Cryptolocker mi az, és hogyan kerüljük el
CryptoLocker - egy új család szoftver-extortionists (zsarolóprogramok), amelynek üzleti modellje (igen, malware - ez egy üzleti valaki másnak) alapján pénzt követelnek felhasználók. Ez a program a trend által megkezdett más hírhedt malware, ami szintén pénzt kicsikarni az áldozatok - az úgynevezett „Police Virus”, amely arra kéri a felhasználókat, hogy fizessen a „finom” felszabadításában számítógépükre. Azonban, ellentétben a „vírus a rendőrség», CryptoLocker csapkod felhasználói dokumentumokat, és kérte őket, hogy kifizeti a váltságdíjat (nagyon korlátozott fizetési időszak).
Egy rosszindulatú program telepítése
A trójai abban a pillanatban kezdődnek, amikor a felhasználó megnyit egy beágyazott ZIP fájlt az üzenetben megadott jelszó megadásával, abban a reményben, hogy megnyitja az archívumban lévő PDF-fájlt. A CryptoLocker a szabványos Windows funkcióval rendelkezik a fájlnevek kiterjesztéseinek elrejtésére, hogy elrejtse a tényleges .EXE kiterjesztést egy rosszindulatú fájlból.
Miután az áldozat elindította, a trójai "ül" a számítógép memóriájában és végrehajtja a következő műveleteket:
- Mentett egy felhasználói profillal rendelkező mappába (AppData, LocalAppData).
- Hozzáadja a kulcsot a rendszerleíró adatbázishoz annak biztosítására, hogy a program minden alkalommal fut, amikor a számítógép be van kapcsolva.
- Két folyamatot indít el: az egyik a fő folyamat, a második pedig a fő folyamat megóvását célozza.
A fájlok titkosítása
Torjan véletlenszerű szimmetrikus kulcsot generál mindegyik fájlhoz, amelyet titkosítani fog. akkor a kulcs tartalmával titkosítja a fájl tartalmát az AES algoritmussal. A program titkosítja a véletlen kulcsot egy aszimmetrikus public-private key (RSA) titkosítási algoritmussal és 1024 bitesnél nagyobb kulcsokkal (2048 bites hosszúságú kulcsokat vettünk fel), és hozzáadjuk a titkosított fájlhoz. Így a trójai biztosítja, hogy csak a tulajdonos a RSA saját kulcs lesz képes, hogy egy véletlen kulcsot, hogy használták a fájl titkosításához. Ezen kívül, mivel a számítógépes fájlok felülíródnak, lehetetlen speciális módszerekkel elérni őket.
Indítás után az első dolog, amit egy trójai tett, megkapja a nyilvános kulcsot (PK) a CC szerverétől. Ahhoz, hogy megtalálja aktív CC, trójai szerver tartalmazza a domain algoritmussal (DGA), az úgynevezett „Mersenne Twister» (Mersenne Twister) generáló véletlenszerű domain neveket. Ez az algoritmus az aktuális dátumot alapul veszi alapul, és naponta akár 1000 különböző méretű tartományt képes generálni.
A trójai letöltött PK után a következő Windows rendszerleíró kulcsot mentette el: HKCUSoftwareCryptoLockerPublic Key. Ezután elindítja a fájlok titkosítását a számítógép merevlemezén, valamint a fertőzött felhasználó hálózati meghajtón.
A CryptoLocker nem titkosítja az összes talált fájlt, és csak a nem kívánt futtatható fájlokat kódolja a rosszindulatú program kódjában található kiterjesztésekkel:
Ezenkívül a CryptoLocker minden titkosított fájlt a következő rendszerleíró kulcsba ír le:
Érdekes, hogy egy rosszindulatú program nem kéri ugyanazt a pénzt a felhasználóknak, de saját valutaváltási táblát tartalmaz.
Hogyan védekezzen a CryptoLocker-ről?
Jelenleg a vállalat a stratégiák és technológiák kifejlesztésére összpontosít a fokozott védelem érdekében. A Panda Security több mint 80 országban rendelkezik irodával. termékeit 23 nyelven fordítja le, és világszerte több mint 30 millió felhasználó használja.