Mikä on CryptoLocker ja miten sitä voidaan välttää - suuntaviiva Semaltista

CryptoLocker on lunastusohjelma. Ransomware-liiketoiminnan malli on rahan purkaminen Internetin käyttäjiltä. CryptoLocker edistää pahamaineisen "Police Virus" -haittaohjelman kehittämää trendiä, joka pyytää Internetin käyttäjiä maksamaan rahaa laitteidensa lukituksen avaamisesta. CryptoLocker kaappaa tärkeät asiakirjat ja tiedostot ja ilmoittaa käyttäjille maksaa lunnaat ilmoitetun ajan kuluessa.

Semalt Digital Services -yrityksen menestyspäällikkö Jason Adler kehittää CryptoLocker-tietoturvaa ja tarjoaa joitain vakuuttavia ideoita sen välttämiseksi.

Haittaohjelmien asennus

CryptoLocker käyttää sosiaalisen suunnittelun strategioita huijaamaan Internet-käyttäjiä lataamaan ja käyttämään sitä. Sähköpostin käyttäjä saa viestin, jossa on salasanalla suojattu ZIP-tiedosto. Sähköpostin oletetaan olevan logistiikka-alan organisaatiolta.

Troijalainen käy, kun sähköpostin käyttäjä avaa ZIP-tiedoston ilmoitetulla salasanalla. CryptoLockerin havaitseminen on haastavaa, koska se hyödyntää Windowsin oletustilaa, joka ei osoita tiedostotunnistetta. Kun uhri käyttää haittaohjelmaa, troijalainen suorittaa erilaisia toimia:

a) Troijalainen tallentaa itsensä kansioon, joka sijaitsee käyttäjän profiilissa, esimerkiksi LocalAppData.

b) Troijalainen tuo avaimen rekisteriin. Tämä toiminto varmistaa, että se suoritetaan tietokoneen käynnistyksen aikana.

c) Se perustuu kahteen prosessiin. Ensimmäinen on pääprosessi. Toinen on pääprosessin lopettamisen estäminen.

Tiedostojen salaus

Troijalainen tuottaa satunnaisen symmetrisen avaimen ja soveltaa sitä kaikkiin salattuihin tiedostoihin. Tiedoston sisältö on salattu käyttämällä AES-algoritmia ja symmetristä avainta. Satunnainen avain salataan sen jälkeen epäsymmetrisen avaimen salausalgoritmin (RSA) avulla. Näppäimien tulisi olla myös yli 1024 bittiä. On tapauksia, joissa salausprosessissa käytettiin 2048 bittisiä avaimia. Troijalainen varmistaa, että yksityisen RSA-avaimen tarjoaja saa satunnaisen avaimen, jota käytetään tiedoston salauksessa. Korvattuja tiedostoja ei ole mahdollista hakea rikosteknisen lähestymistavan avulla.

Suoritettuaan troijalainen saa julkisen avaimen (PK) C&C-palvelimelta. Aktiivisen C&C-palvelimen paikantamisessa troijalainen tuottaa satunnaisten verkkotunnusten tuottamiseksi toimialueen luontialgoritmin (DGA). DGA: ta kutsutaan myös nimellä "Mersenne twister". Algoritmi käyttää nykyistä päivämäärää siemenenä, joka voi tuottaa yli 1000 verkkotunnusta päivässä. Luodut verkkotunnukset ovat erikokoisia.

Troijalainen lataa PK: n ja tallentaa sen HKCUSoftwareCryptoLockerPublic-avaimeen. Troijalainen aloittaa kiintolevyllä olevien tiedostojen ja käyttäjän avaamien verkkotiedostojen salauksen. CryptoLocker ei vaikuta kaikkiin tiedostoihin. Se kohdistaa vain ei-suoritettavia tiedostoja, joiden tiedostotunnisteet on esitetty haittaohjelman koodissa. Nämä tiedostotunnisteet sisältävät * .odt, * .xls, * .pptm, * .rft, * .pem ja * .jpg. Lisäksi CryptoLocker kirjaa kaikki tiedostot, jotka on salattu HKEY_CURRENT_USERSiohjelmistoCryptoLockerFiles-tiedostoihin.

Salausprosessin jälkeen virus näyttää viestin, joka vaatii lunastusmaksua ilmoitetun ajan kuluessa. Maksu tulisi suorittaa ennen yksityisen avaimen tuhoamista.

Vältetään CryptoLocker

a) Sähköpostin käyttäjien tulee epäillä tuntemattomien henkilöiden tai organisaatioiden lähettämiä viestejä.

b) Internet-käyttäjien tulisi poistaa piilotetut tiedostopäätteet haittaohjelmien tai virushyökkäysten tunnistamisen parantamiseksi.

c) Tärkeät tiedostot tulisi tallentaa varmuuskopiointijärjestelmään.

d) Jos tiedostot tarttuvat, käyttäjän ei pitäisi maksaa lunnaata. Haittaohjelmien kehittäjille ei tulisi koskaan palkita.