CryptoLocker деген эмне жана андан кантип сактануу керек - Semaltтан алынган көрсөтмө

CryptoLocker - бул ransomware. Ransomware бизнес модели интернет колдонуучулардан акча талап кылуу болуп саналат. CryptoLocker интернет колдонуучулардан өз түзмөктөрүнүн кулпусун ачуу үчүн акча төлөөнү талап кылган атактуу "Police Virus" зыяндуу программасы тарабынан иштелип чыккан тенденцияны күчөтөт. CryptoLocker маанилүү документтерди жана файлдарды тартып алат жана колдонуучуларга белгиленген мөөнөттө кун төлөп турууну маалымдайт.

Semalt Digital Services Кардарлардын Ийгиликтери боюнча Менеджери Джейсон Адлер CryptoLocker коопсуздугун иштеп чыгып, андан алыс болуу үчүн бир нече ынанымдуу идеяларды сунуштайт.

Кесепеттүү программа орнотуу

CryptoLocker интернет колдонуучуларды жүктөп алуу жана иштетүү үчүн алдоо үчүн социалдык инженердик стратегияларды колдонот. Электрондук почта колдонуучусу сырсөз менен корголгон ZIP файлын камтыган билдирүү алат. Электрондук почта логистикалык бизнестеги уюмдан болууну билдирет.

Электрондук почта колдонуучусу көрсөтүлгөн паролду пайдаланып ZIP файлын ачканда троян иштейт. CryptoLockerди аныктоо кыйынга турат, анткени ал Windowsтын демейки абалын пайдаланып, файлдын аталышын кеңейтүүнү көрсөтпөйт. Жабырлануучу кесепеттүү программаны иштеткенде, троян ар кандай иш-аракеттерди аткарат:

а) Троян колдонуучунун профилинде жайгашкан папкада сакталат, мисалы, LocalAppData.

б) троян реестрге ачкыч киргизет. Бул аракет компьютерди жүктөө процессинде иштешин камсыз кылат.

в) эки процесстин негизинде иштейт. Биринчиси - бул негизги процесс. Экинчиси - негизги процессти токтотуунун алдын алуу.

Файлды шифрлөө

Троян кокус симметриялуу ачкычты чыгарат жана аны шифрленген ар бир файлга колдонот. Файлдын мазмуну AES алгоритми жана симметриялык ачкычты колдонуу менен шифрленген. Андан кийин кокус ачкыч шифрлөө алгоритминин (RSA) жардамы менен шифрленет. Баскычтар 1024 биттен ашык болушу керек. Шифрлөө процессинде 2048 биттик баскычтар колдонулган учурлар бар. Троян жеке RSA ачкычынын провайдерине файлды шифрлөөдө колдонулган кокустук ачкычты алууну камсыз кылат. Соттук ыкманы колдонуп, кайра жазылган файлдарды кайтарып алуу мүмкүн эмес.

Бир жолу иштетилгенден кийин, троян C&C серверинен ачык ачкычты (PK) алат. Активдүү C&C серверин табууда, кокустук домендик аталыштарды чыгаруу үчүн домен түзүү алгоритми (DGA) колдонулат. DGA "Mersenne twister" деп да аталат. Алгоритм учурдагы датаны күн сайын 1000ден ашык домендерди өндүрө турган урук катары колдонот. Түзүлгөн домендер ар кандай көлөмдө болот.

Троян PK жүктөп алып, аны HKCUSoftwareCryptoLockerPublic Ачкычтын ичинде сактайт. Троян файлдарды жана колдонуучу ачкан тармак файлдарын шифрлөөнү баштайт. CryptoLocker бардык файлдарга таасир бербейт. Бул кеңейтүүлөрү бар, кесепеттүү программанын кодунда сүрөттөлгөн файлдарды гана көздөйт. Бул файлдар кеңейтүүлөрүнө * .odt, * .xls, * .pptm, * .rft, * .pem, жана * .jpg кирет. Ошондой эле, CryptoLocker HKEY_CURRENT_USERSoftwareCryptoLockerFiles шифрленген ар бир файлга кирет.

Шифрлөө процесси аяктагандан кийин, вирус көрсөтүлгөн убакыттын ичинде кун төлөп берүүнү талап кылган билдирүүнү көрсөтөт. Жеке ачкыч жок кылынганга чейин, төлөө керек.

CryptoLockerден качыңыз

а) Электрондук почта колдонуучулары белгисиз адамдардан же уюмдардан келген билдирүүлөргө шектүү болушу керек.

b) Интернет колдонуучулары кесепеттүү программанын же вирустук чабуулдун идентификациясын жогорулатуу үчүн жашырылган файл кеңейтүүлөрүн өчүрүшү керек.

в) Маанилүү файлдарды резервдик тутумда сактоо керек.

г) Эгерде файлдар жуккан болсо, колдонуучу кун төлөбөшү керек. Зыянкеч программа иштеп чыккандар эч качан сыйланбашы керек.