Back to Question Center
0

Hvad er CryptoLocker og hvordan man undgår det - Guideline From Semalt

1 answers:

CryptoLocker er en ransomware. Ransomware forretningsmodel er at uddrive penge fra internetbrugere. CryptoLocker forbedrer trenden udviklet af den berygtede "Police Virus" malware, der beder internetbrugere om at betale penge for at låse deres enheder op. CryptoLocker kapsler vigtige dokumenter og filer og informerer brugerne om at betale løsepenge inden for en angivet varighed - office network cabling services.

Jason Adler, kundesucceschef for Semalt Digital Services, uddyber CryptoLocker-sikkerheden og giver nogle overbevisende ideer til at undgå det.

Malware Installation

CryptoLocker anvender strategier for social engineering til at narre internetbrugere til at downloade og køre den. E-mail-brugeren får en besked, der har en adgangskodebeskyttet ZIP-fil. E-mailen angives at være fra en organisation, der er i logistikbranchen.

Trojanen kører, når e-mail-brugeren åbner ZIP-filen ved hjælp af det angivne kodeord. Det er udfordrende at opdage CryptoLocker, fordi det udnytter standardstatus for Windows, der ikke angiver filnavnet. Når offeret kører malware, udfører trojanen forskellige aktiviteter:

a) Trojanen gemmer sig i en mappe, der er placeret i brugerens profil, for eksempel LocalAppData.

b) Trojanen introducerer en nøgle til registreringsdatabasen. Denne handling sikrer, at den kører under computerstartprocessen.

c) Den kører ud fra to processer. Den første er den vigtigste proces. Det andet er at forhindre afslutning af hovedprocessen.

Filkryptering

Trojanen producerer den tilfældige symmetriske nøgle og anvender den på hver fil, der er krypteret. Indholdet af filen er krypteret ved hjælp af AES-algoritmen og den symmetriske nøgle. Den tilfældige nøgle krypteres derefter ved hjælp af den asymmetriske nøglekrypteringsalgoritme (RSA). Nøglerne skal også være mere end 1024 bits..Der er tilfælde hvor 2048 bit nøgler blev brugt i krypteringsprocessen. Trojanen sikrer, at udbyderen af ​​den private RSA-nøgle får den tilfældige nøgle, der anvendes i kryptering af filen. Det er ikke muligt at hente de overskrevne filer ved hjælp af retsmedicinsk tilgang.

Når en gang løber, får trojanen den offentlige nøgle (PK) fra C & C-serveren. Ved at finde den aktive C & C-server bruger trojanen domain generationsalgoritmen (DGA) til at producere de tilfældige domænenavne. DGA kaldes også "Mersenne Twister". Algoritmen anvender den nuværende dato som det frø, der kan producere mere end 1.000 domæner dagligt. De genererede domæner har forskellige størrelser.

Trojanen overfører PK'en og gemmer den inden for HKCUSoftwareCryptoLockerPublic Key. Trojanen begynder at kryptere filer på harddisken og de netværksfiler, der åbnes af brugeren. CryptoLocker påvirker ikke alle filer. Det er kun målrettet mod de ikke-eksekverbare filer, der har de udvidelser, der er illustreret i malwarekode. Disse filtyper omfatter * .odt, * .xls, * .pptm, * .rft, * .pem og * .jpg. CryptoLocker logger også i hver fil, der er krypteret til HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Efter krypteringsprocessen viser viruset en besked, der anmoder om løsepengebetaling inden for den angivne tidsperiode. Betalingen skal foretages inden den private nøgle er ødelagt.

Undgå CryptoLocker

a) E-mail-brugere skal være mistænkelige for meddelelser fra ukendte personer eller organisationer.

b) Internetbrugere skal deaktivere de skjulte filudvidelser for at forbedre identifikationen af ​​malware eller virusangreb.

c) Vigtige filer skal gemmes i et backup-system.

d) Hvis filer bliver inficeret, skal brugeren ikke betale løsepenge. Malware-udviklerne bør aldrig belønnes.

November 28, 2017