X'inhu CryptoLocker u Kif Evitah - Il-Linja Gwida Minn Semalt

CryptoLocker huwa ransomware. Il-mudell tan-negozju tal-ransomware huwa li jisforza l-flus mill-utenti tal-internet. CryptoLocker isaħħaħ ix-xejra żviluppata mill-infami malware "Virus tal-Pulizija" li jitlob lill-utenti tal-internet iħallsu l-flus għall-ftuħ tal-apparati tagħhom. CryptoLocker hijacks dokumenti u fajls importanti u jinforma lill-utenti biex iħallsu l-fidwa fi żmien iddikjarat.

Jason Adler, il-Customer Success Manager ta ' Semalt Servizzi Diġitali, jelabora fuq is-sigurtà CryptoLocker u jipprovdi xi ideat konvinċenti biex jevitawha.

Installazzjoni tal-Malware

CryptoLocker japplika strateġiji ta 'inġinerija soċjali biex iqarraq lill-utenti tal-internet biex iniżżlu u jmexxuha. L-utent tal-email jirċievi messaġġ li għandu fajl ZIP protett bil-password. L-imejl juri li hu minn organizzazzjoni li hija fin-negozju tal-loġistika.

It-Trojan jimxi meta l-utent tal-email jiftaħ il-fajl ZIP bl-użu tal-password indikat. Huwa ta 'sfida li tiskopri CryptoLocker minħabba li tieħu vantaġġ mill-istatus default ta' Windows li ma jindikax l-estensjoni tal-isem tal-fajl. Meta l-vittma tmexxi l-malware, it-Trojan iwettaq diversi attivitajiet:

a) It-Trojan jiffranka ruħu f'folder li jinsab fil-profil tal-utent, pereżempju, LocalAppData.

b) It-Trojan jintroduċi ċavetta għar-reġistru. Din l-azzjoni tiżgura li timxi matul il-proċess tal-ibbutjar tal-kompjuter.

c) Tħaddem ibbażat fuq żewġ proċessi. L-ewwel huwa l-proċess ewlieni. It-tieni hija l-prevenzjoni tat-tmiem tal-proċess prinċipali.

Iċċifrat il-Fajl

It-Trojan jipproduċi ċavetta simmetrika bl-addoċċ u japplikaha għal kull fajl li huwa kriptat. Il-kontenut tal-fajl huwa kriptat bl-użu tal-algoritmu AES u ċ-ċavetta simmetrika. Iċ-ċavetta bl-addoċċ hija mbagħad ikkriptata bl-użu tal-algoritmu ta 'encryption key asimmetric (RSA). Iċ-ċwievet għandhom ukoll ikunu aktar minn 1024 bits. Hemm każijiet fejn ċwievet 2048 bit ġew użati fil-proċess ta 'encryption. It-Trojan jiżgura li l-fornitur taċ-ċavetta RSA privata jikseb iċ-ċavetta bl-addoċċ li tintuża fiċ-ċifrat tal-fajl. Mhuwiex possibbli li jiġu rkuprati l-fajls miktuba fuq il-kitba bl-użu tal-approċċ forensiku.

Ladarba titmexxa, it-Trojan jingħata ċ-ċavetta pubblika (PK) mis-server C&C. Fil-lokalizzazzjoni tas-server C&C attiv, it-Trojan juża l-algoritmu tal-ġenerazzjoni tad-dominju (DGA) biex jipproduċi l-ismijiet tad-dominju bl-addoċċ. DGA huwa msejjaħ ukoll bħala "it-twister ta 'Mersenne." L-algoritmu japplika d-data kurrenti bħala ż-żerriegħa li tista 'tipproduċi aktar minn 1,000 dominju kuljum. L-oqsma ġġenerati huma ta 'daqsijiet varji.

It-Trojan iniżżel il-PK u jiffrankah fiċ-Ċavetta Pubblika HKCUSoftwareCryptoLockerPublic. It-Trojan jibda jikkripta fajls fil-hard disk u fil-fajls tan-netwerk li jinfetħu mill-utent. CryptoLocker ma jaffettwax il-fajls kollha. Jimmira biss għall-fajls mhux eżegwibbli li għandhom l-estensjonijiet li huma illustrati fil-kodiċi tal-malware. Dawn l-estensjonijiet tal-fajls jinkludu * .odt, * .xls, * .pptm, * .rft, * .pem, u * .jpg. Ukoll, il-CryptoLocker jilloggja f'kull fajl li ġie encrypted mal-HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Wara l-proċess ta 'kriptaġġ, il-virus juri messaġġ li jitlob ħlas ta' fidwa fit-tul taż-żmien iddikjarat. Il-ħlas għandu jsir qabel ma tinqered iċ-ċavetta privata.

Evitar CryptoLocker

a) L-utenti tal-posta elettronika għandhom ikunu suspettużi dwar messaġġi minn persuni jew organizzazzjonijiet mhux magħrufa.

b) L-utenti tal-internet għandhom iwaqqfu l-estensjonijiet tal-fajl moħbija biex itejbu l-identifikazzjoni tal-malware jew l-attakk tal-virus.

ċ) Il-fajls importanti għandhom jinħażnu f'sistema ta 'backup.

d) Jekk il-fajls jiġu infettati, l-utent ma għandux iħallas il-fidwa. L-iżviluppaturi tal-malware m'għandhom qatt jiġu ppremjati.

mass gmail