Kas yra „CryptoLocker“ ir kaip to išvengti - gairės iš „Semalt“

„CryptoLocker“ yra išpirkos programa. Išpirkos programinės įrangos verslo modelis yra išspausti pinigus iš interneto vartotojų. „CryptoLocker“ sustiprina liūdnai pagarsėjusio „Policijos viruso“ kenkėjiškų programų tendenciją, pagal kurią interneto vartotojai prašo sumokėti pinigus už savo įrenginių atrakinimą. „CryptoLocker“ užgrobia svarbius dokumentus ir bylas bei informuoja vartotojus per nustatytą laiką sumokėti išpirką.

Jasonas Adleris, „ Semalt Digital Services“ klientų sėkmės vadovas, nagrinėja „CryptoLocker“ saugumą ir pateikia keletą įtikinamų idėjų, kaip to išvengti.

Kenkėjiškų programų diegimas

„CryptoLocker“ taiko socialinės inžinerijos strategijas, kad apgautų interneto vartotojus, kad ji atsisiųstų ir paleistų. El. Pašto vartotojas gauna pranešimą, kuriame yra slaptažodžiu apsaugotas ZIP failas. El. Laiškas tariamas iš organizacijos, užsiimančios logistikos verslu.

Trojos arklys paleidžiamas, kai el. Pašto vartotojas atidaro ZIP failą naudodamas nurodytą slaptažodį. Aptikti „CryptoLocker“ yra sudėtinga, nes pasinaudojama numatytąja „Windows“ būsena, kuri nenurodo failo vardo plėtinio. Kai auka naudoja kenkėjišką programinę įrangą, Trojos arklys atlieka įvairią veiklą:

a) „Trojos arklys“ save išsaugo aplanke, esančiame vartotojo profilyje, pavyzdžiui, „LocalAppData“.

b) Troja įveda raktą į registrą. Šis veiksmas užtikrina, kad jis vykdomas kompiuterio paleidimo proceso metu.

c) Jis vykdomas remiantis dviem procesais. Pirmasis yra pagrindinis procesas. Antrasis yra pagrindinio proceso nutraukimo prevencija.

Failų šifravimas

Trojos arklys sukuria atsitiktinį simetrinį raktą ir taiko jį visiems užšifruotiems failams. Failo turinys užšifruojamas naudojant AES algoritmą ir simetrinį raktą. Vėliau atsitiktinis raktas užšifruojamas naudojant asimetrinio rakto šifravimo algoritmą (RSA). Raktų taip pat turėtų būti daugiau nei 1024 bitų. Yra atvejų, kai šifravimo procese buvo naudojami 2048 bitų raktai. „Trojos arklys“ užtikrina, kad privataus RSA rakto teikėjas gautų atsitiktinį raktą, kuris naudojamas failo šifravimui. Neįmanoma atkurti perrašytų failų naudojant teismo ekspertizės metodą.

Paleidęs Trojos arklys gauna viešąjį raktą (PK) iš C&C serverio. Surasdamas aktyvų C&C serverį, Trojos arklys naudoja domenų generavimo algoritmą (DGA) atsitiktiniams domenų vardams gaminti. DGA taip pat vadinamas „Mersenne twister“. Algoritmas taiko dabartinę datą kaip datą, galinčią sukurti daugiau nei 1000 domenų per dieną. Sukurti domenai yra įvairių dydžių.

„Trojos arklys“ atsisiunčia PK ir išsaugo jį „HKCUSoftwareCryptoLockerPublic Key“. „Trojos arklys“ pradeda šifruoti kietajame diske esančius failus ir vartotojo atidaromus tinklo failus. „CryptoLocker“ nedaro įtakos visiems failams. Jis skirtas tik nevykdomiems failams, kurių plėtiniai yra pavaizduoti kenkėjiškos programos kode. Šie failų plėtiniai apima * .odt, * .xls, * .pptm, * .rft, * .pem ir * .jpg. Be to, „CryptoLocker“ prisijungia prie visų failų, užšifruotų HKEY_CURRENT_USERS programinės įrangos programoje „CryptoLockerFiles“.

Po šifravimo proceso virusas rodo pranešimą, kuriame reikalaujama sumokėti išpirką per nurodytą laiką. Mokėjimas turėtų būti atliekamas prieš sunaikinant privatųjį raktą.

Venkite „CryptoLocker“

a) El. pašto vartotojams turėtų kilti įtarimų dėl nežinomų asmenų ar organizacijų pranešimų.

b) Interneto vartotojai turėtų išjungti paslėptus failų plėtinius, kad būtų galima lengviau nustatyti kenkėjiškas programas ar virusų atakas.

c) Svarbūs failai turėtų būti saugomi atsarginėje sistemoje.

d) Jei failai užkrėsti, vartotojas neturėtų mokėti išpirkos. Kenkėjiškų programų kūrėjai niekada neturėtų būti apdovanoti.