Что такое CryptoLocker и как его избежать - руководство от Семальта

CryptoLocker является вымогателем. Бизнес-модель вымогателей - вымогать деньги у интернет-пользователей. CryptoLocker усиливает тенденцию, разработанную печально известным «полицейским вирусом», который просит интернет-пользователей платить деньги за разблокировку своих устройств. CryptoLocker захватывает важные документы и файлы и информирует пользователей о выплате выкупа в течение установленного срока.

Джейсон Адлер, менеджер по работе с клиентами Semalt Digital Services, подробно рассказывает о безопасности CryptoLocker и предлагает несколько убедительных идей, как этого избежать.

Установка вредоносного ПО

CryptoLocker применяет стратегии социальной инженерии, чтобы заставить пользователей Интернета загружать и запускать его. Пользователь электронной почты получает сообщение с ZIP-файлом, защищенным паролем. Предполагается, что электронное письмо получено от организации, занимающейся логистикой.

Троянец запускается, когда пользователь электронной почты открывает ZIP-файл, используя указанный пароль. Обнаружить CryptoLocker сложно, потому что он использует преимущества стандартного состояния Windows, которое не указывает расширение имени файла. Когда жертва запускает вредоносное ПО, троянец выполняет различные действия:

а) Троянец сохраняет себя в папке, расположенной в профиле пользователя, например, LocalAppData.

б) Троянец вводит ключ в реестр. Это действие обеспечивает его выполнение во время загрузки компьютера.

в) он работает на основе двух процессов. Первый - это основной процесс. Второе - это предотвращение прекращения основного процесса.

Шифрование файлов

Троянец генерирует случайный симметричный ключ и применяет его к каждому зашифрованному файлу. Содержимое файла зашифровано с использованием алгоритма AES и симметричного ключа. После этого случайный ключ шифруется с использованием алгоритма шифрования асимметричного ключа (RSA). Ключи также должны быть больше 1024 бит. Есть случаи, когда в процессе шифрования использовались 2048-битные ключи. Троянец гарантирует, что поставщик закрытого ключа RSA получит случайный ключ, который используется при шифровании файла. Невозможно извлечь перезаписанные файлы с использованием криминалистического подхода.

После запуска троянец получает открытый ключ (PK) с сервера C & C. При обнаружении активного C & C-сервера троянец использует алгоритм генерации домена (DGA) для генерации случайных доменных имен. DGA также называют «твистером Мерсенна». Алгоритм применяет текущую дату в качестве начального числа, которое может производить более 1000 доменов в день. Сгенерированные домены имеют различные размеры.

Троянец скачивает ПК и сохраняет его в открытом ключе HKCUSoftwareCryptoLocker. Троянец начинает шифрование файлов на жестком диске и сетевых файлов, которые открывает пользователь. CryptoLocker не влияет на все файлы. Он предназначен только для неисполняемых файлов с расширениями, которые показаны в коде вредоносной программы. Эти расширения файлов включают * .odt, * .xls, * .pptm, * .rft, * .pem и * .jpg. Кроме того, CryptoLocker регистрирует все файлы, которые были зашифрованы в HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

После процесса шифрования вирус показывает сообщение, запрашивающее выкуп в течение указанного времени. Оплата должна быть произведена до уничтожения закрытого ключа.

Как избежать CryptoLocker

a) Пользователи электронной почты должны с подозрением относиться к сообщениям от неизвестных лиц или организаций.

б) Интернет-пользователи должны отключить скрытые расширения файлов, чтобы улучшить идентификацию вредоносных программ или вирусных атак.

в) Важные файлы должны храниться в резервной системе.

г) Если файлы заражаются, пользователь не должен платить выкуп. Разработчики вредоносных программ никогда не должны быть вознаграждены.