CryptoLocker คืออะไรและวิธีหลีกเลี่ยง - แนวทางจาก Semalt

CryptoLocker เป็น ransomware รูปแบบธุรกิจของ ransomware คือรีดไถเงินจากผู้ใช้อินเทอร์เน็ต CryptoLocker ปรับปรุงแนวโน้มที่พัฒนาโดยมัลแวร์ "ตำรวจไวรัส" ที่น่าอับอายที่ขอให้ผู้ใช้อินเทอร์เน็ตจ่ายเงินสำหรับการปลดล็อคอุปกรณ์ของพวกเขา CryptoLocker จี้เอกสารสำคัญและไฟล์และแจ้งให้ผู้ใช้ชำระค่าไถ่ภายในระยะเวลาที่กำหนด

Jason Adler ผู้จัดการความสำเร็จของลูกค้าของ Semalt Digital Services อธิบายเกี่ยวกับความปลอดภัยของ CryptoLocker และเสนอแนวคิดที่น่าสนใจเพื่อหลีกเลี่ยง

การติดตั้งมัลแวร์

CryptoLocker ใช้กลยุทธ์ทางวิศวกรรมสังคมเพื่อหลอกลวงผู้ใช้อินเทอร์เน็ตในการดาวน์โหลดและใช้งาน ผู้ใช้อีเมลได้รับข้อความที่มีไฟล์ ZIP ที่ป้องกันด้วยรหัสผ่าน อีเมลนั้นอ้างว่ามาจากองค์กรที่อยู่ในธุรกิจโลจิสติกส์

โทรจันจะทำงานเมื่อผู้ใช้อีเมลเปิดไฟล์ ZIP โดยใช้รหัสผ่านที่ระบุ เป็นการยากที่จะตรวจจับ CryptoLocker เนื่องจากใช้ประโยชน์จากสถานะเริ่มต้นของ Windows ที่ไม่ได้ระบุนามสกุลไฟล์ เมื่อเหยื่อรันมัลแวร์โทรจันจะทำกิจกรรมต่าง ๆ :

a) โทรจันจะบันทึกตัวเองไว้ในโฟลเดอร์ที่อยู่ในโปรไฟล์ของผู้ใช้ตัวอย่างเช่น LocalAppData

b) โทรจันแนะนำกุญแจสู่รีจิสตรี การดำเนินการนี้ช่วยให้มั่นใจได้ว่าจะทำงานในระหว่างกระบวนการบูทคอมพิวเตอร์

c) ทำงานโดยใช้สองกระบวนการ ที่แรกก็คือกระบวนการหลัก ประการที่สองคือการป้องกันการยกเลิกกระบวนการหลัก

การเข้ารหัสไฟล์

โทรจันสร้างคีย์สมมาตรแบบสุ่มและนำไปใช้กับไฟล์ทุกไฟล์ที่เข้ารหัส เนื้อหาของไฟล์ถูกเข้ารหัสโดยใช้อัลกอริทึม AES และคีย์สมมาตร หลังจากนั้นคีย์สุ่มจะถูกเข้ารหัสโดยใช้อัลกอริทึมการเข้ารหัสคีย์แบบอสมมาตร (RSA) ปุ่มควรมากกว่า 1024 บิต มีหลายกรณีที่ใช้คีย์ 2048 บิตในกระบวนการเข้ารหัส โทรจันทำให้ผู้ให้บริการของคีย์ RSA ส่วนตัวได้รับรหัสสุ่มที่ใช้ในการเข้ารหัสไฟล์ ไม่สามารถเรียกคืนไฟล์ที่ถูกเขียนทับโดยใช้วิธีการทางนิติวิทยาศาสตร์

เมื่อทำงานแล้วโทรจันจะได้รับรหัสสาธารณะ (PK) จากเซิร์ฟเวอร์ C&C ในการค้นหาเซิร์ฟเวอร์ C&C ที่ใช้งานอยู่โทรจันใช้อัลกอริทึมการสร้างโดเมน (DGA) เพื่อสร้างชื่อโดเมนแบบสุ่ม DGA เรียกอีกอย่างว่า "Mersenne twister" อัลกอริทึมใช้วันที่ปัจจุบันเป็นเมล็ดพันธุ์ที่สามารถผลิตได้มากกว่า 1,000 โดเมนต่อวัน โดเมนที่สร้างขึ้นมีหลายขนาด

โทรจันดาวน์โหลด PK และบันทึกไว้ใน HKCUSoftwareCryptoLockerPublic Key โทรจันเริ่มเข้ารหัสไฟล์ในฮาร์ดดิสก์และไฟล์เครือข่ายที่เปิดโดยผู้ใช้ CryptoLocker ไม่ส่งผลกระทบต่อไฟล์ทั้งหมด โดยจะกำหนดเป้าหมายไฟล์ที่ไม่สามารถเรียกทำงานได้ซึ่งมีส่วนขยายที่แสดงในรหัสของมัลแวร์ นามสกุลไฟล์เหล่านี้รวมถึง * .odt, * .xls, * .pptm, * .rft, * .pem และ * .jpg นอกจากนี้ CryptoLocker จะบันทึกไฟล์ทุกไฟล์ที่เข้ารหัสไว้ใน HKEY_CURRENT_USERSoftwareCryptoLockerFiles

หลังจากกระบวนการเข้ารหัสไวรัสจะแสดงข้อความขอให้ชำระค่าไถ่ภายในระยะเวลาที่กำหนด ควรชำระเงินก่อนที่คีย์ส่วนตัวจะถูกทำลาย

หลีกเลี่ยง CryptoLocker

a) ผู้ใช้อีเมลควรสงสัยข้อความจากบุคคลหรือองค์กรที่ไม่รู้จัก

b) ผู้ใช้อินเทอร์เน็ตควรปิดการใช้งานนามสกุลไฟล์ที่ซ่อนอยู่เพื่อปรับปรุงการระบุตัวตนของมัลแวร์หรือการโจมตีของไวรัส

c) ไฟล์สำคัญควรเก็บไว้ในระบบสำรอง

d) หากไฟล์ติดไวรัสผู้ใช้ไม่ควรจ่ายค่าไถ่ ผู้พัฒนามัลแวร์ไม่ควรได้รับรางวัล

mass gmail