Isfarë është CryptoLocker Dhe Si ta Shmangni atë - Udhëzimi nga Semalt

CryptoLocker është një hakmarrës. Modeli i biznesit të ransomware është që të zhvarrosë para nga përdoruesit e internetit. CryptoLocker rrit trendin e zhvilluar nga malware i famshëm "Police Virus" që u kërkon përdoruesve të internetit të paguajnë para për zhbllokimin e pajisjeve të tyre. CryptoLocker rrëmben dokumente dhe skedarë të rëndësishëm dhe informon përdoruesit të paguajnë shpengimin brenda një kohe të caktuar.

Jason Adler, Menaxheri i Suksesit të Konsumatorëve të Shërbimeve Dixhitale të Semalt , shtjellon sigurinë e CryptoLocker dhe ofron disa ide bindëse për ta shmangur atë.

Instalimi i malware

CryptoLocker aplikon strategji të inxhinierisë sociale për të mashtruar përdoruesit e internetit për ta shkarkuar dhe drejtuar atë. Përdoruesi i postës elektronike merr një mesazh që ka një skedar ZIP të mbrojtur me fjalëkalim. E-maili synon të jetë nga një organizatë që është në biznesin logjistik.

Trojan shkon kur përdoruesi i postës elektronike hap dosjen ZIP duke përdorur fjalëkalimin e treguar. Shtë sfiduese për të zbuluar CryptoLocker sepse përfiton nga statusi i parazgjedhur i Windows që nuk tregon shtrirjen e emrit të skedarit. Kur viktima drejton malware, Trojan kryen aktivitete të ndryshme:

a) Trojan kursen veten në një dosje të vendosur në profilin e përdoruesit, për shembull, LocalAppData.

b) Trojan prezanton një çelës për regjistrin. Ky veprim siguron që ajo të funksionojë gjatë procesit të booting kompjuterit.

c) Shkon në bazë të dy proceseve. E para është procesi kryesor. E dyta është parandalimi i përfundimit të procesit kryesor.

Kriptimi i skedarëve

Trojan prodhon çelësin simetrik të rastit dhe e zbaton atë në çdo skedar që është i koduar. Përmbajtja e skedarit është e koduar duke përdorur algoritmin AES dhe tastin simetrik. Keyelësi i rastit është koduar pas kësaj duke përdorur algoritmin e kriptimit të çelësit asimetrik (RSA). Keyselësat gjithashtu duhet të jenë më shumë se 1024 bit. Ka raste kur çelësat 2048 bit janë përdorur në procesin e kriptimit. Trojan siguron që ofruesi i çelësit privat RSA të marrë çelësin e rastit që përdoret në kodimin e skedarit. Nuk është e mundur të merren skedarët e mbishkruar duke përdorur qasjen mjekoligjore.

Pasi të kandidojë, Trojan merr çelësin publik (PK) nga serveri C&C. Në gjetjen e serverit aktiv C & C, Trojan përdor algoritmin e gjenerimit të domain (DGA) për të prodhuar emrat e rastësishëm të domenit. DGA përmendet edhe si "kthesa e Mersenne". Algoritmi aplikon datën aktuale si farën që mund të prodhojë më shumë se 1.000 fusha çdo ditë. Domenet e gjeneruara janë të madhësive të ndryshme.

Trojan shkarkon PK dhe e ruan atë në çelësin HKCUSoftwareCryptoLockerPublic. Trojan fillon të kodojë skedarët në hard disk dhe skedarët e rrjetit që hapen nga përdoruesi. CryptoLocker nuk prek të gjitha skedarët. Ajo synon vetëm skedarët jo të ekzekutueshëm që kanë shtesat që ilustrohen në kodin e malware. Këto shtesa të skedarëve përfshijnë * .odt, * .xls, * .pptm, * .rft, * .pem, dhe * .jpg. Gjithashtu, CryptoLocker regjistron në çdo skedar që është koduar në HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Pas procesit të kriptimit, virusi tregon një mesazh që kërkon pagesa për shpërblesë brenda kohëzgjatjes së caktuar kohore. Pagesa duhet të bëhet përpara se çelësi privat të shkatërrohet.

Shmangia e CryptoLocker

a) Përdoruesit e postës elektronike duhet të jenë dyshues për mesazhe nga persona ose organizata të panjohura.

b) Përdoruesit e internetit duhet të çaktivizojnë zgjerimet e skedarëve të fshehur për të përmirësuar identifikimin e malware ose sulmit të virusit.

c) Skedarët e rëndësishëm duhet të ruhen në një sistem rezervë.

d) Nëse skedarët infektohen, përdoruesi nuk duhet të paguajë shpërblimin. Zhvilluesit e malware nuk duhet të shpërblehen kurrë.