Back to Question Center
0

CryptoLocker คืออะไรและจะหลีกเลี่ยงได้อย่างไร - คำแนะนำจาก Semalt

1 answers:

CryptoLocker เป็น ransomware รูปแบบธุรกิจของ ransomware คือการรีดไถเงินจากผู้ใช้อินเทอร์เน็ต CryptoLocker ช่วยเพิ่มแนวโน้มที่ได้รับการพัฒนาโดยมัลแวร์ "Police Virus" ที่น่าอับอายที่ขอให้ผู้ใช้อินเทอร์เน็ตจ่ายเงินเพื่อปลดล็อกอุปกรณ์ของตน CryptoLocker แย่งชิงเอกสารและไฟล์สำคัญ ๆ และแจ้งให้ผู้ใช้ชำระค่าไถ่ภายในระยะเวลาที่กำหนด

Jason Adler, ผู้จัดการฝ่ายลูกค้าสัมพันธ์ของ Semalt บริการดิจิตอลอธิบายเกี่ยวกับความปลอดภัยของ CryptoLocker และเสนอแนวคิดที่น่าสนใจเพื่อหลีกเลี่ยงปัญหาดังกล่าว

การติดตั้งมัลแวร์

CryptoLocker ใช้กลยุทธ์ทางสังคมศาสตร์เพื่อหลอกลวงให้ผู้ใช้อินเทอร์เน็ตดาวน์โหลดและเรียกใช้งาน ผู้ใช้อีเมลได้รับข้อความที่มีไฟล์ ZIP ที่ป้องกันด้วยรหัสผ่าน อีเมลนี้อ้างว่ามาจากองค์กรที่อยู่ในธุรกิจโลจิสติกส์

โทรจันจะทำงานเมื่อผู้ใช้อีเมลเปิดไฟล์ ZIP โดยใช้รหัสผ่านที่ระบุ เป็นการยากที่จะตรวจจับ CryptoLocker เนื่องจากใช้ประโยชน์จากสถานะดีฟอลต์ของ Windows ซึ่งไม่ได้ระบุนามสกุลไฟล์ เมื่อเหยื่อใช้มัลแวร์ Trojan จะดำเนินการกิจกรรมต่างๆ:

ก) โทรจันจะบันทึกตัวเองไว้ในโฟลเดอร์ที่อยู่ในโปรไฟล์ของผู้ใช้ตัวอย่างเช่น LocalAppData

b) Trojan แนะนำคีย์รีจิสทรี การดำเนินการนี้ช่วยให้แน่ใจได้ว่าจะทำงานในระหว่างกระบวนการบูตเครื่องคอมพิวเตอร์

c) ทำงานบนพื้นฐานของสองกระบวนการ ขั้นตอนแรกคือกระบวนการหลัก ประการที่สองคือการป้องกันการสิ้นสุดของกระบวนการหลัก

การเข้ารหัสไฟล์

Trojan สร้างคีย์สมมาตรแบบสุ่มและใช้กับไฟล์ทุกไฟล์ที่เข้ารหัส เนื้อหาของไฟล์ถูกเข้ารหัสโดยใช้อัลกอริทึม AES และคีย์แบบสมมาตร หลังจากนั้นคีย์ที่สุ่มถูกเข้ารหัสโดยใช้อัลกอริธึมการเข้ารหัสลับแบบไม่สมมาตร (RSA) คีย์ควรมีความยาวมากกว่า 1024 บิต.มีบางกรณีที่มีการใช้คีย์ 2048 บิตในกระบวนการเข้ารหัส โทรจันช่วยให้มั่นใจได้ว่าผู้ให้บริการคีย์ RSA ส่วนตัวจะได้รับคีย์แบบสุ่มที่ใช้ในการเข้ารหัสไฟล์ ไม่สามารถเรียกคืนไฟล์ที่ถูกเขียนทับโดยใช้วิธีการทางนิติเวช

เมื่อรันแล้วโทรจันจะได้รับคีย์สาธารณะ (PK) จากเซิร์ฟเวอร์ C & C ในการหาเซิร์ฟเวอร์ C & C ที่ใช้งานอยู่ Trojan จะใช้อัลกอริทึมการสร้างโดเมน (DGA) เพื่อสร้างชื่อโดเมนแบบสุ่ม DGA ยังเรียกว่า "Mersenne twister" อัลกอริทึมใช้วันที่ปัจจุบันเป็นเมล็ดพันธุ์ที่สามารถผลิตได้มากกว่า 1,000 โดเมนต่อวัน โดเมนที่สร้างขึ้นมีหลายขนาด

โทรจันจะดาวน์โหลด PK และบันทึกไว้ภายในคีย์ HKCUSoftwareCryptoLockerPublic โทรจันจะเริ่มเข้ารหัสไฟล์ในฮาร์ดดิสก์และไฟล์เครือข่ายที่ผู้ใช้เปิดไว้ CryptoLocker ไม่มีผลต่อไฟล์ทั้งหมด มีเป้าหมายเฉพาะไฟล์ที่ไม่สามารถกระทำได้ซึ่งมีนามสกุลที่แสดงในรหัสของมัลแวร์ นามสกุลไฟล์เหล่านี้ ได้แก่ * .odt, * .xls, * - best smart tv in india.pptm, * .rft, * .pem และ * .jpg นอกจากนี้ CryptoLocker ล็อกไฟล์ทุกไฟล์ที่เข้ารหัสลับไปยัง HKEY_CURRENT_USERSoftwareCryptoLockerFiles

หลังจากขั้นตอนการเข้ารหัสไวรัสจะมีข้อความแจ้งขอรับค่าไถ่ตามระยะเวลาที่ระบุไว้ การชำระเงินควรทำก่อนที่คีย์ส่วนตัวจะถูกทำลาย

หลีกเลี่ยงการ CryptoLocker

ก) ผู้ใช้อีเมลควรมีข้อสงสัยเกี่ยวกับข้อความจากบุคคลหรือองค์กรที่ไม่รู้จัก

b) ผู้ใช้อินเทอร์เน็ตควรปิดใช้งานส่วนขยายไฟล์ที่ซ่อนเพื่อปรับปรุงการระบุมัลแวร์หรือไวรัส

c) ไฟล์สำคัญควรเก็บไว้ในระบบสำรองข้อมูล

d) ถ้าไฟล์ติดไวรัสผู้ใช้ไม่ควรจ่ายค่าไถ่ นักพัฒนามัลแวร์ไม่ควรได้รับรางวัล

November 28, 2017