Vad är CryptoLocker och hur man undviker det - riktlinjen från Semalt

CryptoLocker är en ransomware. Affärsmodellen för ransomware är att utpressa pengar från internetanvändare. CryptoLocker förbättrar trenden som utvecklats av den ökända malware "Police Virus" som ber internetanvändare att betala pengar för att låsa upp sina enheter. CryptoLocker kapar viktiga dokument och filer och informerar användarna att betala lösen inom en angiven tidsperiod.

Jason Adler, kundframgångschef för Semalt Digital Services, utarbetar säkerheten CryptoLocker och ger några övertygande idéer för att undvika det.

Malware-installation

CryptoLocker tillämpar socialteknikstrategier för att lura internetanvändare att ladda ner och köra den. E-postanvändaren får ett meddelande som har en lösenordsskyddad ZIP-fil. E-postmeddelandet anses vara från en organisation som är inom logistikbranschen.

Trojan körs när e-postanvändaren öppnar ZIP-filen med det angivna lösenordet. Det är utmanande att upptäcka CryptoLocker eftersom det drar nytta av standardstatusen för Windows som inte anger filnamnstillägget. När offeret kör skadlig programvara utför trojanen olika aktiviteter:

a) Trojanen sparar sig i en mapp som finns i användarens profil, till exempel LocalAppData.

b) Trojan introducerar en nyckel till registret. Denna åtgärd säkerställer att den körs under datorstartprocessen.

c) Det körs baserat på två processer. Den första är huvudprocessen. Den andra är förebyggandet av avslutande av huvudprocessen.

Filkryptering

Trojan producerar den slumpmässiga symmetriska nyckeln och tillämpar den på alla filer som är krypterade. Filens innehåll är krypterat med AES-algoritmen och den symmetriska nyckeln. Slumpmässig nyckel krypteras därefter med hjälp av den asymmetriska nyckelkrypteringsalgoritmen (RSA). Nycklarna bör också vara mer än 1024 bitar. Det finns fall där 2048 bitars nycklar användes i krypteringsprocessen. Trojan ser till att leverantören av den privata RSA-nyckeln får den slumpmässiga nyckeln som används i krypteringen av filen. Det är inte möjligt att hämta de överskrivna filerna med den kriminaltekniska metoden.

När den har körts får Trojan den offentliga nyckeln (PK) från C & C-servern. För att hitta den aktiva C & C-servern använder Trojan domängenerationsalgoritmen (DGA) för att producera slumpmässiga domännamn. DGA kallas också "Mersenne twister." Algoritmen tillämpar det aktuella datumet som utsäde som kan producera mer än 1 000 domäner dagligen. De genererade domänerna har olika storlekar.

Trojan laddar ner PK och sparar den inom HKCUSoftwareCryptoLockerPublic Key. Trojan börjar kryptera filer på hårddisken och nätverksfilerna som öppnas av användaren. CryptoLocker påverkar inte alla filer. Den riktar sig bara till de icke-körbara filerna som har tillägg som visas i koden för skadlig programvara. Dessa filändelser inkluderar * .odt, * .xls, * .pptm, * .rft, * .pem och * .jpg. CryptoLocker loggar också in varje fil som har krypterats till HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Efter krypteringsprocessen visar viruset ett meddelande som begär betalning för lösen inom den angivna tidsperioden. Betalningen ska göras innan den privata nyckeln förstörs.

Undvika CryptoLocker

a) E-postanvändare bör vara misstänkta mot meddelanden från okända personer eller organisationer.

b) Internetanvändarna bör inaktivera de dolda filändelserna för att förbättra identifieringen av skadlig kod eller virusattack.

c) Viktiga filer bör lagras i ett säkerhetssystem.

d) Om filer infekteras bör användaren inte betala lösen. Malware-utvecklarna ska aldrig belönas.