Što je cryptoLocker i kako to izbjeći - smjernica Semalt

CryptoLocker je ransomware. Poslovni model ransomwarea jest iznuđivanje novca od korisnika interneta. CryptoLocker pojačava trend koji je razvio zloglasni zlonamjerni softver "Police Virus" koji od internetskih korisnika traži da uplate novac za otključavanje njihovih uređaja. CryptoLocker otima važne dokumente i datoteke i obavještava korisnike da otkupninu plaćaju u navedenom roku.

Jason Adler, menadžer uspjeha korisnika Semalt Digital Services, razrađuje sigurnost CryptoLocker i pruža neke uvjerljive ideje kako ih izbjeći.

Instalacija zlonamjernog softvera

CryptoLocker primjenjuje strategije društvenog inženjeringa kako bi prevario internetske korisnike da ih preuzmu i pokrenu. Korisnik e-pošte dobiva poruku koja sadrži ZIP datoteku zaštićenu lozinkom. E-adresa navodno potiče od organizacije koja se bavi logistikom.

Trojanski program pokreće se kada korisnik e-pošte otvori ZIP datoteku pomoću naznačene lozinke. Otkrivanje CryptoLocker-a je izazovno jer koristi prednost zadanog statusa sustava Windows koji ne naznačuje proširenje naziva datoteke. Kad žrtva pokrene zlonamjerni softver, trojanac obavlja različite aktivnosti:

a) Trojanski se sprema u mapu koja se nalazi u korisnikovom profilu, na primjer, LocalAppData.

b) Trojanski jezik uvodi ključ registra. Ova radnja osigurava njegovo pokretanje tijekom postupka dizanja računala.

c) Radi na temelju dva procesa. Prvi je glavni postupak. Drugi je sprečavanje zaustavljanja glavnog postupka.

Šifriranje datoteka

Trojanski proizvodi slučajni simetrični ključ i primjenjuje ga na svaku šifriranu datoteku. Sadržaj datoteke šifrira se pomoću AES algoritma i simetričnog ključa. Slučajni ključ se nakon toga šifrira korištenjem algoritma za asimetrično šifriranje ključa (RSA). Ključevi bi također trebali biti veći od 1024 bita. Postoje slučajevi u kojima se u procesu šifriranja koristilo 2048 bitnih ključeva. Trojanski program osigurava da dobavljač privatnog RSA ključa dobije slučajni ključ koji se koristi u šifriranju datoteke. Prebrisane datoteke nije moguće preuzeti forenzičkim pristupom.

Nakon pokretanja, Trojan dobiva javni ključ (PK) sa C&C poslužitelja. Kada locira aktivni C&C poslužitelj, Trojan koristi algoritam generiranja domena (DGA) za proizvodnju slučajnih imena domena. DGA se također naziva i "Mersenne twister". Algoritam primjenjuje trenutni datum kao sjeme koje može proizvesti više od 1000 domena dnevno. Generirane domene različitih su veličina.

Trojanski program preuzima PK i sprema ga unutar HKCUSoftwareCryptoLockerPublic Key. Trojanski program započinje šifriranje datoteka na tvrdom disku i mrežnih datoteka koje je otvorio korisnik. CryptoLocker ne utječe na sve datoteke. Ciljano samo na neizvršljive datoteke s ekstenzijama koje su prikazane u kodu zlonamjernog softvera. Ove ekstenzije datoteka uključuju * .odt, * .xls, * .pptm, * .rft, * .pem i * .jpg. Također, CryptoLocker zapisuje u svaku datoteku koja je šifrirana u HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Nakon postupka šifriranja, virus prikazuje poruku u kojoj traži plaćanje otkupnine u navedenom vremenskom roku. Naplatu treba izvršiti prije nego što privatni ključ bude uništen.

Izbjegavanje CryptoLockera

a) Korisnici e-pošte trebaju biti sumnjičavi prema porukama nepoznatih osoba ili organizacija.

b) Korisnici interneta trebali bi onemogućiti skrivena proširenja datoteka kako bi poboljšali prepoznavanje zlonamjernog softvera ili virusa.

c) Važne datoteke trebaju se pohraniti u sigurnosnu kopiju.

d) Ako se datoteke zaraze, korisnik ne bi trebao platiti otkupninu. Programeri zlonamjernog softvera nikada ne bi trebali biti nagrađeni.