Hva er CryptoLocker, og hvordan unngå det - Retningslinjen fra Semalt

CryptoLocker er et løseprogram. Forretningsmodellen til ransomware er å presse ut penger fra internettbrukere. CryptoLocker forbedrer trenden utviklet av den beryktede malware "Police Virus" som ber internettbrukere betale penger for å låse opp enhetene sine. CryptoLocker kaprer viktige dokumenter og filer og informerer brukerne om å betale løsepenger innen en angitt varighet.

Jason Adler, kundesuksessjef for Semalt Digital Services, utdyper CryptoLocker-sikkerheten og gir noen overbevisende ideer for å unngå det.

Malware-installasjon

CryptoLocker bruker sosiale ingeniørstrategier for å lure internettbrukere til å laste ned og kjøre den. E-postbrukeren får en melding som har en passordbeskyttet ZIP-fil. E-postmeldingen hevder å være fra en organisasjon som er i logistikkbransjen.

Trojan kjører når e-postbrukeren åpner ZIP-filen ved å bruke det angitte passordet. Det er utfordrende å oppdage CryptoLocker fordi den drar nytte av standardstatusen til Windows som ikke indikerer filnavnet. Når offeret kjører skadelig programvare, utfører trojaneren forskjellige aktiviteter:

a) Trojanen lagrer seg i en mappe som ligger i brukerens profil, for eksempel LocalAppData.

b) Trojan introduserer en nøkkel til registeret. Denne handlingen sikrer at den kjøres under oppstart av datamaskinen.

c) Den kjører basert på to prosesser. Den første er hovedprosessen. Det andre er forebygging av avslutning av hovedprosessen.

Filkryptering

Trojan produserer den tilfeldige symmetriske nøkkelen og bruker den på hver fil som er kryptert. Innholdet i filen er kryptert ved hjelp av AES-algoritmen og den symmetriske nøkkelen. Den tilfeldige nøkkelen blir deretter kryptert ved å bruke den asymmetriske nøkkelkrypteringsalgoritmen (RSA). Tastene skal også være mer enn 1024 biter. Det er tilfeller der 2048 bits nøkler ble brukt i krypteringsprosessen. Trojan sikrer at leverandøren av den private RSA-nøkkelen får den tilfeldige nøkkelen som brukes i krypteringen av filen. Det er ikke mulig å hente de overskrevne filene med den rettsmedisinske tilnærmingen.

Når den er kjørt, får Trojan den offentlige nøkkelen (PK) fra C & C-serveren. I lokaliseringen av den aktive C & C-serveren bruker Trojan domenegenerasjonsalgoritmen (DGA) for å produsere de tilfeldige domenenavnene. DGA blir også referert til som "Mersenne twister." Algoritmen bruker gjeldende dato som frø som kan produsere mer enn 1000 domener daglig. De genererte domenene er i forskjellige størrelser.

Trojanen laster ned PK og lagrer den i HKCUSoftwareCryptoLockerPublic Key. Trojan begynner å kryptere filer på harddisken og nettverksfilene som åpnes av brukeren. CryptoLocker påvirker ikke alle filene. Den målretter bare de ikke-kjørbare filene som har utvidelsene som er illustrert i koden til skadelig programvare. Disse filtypene inkluderer * .odt, * .xls, * .pptm, * .rft, * .pem og * .jpg. I tillegg logger CryptoLocker på hver fil som er kryptert til HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Etter krypteringsprosessen viser viruset en melding som ber om løsepenger innen den angitte tidsvarigheten. Betalingen skal skje før den private nøkkelen blir ødelagt.

Unngå CryptoLocker

a) E-postbrukere skal være mistenksomme mot meldinger fra ukjente personer eller organisasjoner.

b) Internett-brukere bør deaktivere de skjulte filtypene for å forbedre identifiseringen av skadelig programvare eller virusangrep.

c) Viktige filer skal lagres i et sikkerhetskopisystem.

d) Hvis filer blir smittet, skal brukeren ikke betale løsepenger. Malware-utviklerne skal aldri belønnes.