CryptoLocker nədir və bundan necə qaçınmaq olar - Semalt-dan təlimat

CryptoLocker bir fidyə proqramdır. Ransomware-in biznes modeli internet istifadəçilərindən pul tələb etməkdir. CryptoLocker, internet istifadəçilərindən cihazlarının kilidini açmaq üçün pul ödəmələrini xahiş edən məşhur "Polis Virusu" zərərli proqramı tərəfindən hazırlanmış cərəyanı artırır. CryptoLocker vacib sənədlər və sənədləri qaçırır və istifadəçilərə müəyyən bir müddət ərzində fidyə ödəmələri barədə məlumat verir.

Semalt Digital Services-in Müştəri Müvəffəqiyyəti Meneceri Jason Adler, CryptoLocker təhlükəsizliyini inkişaf etdirir və bunun qarşısını almaq üçün bəzi məcburedici fikirlər təqdim edir.

Zərərli proqram quraşdırılması

CryptoLocker internet istifadəçilərini yükləmək və işə salmaq üçün aldatmaq üçün sosial mühəndislik strategiyaları tətbiq edir. E-poçt istifadəçisi parolla qorunan ZIP faylı olan bir mesaj alır. E-poçt logistika işində olan bir təşkilatdan olmağı hədəfləyir.

E-poçt istifadəçisi göstərilən paroldan istifadə edərək ZIP faylını açanda Trojan işə düşür. CryptoLocker-i aşkar etmək çətindir, çünki fayl adının genişlənməsini göstərməyən Windows'un standart vəziyyətindən faydalanır. Qurban zərərli proqramı işlədikdə, Trojan müxtəlif tədbirlər həyata keçirir:

a) Trojan istifadəçinin profilində yerləşən bir qovluqda özünü saxlayır, məsələn, LocalAppData.

b) Trojan qeyd üçün açar təqdim edir. Bu hərəkət kompüterin yükləmə prosesi zamanı işlədiyini təmin edir.

c) İki prosesə əsaslanaraq çalışır. Birincisi əsas prosesdir. İkincisi, əsas prosesin dayandırılmasının qarşısının alınmasıdır.

Fayl şifrələmə

Trojan təsadüfi simmetrik açarı çıxarır və şifrələnmiş hər bir fayla tətbiq edir. Faylın məzmunu AES alqoritmi və simmetrik açardan istifadə edərək şifrələnmişdir. Bundan sonra təsadüfi açar asimmetrik açar şifrələmə alqoritmi (RSA) istifadə edərək şifrələnir. Açarlar da 1024 bitdən çox olmalıdır. Şifrələmə prosesində 2048 bit açarlarının istifadə edildiyi hallar var. Trojan, xüsusi RSA açarının təminatçısının, faylın şifrələməsində istifadə olunan təsadüfi açarı əldə etməsini təmin edir. Məhkəmə yanaşmasından istifadə edərək yazılmış sənədləri geri almaq mümkün deyil.

İşlədikdən sonra Trojan C&C serverindən ictimai açarı (PK) alır. Aktiv C&C serverini taparkən Trojan, təsadüfi domen adlarını yaratmaq üçün domen yaratmaq alqoritmindən (DGA) istifadə edir. DGA da "Mersenne twister" olaraq xatırlanır. Alqoritm gündə 1000-dən çox domen istehsal edə biləcək toxum kimi mövcud tarixi tətbiq edir. Yaradılmış domenlər müxtəlif ölçülüdür.

Trojan PK-nı yükləyir və HKCUSoftwareCryptoLockerPublic Açar daxilində saxlayır. Trojan, sabit diskdə və istifadəçi tərəfindən açılan şəbəkə fayllarında şifrələməyə başlayır. CryptoLocker bütün fayllara təsir göstərmir. Yalnız zərərli proqramın kodunda göstərilən uzantıları olan işlənməyən faylları hədəf alır. Bu fayl uzantılarına * .odt, * .xls, * .pptm, * .rft, * .pem və * .jpg daxildir. Ayrıca, CryptoLocker HKEY_CURRENT_USERSoftwareCryptoLockerFiles-də şifrələnmiş hər bir faylı qeyd edir.

Şifrələmə əməliyyatından sonra virus, göstərilən müddət ərzində fidyə ödənilməsini tələb edən bir mesaj göstərir. Şəxsi açar məhv edilmədən əvvəl ödəniş edilməlidir.

CryptoLocker-dən qaçınmaq

a) Elektron poçt istifadəçiləri naməlum şəxslərin və ya təşkilatların mesajlarından şübhələnməlidirlər.

b) İnternet istifadəçiləri zərərli proqramın və ya virus hücumunun identifikasiyasını yaxşılaşdırmaq üçün gizli fayl uzantılarını əldən verməlidirlər.

c) Vacib sənədlər bir ehtiyat sistemində saxlanılmalıdır.

d) Əgər fayllar yoluxsa, istifadəçi fidyə verməməlidir. Zərərli proqram inkişaf etdiriciləri heç vaxt mükafatlandırılmamalıdırlar.