CryptoLocker деген не және оны қалай болдырмауға болады - Semalt-тан алынған нұсқаулық

CryptoLocker - бұл төлем құралы. Reware бағдарламалық жасақтамасының бизнес-моделі - интернетті пайдаланушылардан ақша талап ету. CryptoLocker интернет-пайдаланушылардан өз құрылғыларының құлпын ашқаны үшін ақша төлеуді сұрайтын атақты «Полиция вирусы» зиянды бағдарламасы жасаған үрдісті жақсартады. CryptoLocker маңызды құжаттар мен файлдарды ұрлап, пайдаланушыларға төлемді белгіленген мерзімде төлеуге міндеттейді.

Джейсон Адлер, Semalt Digital Services клиенттерінің сәттілік менеджері, CryptoLocker қауіпсіздігі туралы егжей-тегжейлі айтып, оны болдырмауға арналған бірнеше идеяларды ұсынады.

Зиянды бағдарламаны орнату

CryptoLocker Интернет-қолданушыларды оны жүктеп, іске қосу үшін алдау үшін әлеуметтік инженерлік стратегияларды қолданады. Электрондық пошта пайдаланушысы құпия сөзбен қорғалған ZIP файлы бар хабарлама алады. Электрондық пошта логистикалық бизнестегі ұйымнан болуы керек.

Электрондық пошта пайдаланушысы көрсетілген парольді пайдаланып ZIP файлын ашқан кезде троян іске қосылады. CryptoLocker анықтау қиын, себебі ол Windows-тың әдепкі күйін қолданады, ол файл атауының кеңеюін көрсетпейді. Зардап шегуші зиянды бағдарламаны іске қосқан кезде, троян әртүрлі әрекеттерді орындайды:

а) троян өзін пайдаланушының профилінде орналасқан қалтада сақтайды, мысалы, LocalAppData.

б) троян тіркелімнің кілтін ұсынады. Бұл әрекет оның компьютерді жүктеу процесінде іске қосылуын қамтамасыз етеді.

в) екі процестің негізінде жұмыс істейді. Біріншісі - негізгі процесс. Екіншісі - негізгі процесті тоқтатудың алдын алу.

Файлды шифрлау

Троян кездейсоқ симметриялы кілтті шығарады және оны шифрланған барлық файлдарға қолданады. Файлдың мазмұны AES алгоритмі мен симметриялы кілт көмегімен шифрланған. Содан кейін кездейсоқ кілт ассиметриялық кілт шифрлау алгоритмінің (RSA) көмегімен шифрланады. Кілттер 1024 биттен көп болуы керек. Шифрлау процесінде 2048 биттік кілттер қолданылған жағдайлар бар. Троян RSA жеке кілтінің провайдеріне файлды шифрлау кезінде қолданылатын кездейсоқ кілтті алуға кепілдік береді. Сот сараптамасын қолдана отырып, қайта жазылған файлдарды шығару мүмкін емес.

Троян C-C серверінен ашық кілтті алады. Белсенді C&C серверін табуда троян кездейсоқ домен атауларын шығару үшін домен құру алгоритмін (DGA) қолданады. DGA сонымен қатар «Mersenne twister» деп аталады. Алгоритм күнді күн сайын 1000-нан астам домендер шығара алатын тұқым ретінде қолданады. Жасалған домендер әртүрлі мөлшерде болады.

Троян PK-ны жүктейді және оны HKCUSoftwareCryptoLockerPublic Key ішінде сақтайды. Троян файлдарды қатты дискіге және пайдаланушы ашқан желілік файлдарға шифрлауды бастайды. CryptoLocker барлық файлдарға әсер етпейді. Ол тек кеңейтімі бар, зиянды бағдарламаның кодында суреттелетін орындалмайтын файлдарға бағытталған. Бұл файлдардың кеңейтілуіне * .odt, * .xls, * .pptm, * .rft, * .pem және * .jpg жатады. Сондай-ақ, CryptoLocker HKEY_CURRENT_USERS бағдарламалық қамтамасыздандыруCryptoLockerFiles-ке шифрланған барлық файлдарды тіркейді.

Шифрлау процедурасынан кейін вирус көрсетілген уақыт аралығында төлем төлеу туралы хабарламаны көрсетеді. Төлем жеке кілт жойылғанға дейін жасалуы керек.

CryptoLocker-тен аулақ болу

a) Электрондық поштаны пайдаланушылар белгісіз адамдардан немесе ұйымдардың хабарламаларынан күдікті болуы керек.

b) Интернетті пайдаланушылар зиянды бағдарламаның немесе вирус шабуылының идентификациясын жақсарту үшін жасырын файл кеңейтімдерін өшіруі керек.

c) Маңызды файлдар резервтік жүйеде сақталуы керек.

d) Егер файлдар жұқтырылса, пайдаланушы төлем төлемеуі керек. Зиянды бағдарламаны жасаушылар ешқашан марапатталмауы керек.