Што е CryptoLocker и како да го избегнете тоа - Упатството од Semalt
CryptoLocker е откупнина. Бизнис моделот на откупнина софтвер е да изнуди пари од интернет корисници. CryptoLocker го подобрува трендот развиен од неславниот малициозен софтвер „Полициски вирус“ кој бара од корисниците на интернет да плаќаат пари за отклучување на нивните уреди. CryptoLocker киднапира важни документи и датотеки и ги информира корисниците да го платат откупот во одредено времетраење.
Asonејсон Адлер, Управник за успех на клиентите на дигиталните услуги на Семсул , елаборира за безбедноста на CryptoLocker и дава неколку привлечни идеи за да се избегне тоа.
Инсталирање на малициозен софтвер
CryptoLocker применува стратегии за социјално инженерство за да ги измами корисниците на Интернет да го преземаат и да ги водат. Корисникот на е-пошта добива порака со ZIP-датотека заштитена со лозинка. Е-поштата наведува дека треба да биде од организација што е во логистички бизнис.
Тројанецот работи кога корисникот на е-пошта ќе ја отвори датотеката ZIP користејќи ја наведената лозинка. Предизвикувачки е да се открие CryptoLocker бидејќи го искористува предношниот статус на Windows кој не го означува наставката за името на датотеката. Кога жртвата работи со малициозен софтвер, Тројан извршува различни активности:
а) Тројанецот се зачувува во папка сместена во профилот на корисникот, на пример, LocalAppData.
б) Тројанецот воведува клуч за регистарот. Оваа акција гарантира дека таа работи во текот на процесот на подигнување на компјутерот.
в) Се одвива врз основа на два процеса. Првиот е главниот процес. Втората е спречување на прекинување на главниот процес.
Шифрирање на датотеки
Тројанецот произведува случаен симетричен клуч и го применува на секоја датотека што е криптирана. Содржината на датотеката се шифрира со помош на алгоритмот AES и симетричниот клуч. Случајниот клуч потоа се криптира со употреба на алгоритмот за криптирање на асиметричен клуч (RSA). Копчињата исто така треба да бидат повеќе од 1024 бита. Има случаи кога 2048 битни клучеви биле користени во процесот на криптирање. Тројан гарантира дека давателот на приватниот клуч RSA го добива случајниот клуч што се користи при шифрирање на датотеката. Не е можно да се преземат препишаните датотеки со помош на форензички пристап.
Откако ќе работи, Тројан го добива јавниот клуч (PK) од серверот C&C. Во лоцирањето на активниот сервер C&C, Тројанецот го користи алгоритмот за генерирање на домен (DGA) за производство на имиња на случајни домени. ДГА се нарекува и „пресврт на Мерсен“. Алгоритмот го применува тековниот датум како семе што може да произведува повеќе од 1.000 домени на ден. Генерираните домени се со различна големина.
Тројанецот ја презема PK и го зачувува во рамките на HKCUSoftwareCryptoLockerPublic Key. Тројанецот започнува со криптирање на датотеки во тврдиот диск и мрежните датотеки што ги отвора корисникот. CryptoLocker не влијае на сите датотеки. Таа е насочена само кон неизвршните датотеки што ги имаат наставките што се илустрирани во кодот на малициозен софтвер. Овие наставки на датотеки вклучуваат * .odt, * .xls, * .pptm, * .rft, * .pem и * .jpg Исто така, CryptoLocker се најавува во секоја датотека што е криптирана во HKEY_CURRENT_USERSoftwareCryptoLockerFiles.
После процесот на криптирање, вирусот покажува порака со која се бара исплата на откуп во одредено времетраење. Плаќањето треба да се изврши пред да се уништи приватниот клуч.
Избегнување на CryptoLocker
а) Корисниците на е-пошта треба да бидат сомнителни за пораки од непознати лица или организации.
б) Корисниците на Интернет треба да ги оневозможат скриените екстензии на датотеки за да ја подобрат идентификацијата на нападот на малициозен софтвер или вирус.
в) Важните датотеки треба да се чуваат во резервен систем.
г) Ако датотеките се заразат, корисникот не треба да го плати откупот. Програмерите на малициозен софтвер никогаш не треба да бидат наградени.