Co je CryptoLocker a jak se tomu vyhnout - Směrnice od Semalt

CryptoLocker je ransomware. Obchodním modelem ransomwaru je vydírání peněz od uživatelů internetu. CryptoLocker zvyšuje trend vyvinutý nechvalně známým „policejním virem“, který požaduje, aby uživatelé internetu platili za odemykání svých zařízení peníze. CryptoLocker ukládá důležité dokumenty a soubory a informuje uživatele, aby zaplatili výkupné ve stanovené době.

Jason Adler, Customer Success Manager společnosti Semalt Digital Services, pracuje na zabezpečení CryptoLocker a poskytuje některé přesvědčivé nápady, jak tomu zabránit.

Instalace malwaru

CryptoLocker aplikuje strategie sociálního inženýrství na trik uživatelů internetu, aby je stáhli a spustili. Uživatel e-mailu obdrží zprávu, která obsahuje soubor ZIP chráněný heslem. E-mail je údajně od organizace, která se zabývá logistikou.

Trojan se spustí, když uživatel e-mailu otevře soubor ZIP pomocí zadaného hesla. Je náročné detekovat CryptoLocker, protože využívá výchozího stavu Windows, který neoznačuje příponu názvu souboru. Když oběť spustí malware, trojský kůň provádí různé činnosti:

a) Trojan se ukládá do složky umístěné v profilu uživatele, například LocalAppData.

b) Trojan zavádí klíč do registru. Tato akce zajistí, že se spustí během procesu spouštění počítače.

c) Běží na základě dvou procesů. První je hlavní proces. Druhým je prevence ukončení hlavního procesu.

Šifrování souborů

Trojan produkuje náhodný symetrický klíč a použije jej na každý šifrovaný soubor. Obsah souboru je šifrován pomocí algoritmu AES a symetrického klíče. Náhodný klíč je poté šifrován pomocí algoritmu šifrování asymetrického klíče (RSA). Klíče by také měly mít více než 1024 bitů. Existují případy, kdy bylo v procesu šifrování použito 2048 bitových klíčů. Trojan zajišťuje, že poskytovatel soukromého klíče RSA získá náhodný klíč, který se používá při šifrování souboru. Není možné načíst přepsané soubory pomocí forenzního přístupu.

Po spuštění získá Trojan veřejný klíč (PK) ze serveru C&C. Při hledání aktivního serveru C&C používá trojan algoritmus generování domény (DGA) k vytvoření náhodných názvů domén. DGA je také označována jako „Mersenne twister“. Algoritmus použije aktuální datum jako semeno, které může produkovat více než 1 000 domén denně. Generované domény mají různé velikosti.

Trojan stáhne PK a uloží jej do HKCUSoftwareCryptoLockerPublic Key. Trojan začne šifrovat soubory na pevném disku a síťové soubory, které uživatel otevře. CryptoLocker nemá vliv na všechny soubory. Zaměří se pouze na nespustitelné soubory, které mají přípony zobrazené v kódu malwaru. Tyto přípony souborů zahrnují * .odt, * .xls, * .pptm, * .rft, * .pem a * .jpg. CryptoLocker se také přihlásí do každého souboru, který byl zašifrován do HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Po procesu šifrování virus zobrazí zprávu s požadavkem na výkupné ve stanovené době. Platba by měla být provedena před zničením soukromého klíče.

Vyhýbání se CryptoLocker

a) Uživatelé e-mailu by měli mít podezření na zprávy od neznámých osob nebo organizací.

b) Uživatelé internetu by měli zakázat skryté přípony souborů, aby se zlepšila identifikace malwaru nebo virového útoku.

c) Důležité soubory by měly být uloženy v zálohovacím systému.

d) Pokud se soubory infikují, uživatel by neměl platit výkupné. Vývojáři malwaru by nikdy neměli být odměněni.

mass gmail