Back to Question Center
0

Wat is CryptoLocker en hoe om dit te vermy - Die riglyn van Semalt

1 answers:

CryptoLocker is 'n ransomware. Die sakemodel van die ransomware is om geld van internetgebruikers te onttrek. CryptoLocker verbeter die tendens wat ontwikkel is deur die berugte "Police Virus" malware wat internetgebruikers vra om geld te betaal om hul toestelle te ontsluit. CryptoLocker kap belangrike dokumente en lêers en informeer die gebruikers om die losprys binne 'n vasgestelde duur te betaal.

Jason Adler, die Customer Success Manager van Semalt Digital Services, brei uit oor die CryptoLocker-sekuriteit en bied 'n paar dwingende idees om dit te vermy.

Installasie van malware

CryptoLocker pas maatskaplike ingenieursstrategieë toe om internetgebruikers te bedrieg om dit af te laai en te laat loop. Die e-pos gebruiker kry 'n boodskap met 'n wagwoord-beskermde zip-lêer. Die e-pos blyk uit 'n organisasie wat in die logistieke besigheid is.

Die Trojan loop wanneer die e-pos gebruiker die zip-lêer oopmaak met die aangeduide wagwoord. Dit is 'n uitdaging om die CryptoLocker op te spoor omdat dit gebruik maak van die standaardstatus van Windows wat nie die uitbreiding van die lêernaam aandui nie. Wanneer die slagoffer die malware uitvoer, voer die Trojaan verskeie aktiwiteite uit:

a) Die Trojan red hom in 'n vouer wat in die gebruiker se profiel geleë is, byvoorbeeld die LocalAppData.

b) Die Trojan stel 'n sleutel vir die register in. Hierdie aksie verseker dat dit tydens die rekenaar opstartproses loop.

c) Dit loop gebaseer op twee prosesse. Die eerste is die hoofproses. Die tweede is die voorkoming van die beëindiging van die hoofproses.

Lêer enkripsie

Die Trojan produseer die ewekansige simmetriese sleutel en pas dit toe op elke lêer wat geïnkripteer is. Die inhoud van die lêer is geïnkripteer met behulp van die AES-algoritme en die simmetriese sleutel. Die ewekansige sleutel word dan geënkripteer met behulp van die asymmetriese sleutel enkripsie algoritme (RSA). Die sleutels moet ook meer as 1024 bisse wees..Daar is gevalle waar 2048 bisleutels in die enkripsieproses gebruik is. Die Trojan verseker dat die verskaffer van die private RSA sleutel die willekeurige sleutel kry wat gebruik word in die enkripsie van die lêer. Dit is nie moontlik om die oorgeskrewe lêers op te haal met behulp van die forensiese benadering nie.

Die Trojan kry eenmaal die publieke sleutel (PK) van die C & C-bediener. By die opspoor van die aktiewe C & C-bediener gebruik die Trojan die domeingenereringsalgoritme (DGA) om die ewekansige domeinname te produseer. DGA word ook die "Mersenne Twister" genoem. Die algoritme pas die huidige datum toe as die saad wat daagliks meer as 1000 domeine kan produseer. Die gegenereerde domeine is van verskillende groottes.

Die Trojan aflaai die PK en stoor dit binne die HKCUSoftwareCryptoLockerPublic Key. Die Trojan begin met die enkripsie van lêers op die hardeskyf en die netwerklêers wat deur die gebruiker geopen word. CryptoLocker beïnvloed nie al die lêers nie. Dit is slegs gerig op die nie-uitvoerbare lêers met die uitbreidings wat in die kode van die malware geïllustreer word. Hierdie lêers uitbreidings sluit in * .odt, * .xls, * .pptm, *. Rft, * .pem, en * .jpg. Ook log die CryptoLocker in elke lêer wat geïnkripteer is na die HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Na die enkripsieproses toon die virus 'n boodskap waarin die lening binne lopende tydsduur versoek word vir losprysbetalings. Die betaling moet gemaak word voordat die privaat sleutel vernietig word.

Vermy CryptoLocker

a) E-pos gebruikers moet agterdogtig wees van boodskappe van onbekende persone of organisasies.

b) Die internetgebruikers moet die verborge lêeruitbreidings deaktiveer om die identifikasie van die malware of virusaanval te verbeter.

c) Belangrike lêers moet in 'n rugsteunstelsel gestoor word.

d) Indien lêers besmet word, moet die gebruiker nie die losprys betaal nie. Die malware-ontwikkelaars moet nooit beloon word nie.

November 28, 2017
Wat is CryptoLocker en hoe om dit te vermy - Die riglyn van Semalt
Reply