რა არის CryptoLocker და როგორ ავიცილოთ თავიდან - სახელმძღვანელო Semalt- ისგან

CryptoLocker გამოსასყიდი პროგრამაა. გამოსასყიდი პროგრამის ბიზნეს მოდელს წარმოადგენს თანხის გამოძალვა ინტერნეტის მომხმარებლებისგან. CryptoLocker აძლიერებს იმ სამარცხვინო "პოლიციის ვირუსის" მავნე პროგრამის მიერ შემუშავებულ ტენდენციას, რომელიც ინტერნეტ მომხმარებლებს სთხოვს ფულის გადახდას მათი მოწყობილობების განბლოკვისთვის. CryptoLocker აიტაცებს მნიშვნელოვან დოკუმენტებს და ფაილებს და აცნობებს მომხმარებლებს, რომ გადაიხადონ გამოსასყიდი დადგენილ ვადაში.

ჯეისონ ადლერი, Semalt ციფრული სერვისების მენეჯერის წარმატების მენეჯერი, აღწერს CryptoLocker- ის უსაფრთხოებას და გთავაზობთ რამდენიმე დამაჯერებელ იდეას მის თავიდან ასაცილებლად.

Malware ინსტალაცია

CryptoLocker იყენებს სოციალური ინჟინერიის სტრატეგიებს ინტერნეტ მომხმარებლების მოსაწყობად, მის ჩამოტვირთვაზე და მართვაში. ელ.ფოსტის მომხმარებელი იღებს შეტყობინებას, რომელსაც აქვს პაროლით დაცული ZIP ფაილი. ელ.ფოსტის მითითებები უნდა იყოს ორგანიზაციიდან, რომელიც ლოჯისტიკური ბიზნესშია.

Trojan მუშაობს, როდესაც ელ.ფოსტის მომხმარებელი იხსნება ZIP ფაილი მითითებული პაროლის გამოყენებით. CryptoLocker- ის გამოვლენა რთულია, რადგან ის უპირატესობას ანიჭებს Windows- ის სტანდარტულ სტატუსს, რომელიც არ მიუთითებს ფაილის სახელის გაფართოებაზე. როდესაც მსხვერპლი ახლავს malware, Trojan ასრულებს სხვადასხვა საქმიანობას:

ა) Trojan ინახავს თავის საქაღალდეში, რომელიც განთავსებულია მომხმარებლის პროფილში, მაგალითად LocalAppData.

ბ) ტროას წარმოადგენს რეესტრის გასაღები. ეს მოქმედება უზრუნველყოფს კომპიუტერის ჩატვირთვის პროცესის დროს.

გ) იგი მოქმედებს ორ პროცესზე. პირველი არის მთავარი პროცესი. მეორე არის მთავარი პროცესის შეწყვეტის პრევენცია.

ფაილის დაშიფვრა

Trojan აწარმოებს შემთხვევითი სიმეტრიულ ღილაკს და იყენებს მას დაშიფრული ყველა ფაილზე. ფაილის შინაარსი დაშიფრულია AES ალგორითმის და სიმეტრიული ღილაკის გამოყენებით. შემთხვევითი გასაღები ამის შემდეგ დაშიფრულია ასიმეტრიული გასაღების დაშიფვრის ალგორითმის გამოყენებით (RSA). გასაღებები ასევე უნდა იყოს 1024 ბიტზე მეტი. არის შემთხვევები, როდესაც დაშიფვრის პროცესში გამოყენებულ იქნა 2048 ბიტიანი ღილაკი. Trojan უზრუნველყოფს, რომ კერძო RSA კლავიშის მიმწოდებელი იღებს შემთხვევით კლავიშს, რომელიც გამოყენებულია ფაილის დაშიფვრაში. შეუძლებელია გადაწერილი ფაილების მოძიება სასამართლო მიდგომის გამოყენებით.

გაშვების შემდეგ, Trojan იღებს საჯარო კლავიშს (PK) C&C სერვერისგან. აქტიური C&C სერვერის ადგილმდებარეობისას, Trojan იყენებს დომენის გენერაციის ალგორითმს (DGA) შემთხვევითი დომენური სახელების შესაქმნელად. DGA ასევე მოიხსენიება "Mersenne twister". ალგორითმი მოქმედებს მიმდინარე თარიღად, როგორც თესლი, რომელსაც შეუძლია დღეში ერთზე მეტი დომენის წარმოება. წარმოქმნილი დომენები სხვადასხვა ზომისაა.

Trojan გადმოწერს PK და ინახავს მას HKCUSoftwareCryptoLockerPublic Key. Trojan იწყებს ფაილების დაშიფვრას მყარ დისკზე და ქსელის ფაილები, რომლებიც იხსნება მომხმარებლის მიერ. CryptoLocker გავლენას არ ახდენს ყველა ფაილზე. ის მხოლოდ მიზნად ისახავს არაინსრულებელ ფაილებს, რომლებსაც აქვთ გაფართოებები, რომლებიც ილუსტრირებულია მავნე პროგრამის კოდში. ამ ფაილების გაფართოება მოიცავს * .odt, * .xls, * .pptm, * .rft, * .pem და * .jpg. ასევე, CryptoLocker იწერს ყველა ფაილს, რომელიც დაშიფრულია HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

დაშიფვრის პროცესის დასრულების შემდეგ, ვირუსი აჩვენებს შეტყობინებას, რომელიც ითხოვს გამოსასყიდის გადახდას დადგენილ დროში. გადახდა უნდა მოხდეს კერძო კლავიშის განადგურებამდე.

CryptoLocker– ის თავიდან აცილება

ა) ელ.ფოსტის მომხმარებლები უნდა იყვნენ ეჭვი უცნობი პირების ან ორგანიზაციების შეტყობინებების შესახებ.

ბ) ინტერნეტის მომხმარებლებმა უნდა გამორთონ ფარული ფაილების გაფართოებები, რათა გაუმჯობესდეს malware ან ვირუსის შეტევა.

გ) მნიშვნელოვანი ფაილები უნდა იყოს შენახული სარეზერვო სისტემაში.

დ) თუ ფაილები ინფიცირდება, მომხმარებელმა არ უნდა გადაიხადოს გამოსასყიდი. მავნე პროგრამის შემქმნელებს არასოდეს უნდა აჯილდოვოთ.