja poslovnega uspeha stranke Semalt Digital Services, podrobno opisuje varnost CryptoLocker in ponuja nekaj prepričljivih idej, da se temu izognemo.

Namestitev zlonamerne programske opreme

CryptoLocker uporablja strategije socialnega inženiringa, da zamika internetne uporabnike, da jih prenesejo in zaženejo. Uporabnik e-pošte dobi sporočilo z datoteko ZIP, zaščiteno z geslom. E-poštno sporočilo naj bi bilo od organizacije, ki se ukvarja z logistiko.

Trojan se zažene, ko uporabnik e-pošte odpre datoteko ZIP z navedenim geslom. Zaznati CryptoLocker je zahtevno, saj izkoristi privzeti status sistema Windows, ki ne kaže na razširitev imena datoteke. Ko žrtev izvaja zlonamerno programsko opremo, trojanec izvaja različne dejavnosti:

a) Trojan se shrani v mapo, ki se nahaja v uporabnikovem profilu, na primer LocalAppData.

b) Trojan vnese ključ v register. To dejanje zagotavlja, da se izvaja med postopkom zagona računalnika.

c) Teče na podlagi dveh procesov. Prvi je glavni postopek. Drugo je preprečevanje prenehanja glavnega postopka.

Šifriranje datotek

Trojanski proizvaja naključni simetrični ključ in ga uporabi za vsako šifrirano datoteko. Vsebina datoteke je šifrirana z algoritmom AES in simetričnim ključem. Naključni ključ se nato šifrira z algoritmom asimetričnega šifriranja ključev (RSA). Ključi naj bodo tudi več kot 1024 bitov. Obstajajo primeri, ko je bilo v postopku šifriranja uporabljenih 2048 bitnih ključev. Trojan zagotavlja, da ponudnik zasebnega ključa RSA dobi naključni ključ, ki je uporabljen pri šifriranju datoteke. Prepisanih datotek ni mogoče dobiti z uporabo forenzičnega pristopa.

Ko se zažene, Trojan dobi javni ključ (PK) od C&C strežnika. Pri iskanju aktivnega strežnika C&C trojanec uporablja algoritem za generiranje domen (DGA) za izdelavo naključnih imen domen. DGA se imenuje tudi "Mersenne twister". Algoritem uporablja trenutni datum kot seme, ki lahko dnevno ustvari več kot 1000 domen. Ustvarjene domene so različnih velikosti.

Trojanski program prenese PK in ga shrani v HKCUSoftwareCryptoLockerPublic Key. Trojan začne šifrirati datoteke na trdem disku in omrežne datoteke, ki jih odpre uporabnik. CryptoLocker ne vpliva na vse datoteke. Cilja samo na neizvršljive datoteke, ki imajo razširitve, ki so prikazane v kodi zlonamerne programske opreme. Te razširitve datotek vključujejo * .odt, * .xls, * .pptm, * .rft, * .pem in * .jpg. Prav tako se CryptoLocker zabeleži v vsaki datoteki, ki je bila šifrirana v HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Po postopku šifriranja virus prikaže sporočilo, v katerem zahteva plačilo odkupnine v navedenem časovnem obdobju. Plačilo je treba izvesti pred uničenjem zasebnega ključa.

Izogibanje CryptoLockerju

a) Uporabniki e-pošte bi morali biti sumljivi do sporočil neznanih oseb ali organizacij.

b) Uporabniki interneta bi morali onemogočiti skrite razširitve datotek, da bi izboljšali prepoznavanje zlonamerne programske opreme ali napada virusa.

c) Pomembne datoteke je treba shraniti v varnostno kopijo.

d) Če se datoteke okužijo, uporabnik ne sme plačati odkupnine. Razvijalci zlonamerne programske opreme ne smejo biti nikoli nagrajeni.