CryptoLocker là gì và cách phòng tránh - Hướng dẫn từ Semalt

CryptoLocker là một ransomware. Mô hình kinh doanh của ransomware là tống tiền người dùng internet. CryptoLocker tăng cường xu hướng được phát triển bởi phần mềm độc hại "Virus cảnh sát" khét tiếng yêu cầu người dùng internet trả tiền để mở khóa thiết bị của họ. CryptoLocker chiếm quyền điều khiển các tài liệu và tệp quan trọng và thông báo cho người dùng trả tiền chuộc trong một khoảng thời gian đã nêu.

Jason Adler, Giám đốc Thành công của Khách hàng về Dịch vụ Kỹ thuật số Semalt , xây dựng về bảo mật CryptoLocker và cung cấp một số ý tưởng hấp dẫn để tránh điều đó.

Cài đặt phần mềm độc hại

CryptoLocker áp dụng các chiến lược kỹ thuật xã hội để lừa người dùng internet tải xuống và chạy nó. Người dùng email nhận được một tin nhắn có tệp ZIP được bảo vệ bằng mật khẩu. Các email có nghĩa là từ một tổ chức kinh doanh trong lĩnh vực hậu cần.

Trojan chạy khi người dùng email mở tệp ZIP bằng mật khẩu được chỉ định. Việc phát hiện CryptoLocker là một thách thức vì nó lợi dụng trạng thái mặc định của Windows không chỉ ra phần mở rộng tên tệp. Khi nạn nhân chạy phần mềm độc hại, Trojan thực hiện các hoạt động khác nhau:

a) Trojan lưu chính nó trong một thư mục nằm trong hồ sơ của người dùng, ví dụ, LocalAppData.

b) Trojan giới thiệu một khóa để đăng ký. Hành động này đảm bảo rằng nó chạy trong quá trình khởi động máy tính.

c) Nó chạy dựa trên hai quá trình. Đầu tiên là quá trình chính. Thứ hai là phòng ngừa chấm dứt quá trình chính.

Mã hóa tập tin

Trojan tạo ra khóa đối xứng ngẫu nhiên và áp dụng nó cho mọi tệp được mã hóa. Nội dung của tệp được mã hóa bằng thuật toán AES và khóa đối xứng. Khóa ngẫu nhiên sau đó được mã hóa bằng thuật toán mã hóa khóa bất đối xứng (RSA). Các khóa cũng phải nhiều hơn 1024 bit. Có những trường hợp sử dụng khóa 2048 bit trong quá trình mã hóa. Trojan đảm bảo rằng nhà cung cấp khóa RSA riêng nhận được khóa ngẫu nhiên được sử dụng trong mã hóa tệp. Không thể truy xuất các tệp được ghi đè bằng cách sử dụng phương pháp pháp y.

Sau khi chạy, Trojan sẽ lấy khóa chung (PK) từ máy chủ C & C. Khi định vị máy chủ C & C đang hoạt động, Trojan sử dụng thuật toán tạo miền (DGA) để tạo ra các tên miền ngẫu nhiên. DGA cũng được gọi là "twers Mersenne." Thuật toán áp dụng ngày hiện tại là hạt giống có thể tạo ra hơn 1.000 tên miền hàng ngày. Các miền được tạo có nhiều kích cỡ.

Trojan tải xuống PK và lưu nó trong Khóa HKCUSoftwareCryptoLockerPublic. Trojan bắt đầu mã hóa các tệp trong đĩa cứng và các tệp mạng được mở bởi người dùng. CryptoLocker không ảnh hưởng đến tất cả các tệp. Nó chỉ nhắm mục tiêu các tệp không thể thực thi có phần mở rộng được minh họa trong mã của phần mềm độc hại. Các phần mở rộng tệp này bao gồm * .odt, * .xls, * .pptm, * .rft, * .pem và * .jpg. Ngoài ra, CryptoLocker đăng nhập vào mọi tệp đã được mã hóa thành HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Sau quá trình mã hóa, virus hiển thị thông báo yêu cầu thanh toán tiền chuộc trong khoảng thời gian đã nêu. Việc thanh toán nên được thực hiện trước khi khóa riêng bị phá hủy.

Tránh CryptoLocker

a) Người dùng email nên nghi ngờ thư từ những người hoặc tổ chức không xác định.

b) Người dùng internet nên vô hiệu hóa các phần mở rộng tệp ẩn để cải thiện việc xác định phần mềm độc hại hoặc vi rút tấn công.

c) Các tập tin quan trọng nên được lưu trữ trong một hệ thống sao lưu.

d) Nếu tập tin bị nhiễm, người dùng không nên trả tiền chuộc. Các nhà phát triển phần mềm độc hại không bao giờ nên được khen thưởng.