Τι είναι το CryptoLocker και πώς να το αποφύγετε - Η οδηγία από το Semalt

Το CryptoLocker είναι ένα ransomware. Το επιχειρηματικό μοντέλο του ransomware είναι η απόσπαση χρημάτων από χρήστες του Διαδικτύου. Το CryptoLocker ενισχύει την τάση που αναπτύχθηκε από το περίφημο κακόβουλο λογισμικό "Police Virus" που ζητά από τους χρήστες του Διαδικτύου να πληρώσουν χρήματα για το ξεκλείδωμα των συσκευών τους. Το CryptoLocker παραβιάζει σημαντικά έγγραφα και αρχεία και ενημερώνει τους χρήστες να πληρώσουν τα λύτρα εντός μιας καθορισμένης διάρκειας.

Ο Jason Adler, ο Διαχειριστής επιτυχίας πελατών της Semalt Digital Services, επεξεργάζεται την ασφάλεια CryptoLocker και παρέχει μερικές συναρπαστικές ιδέες για να το αποφύγετε.

Εγκατάσταση κακόβουλου λογισμικού

Το CryptoLocker εφαρμόζει στρατηγικές κοινωνικής μηχανικής για να εξαπατήσει τους χρήστες του Διαδικτύου να κάνουν λήψη και εκτέλεση του. Ο χρήστης του email λαμβάνει ένα μήνυμα που έχει ένα αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης. Το email υποτίθεται ότι προέρχεται από έναν οργανισμό που δραστηριοποιείται στον τομέα της εφοδιαστικής.

Το Trojan εκτελείται όταν ο χρήστης του email ανοίγει το αρχείο ZIP χρησιμοποιώντας τον υποδεικνυόμενο κωδικό πρόσβασης. Είναι δύσκολο να εντοπίσετε το CryptoLocker επειδή εκμεταλλεύεται την προεπιλεγμένη κατάσταση των Windows που δεν υποδεικνύει την επέκταση ονόματος αρχείου. Όταν το θύμα εκτελεί το κακόβουλο λογισμικό, ο Τρώος εκτελεί διάφορες δραστηριότητες:

α) Το Trojan αποθηκεύεται σε ένα φάκελο που βρίσκεται στο προφίλ του χρήστη, για παράδειγμα, το LocalAppData.

β) Το Trojan εισάγει ένα κλειδί στο μητρώο. Αυτή η ενέργεια διασφαλίζει ότι εκτελείται κατά τη διαδικασία εκκίνησης του υπολογιστή.

γ) Τρέχει με βάση δύο διαδικασίες. Η πρώτη είναι η κύρια διαδικασία. Το δεύτερο είναι η πρόληψη του τερματισμού της κύριας διαδικασίας.

Κρυπτογράφηση αρχείων

Το Trojan παράγει το τυχαίο συμμετρικό κλειδί και το εφαρμόζει σε κάθε αρχείο που είναι κρυπτογραφημένο. Το περιεχόμενο του αρχείου κρυπτογραφείται χρησιμοποιώντας τον αλγόριθμο AES και το συμμετρικό κλειδί. Το τυχαίο κλειδί στη συνέχεια κρυπτογραφείται χρησιμοποιώντας τον ασύμμετρο αλγόριθμο κρυπτογράφησης κλειδιών (RSA). Τα πλήκτρα πρέπει επίσης να είναι περισσότερα από 1024 bit. Υπάρχουν περιπτώσεις όπου χρησιμοποιήθηκαν πλήκτρα 2048 bit κατά τη διαδικασία κρυπτογράφησης. Το Trojan διασφαλίζει ότι ο πάροχος του ιδιωτικού κλειδιού RSA λαμβάνει το τυχαίο κλειδί που χρησιμοποιείται στην κρυπτογράφηση του αρχείου. Δεν είναι δυνατή η ανάκτηση των αντικατασταθέντων αρχείων χρησιμοποιώντας την εγκληματολογική προσέγγιση.

Μόλις εκτελεστεί, ο Trojan παίρνει το δημόσιο κλειδί (PK) από τον διακομιστή C&C. Κατά τον εντοπισμό του ενεργού διακομιστή C&C, ο Trojan χρησιμοποιεί τον αλγόριθμο δημιουργίας τομέα (DGA) για την παραγωγή των τυχαίων ονομάτων τομέα. Το DGA αναφέρεται επίσης ως το "Mersenne twister". Ο αλγόριθμος εφαρμόζει την τρέχουσα ημερομηνία ως το σπόρο που μπορεί να παράγει περισσότερους από 1.000 τομείς καθημερινά. Οι τομείς που δημιουργούνται είναι διαφόρων μεγεθών.

Το Trojan κατεβάζει το PK και το αποθηκεύει στο κλειδί HKCUSoftwareCryptoLockerPublic. Το Trojan ξεκινά την κρυπτογράφηση αρχείων στον σκληρό δίσκο και τα αρχεία δικτύου που ανοίγει ο χρήστης. Το CryptoLocker δεν επηρεάζει όλα τα αρχεία. Στοχεύει μόνο τα μη εκτελέσιμα αρχεία που έχουν τις επεκτάσεις που απεικονίζονται στον κώδικα του κακόβουλου λογισμικού. Αυτές οι επεκτάσεις αρχείων περιλαμβάνουν * .odt, * .xls, * .pptm, * .rft, * .pem και * .jpg. Επίσης, το CryptoLocker καταγράφει κάθε αρχείο που έχει κρυπτογραφηθεί στα HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Μετά τη διαδικασία κρυπτογράφησης, ο ιός εμφανίζει ένα μήνυμα που ζητά πληρωμή λύτρων εντός της καθορισμένης χρονικής διάρκειας. Η πληρωμή πρέπει να γίνει πριν από την καταστροφή του ιδιωτικού κλειδιού.

Αποφυγή CryptoLocker

α) Οι χρήστες ηλεκτρονικού ταχυδρομείου πρέπει να είναι ύποπτοι για μηνύματα από άγνωστα άτομα ή οργανισμούς.

β) Οι χρήστες του Διαδικτύου θα πρέπει να απενεργοποιήσουν τις κρυφές επεκτάσεις αρχείων για να βελτιώσουν την αναγνώριση του κακόβουλου λογισμικού ή της επίθεσης ιών.

γ) Τα σημαντικά αρχεία πρέπει να αποθηκεύονται σε εφεδρικό σύστημα.

δ) Εάν τα αρχεία μολυνθούν, ο χρήστης δεν πρέπει να πληρώσει τα λύτρα. Οι προγραμματιστές κακόβουλου λογισμικού δεν πρέπει ποτέ να επιβραβεύονται.