Hvad er CryptoLocker, og hvordan man undgår det - Retningslinjen for semalt

CryptoLocker er et løseprogram. Forretningsmodellen med ransomware er at afpakke penge fra internetbrugere. CryptoLocker forbedrer tendensen udviklet af den berygtede malware "Police Virus", der beder internetbrugere om at betale penge for at låse deres enheder op. CryptoLocker kaprer vigtige dokumenter og filer og informerer brugerne om at betale løsepenge inden for en angivet varighed.

Jason Adler, Customer Success Manager for Semalt Digital Services, uddyber CryptoLocker-sikkerheden og giver nogle overbevisende ideer for at undgå det.

Malware-installation

CryptoLocker anvender social engineering strategier for at narre internetbrugere til at downloade og køre det. E-mail-brugeren får en meddelelse, der har en adgangskodebeskyttet ZIP-fil. E-mailen hævder at være fra en organisation, der er i logistikbranchen.

Trojanen kører, når e-mailbrugeren åbner ZIP-filen ved hjælp af den angivne adgangskode. Det er udfordrende at registrere CryptoLocker, fordi det drager fordel af Windows-standardstatusen, der ikke angiver filnavnetudvidelsen. Når offeret kører malware, udfører Trojan forskellige aktiviteter:

a) Trojan gemmer sig selv i en mappe placeret i brugerens profil, for eksempel LocalAppData.

b) Trojan introducerer en nøgle til registreringsdatabasen. Denne handling sikrer, at den kører under computerstartprocessen.

c) Det kører baseret på to processer. Den første er hovedprocessen. Den anden er forebyggelse af afslutning af hovedprocessen.

Filkryptering

Trojan fremstiller den tilfældige symmetriske nøgle og anvender den til enhver fil, der er krypteret. Filens indhold er krypteret ved hjælp af AES-algoritmen og den symmetriske nøgle. Den tilfældige nøgle krypteres derefter ved hjælp af den asymmetriske nøglekrypteringsalgoritme (RSA). Tasterne skal også være mere end 1024 bit. Der er tilfælde, hvor 2048 bit nøgler blev brugt i krypteringsprocessen. Trojan sikrer, at udbyderen af den private RSA-nøgle får den tilfældige nøgle, der bruges til kryptering af filen. Det er ikke muligt at hente de overskrevne filer ved hjælp af den retsmedicinske tilgang.

Når den er kørt, får Trojan den offentlige nøgle (PK) fra C & C-serveren. I lokaliseringen af den aktive C & C-server bruger Trojan domænegenereringsalgoritmen (DGA) til at fremstille de tilfældige domænenavne. DGA kaldes også "Mersenne twister." Algoritmen anvender den aktuelle dato som frø, der kan producere mere end 1.000 domæner dagligt. De genererede domæner er i forskellige størrelser.

Trojan'en henter PK'en og gemmer den inden for HKCUSoftwareCryptoLockerPublic Key. Trojan begynder at kryptere filer på harddisken og de netværksfiler, der åbnes af brugeren. CryptoLocker påvirker ikke alle filerne. Det er kun målrettet mod de ikke-eksekverbare filer, der har udvidelserne, der er illustreret i malware-koden. Disse filtypenavne inkluderer * .odt, * .xls, * .pptm, * .rft, * .pem og * .jpg. CryptoLocker logger også ind i hver fil, der er krypteret til HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Efter krypteringsprocessen viser virussen en meddelelse, der anmoder om betaling af løsepenge inden for den angivne tidsvarighed. Betalingen skal foretages, før den private nøgle ødelægges.

Undgå CryptoLocker

a) E-mail-brugere skal være mistænkelige over for meddelelser fra ukendte personer eller organisationer.

b) Internetbrugere skal deaktivere de skjulte filtypenavne for at forbedre identificeringen af malware eller virusangreb.

c) Vigtige filer skal gemmes i et backup-system.

d) Hvis filer bliver inficeret, skal brugeren ikke betale løsepenge. Malware-udviklere bør aldrig belønnes.