Wat ass CryptoLocker A Wéi Et Vermeit - D'Guidenlinn vum Semalt
CryptoLocker ass e Ransomware. De Geschäftsmodell vun der Ransomware ass Suen aus Internet Benotzer ze extortéieren. CryptoLocker verbessert den Trend, entwéckelt vum berühmten "Police Virus" Malware, deen d'Internet Benotzer freet fir Suen ze bezuelen fir hir Geräter ze spären. CryptoLocker kapéiert wichteg Dokumenter an Dateien an informéiert d'Benotzer fir d'Léisegeld bannent enger virgeschriwwener Dauer ze bezuelen.
De Jason Adler, de Clientsucces Manager vun Semalt Digital Services, baut iwwer d'CryptoLocker Sécherheet aus a stellt e puer zwingend Iddien fir et ze vermeiden.
Malware Installatioun
CryptoLocker applizéiert Sozial Ingenieursstrategien fir den Internet Benotzer ze trick fir se erofzelueden an ze lafen. Den E-Mail Benotzer kritt e Message deen e passwuertgeschützt ZIP Datei huet. Den E-Mail präziséiert vun enger Organisatioun ze sinn déi am Logistikgeschäft ass.
Den Trojan leeft wann den E-Mail Benotzer den ZIP Datei mat dem gezeechentene Passwuert öffnet. Et ass usprochsvoll fir den CryptoLocker z'entdecken, well et profitéiert vum Standardstatus vu Windows, deen net den Extensioun vum Dateinumm ugeet. Wann d'Affer de Malware leeft, fiert den Trojan verschidden Aktivitéiten:
a) Den Trojan späichert sech an engem Dossier, deen am Profil vum Benotzer steet, zum Beispill d'LokalAppData.
b) Den Trojan féiert e Schlëssel an de Registry of. Dës Aktioun garantéiert datt et am Computer Booting Prozess leeft.
c) Et leeft op Basis vu zwee Prozesser. Deen éischten ass den Haaptprozess. Déi zweet ass d'Vermeidung vun der Schlussaarbecht vum Haaptprozess.
Dateverschlësselung
Den Trojan produzéiert de zoufälleg symmetresche Schlëssel a setzt se op all Datei déi verschlësselt ass. Den Inhalt vun der Datei ass verschlësselt mam AES Algorithmus an dem symmetresche Schlëssel. De zoufällege Schlëssel gëtt duerno verschlësselt mat dem asymmetresche Schlësselverschlësselungsalgorithmus (RSA). D'Schlëssele sollten och méi wéi 1024 Stéck sinn. Et gi Fäll wou 2048 Bit Schlësselen am Verschlësselungsprozess benotzt goufen. Den Trojan garantéiert datt de Provider vum privaten RSA Schlëssel de zoufällege Schlëssel kritt deen an der Verschlësselung vun der Datei benotzt gëtt. Et ass net méiglech déi iwwerschriwwe Dateien mat der forensescher Approche zréckzeginn.
Eemol lafen, kritt den Trojan den ëffentleche Schlëssel (PK) vum C&C Server. Beim Lokaliséieren vum aktiven C&C Server benotzt den Trojan den Domain Generatioun Algorithmus (DGA) fir déi zoufälleg Domain Nimm ze produzéieren. DGA gëtt och als "Mersenne Twister" bezeechent. Den Algorithmus applizéiert den aktuellen Datum wéi d'Somen, déi all Dag méi wéi 1000 Domainen kënne produzéieren. Déi generéiert Domainen si vu verschiddene Gréissten.
Den Trojan luet de PK erof a spuert se am HKCUSoftwareCryptoLockerPublic Key. Den Trojan fänkt un Verschlësselung vun Dateien op der Festplack an den Netzwierkdateien déi vum Benotzer opgemaach ginn. CryptoLocker beaflosst net all d'Dateien. Et zielt just déi net-ausführbar Dateien, déi d'Extensiounen hunn, déi am Code vum Malware illustréiert sinn. Dës Dateiextensiounen enthalen * .odt, * .xls, * .pptm, * .rft, * .pem, an * .jpg. Och de CryptoLocker protokolléiert all Dateie déi verschlësselt ass op d'HKEY_CURRENT_USERSoftwareCryptoLockerFiles.
Nom Verschlësselungsprozess huet de Virus e Message ugefrot fir eng Bezuelung ze bezuele bannent der angeschriwwener Dauer. D'Bezuelung sollt gemaach ginn ier de private Schlëssel zerstéiert gëtt.
Vermeiden CryptoLocker
a) E-Mail Benotzer solle verdächteg si vu Messagen vun onbekannte Persounen oder Organisatiounen.
b) D'Internet Benotzer sollten déi verstoppte Datei-Extensiounen deaktivéieren fir d'Identifikatioun vum Malware oder Virusattack ze verbesseren.
c) Wichteg Dateien sollten an engem Backup System gelagert ginn.
d) Wann Dateien infizéiert ginn, sollt de Benotzer d'Bezuelen net bezuelen. D'Malware Entwéckler sollten ni belount ginn.