Ինչ է CryptoLocker- ը և ինչպես խուսափել դրանից `ուղեցույց Semalt- ից

CryptoLocker- ը փրկագին է: Ransomware- ի բիզնեսի մոդելը ինտերնետ օգտագործողներից փող շորթելն է: CryptoLocker- ը ուժեղացնում է տխրահռչակ «Ոսկե վիրուս» չարամիտ չարամիտ ծրագրի կողմից մշակված միտումը, որը ինտերնետից օգտվողներին խնդրում է գումար վճարել իրենց սարքերը բացելու համար: CryptoLocker- ը առևանգում է կարևոր փաստաթղթերն ու ֆայլերը և տեղեկացնում է օգտագործողներին վճարման համար վճարել նշված տևողությամբ:

Digitalեյսոն Ադլերը, Semalt թվային ծառայությունների հաճախորդների հաջողության մենեջերը, ներկայացնում է CryptoLocker- ի անվտանգությունը և տալիս է մի շարք համոզիչ գաղափարներ `դրանից խուսափելու համար:

Չարամիտ տեղադրում

CryptoLocker- ը կիրառում է սոցիալական ինժեներական ռազմավարություններ `ինտերնետ օգտագործողներին խաբելու համար` այն ներբեռնելու և գործարկելու համար: Էլ.փոստի օգտագործողը ստանում է հաղորդագրություն, որն ունի գաղտնաբառով պաշտպանված ZIP ֆայլ: Էլփոստը ենթադրում է, որ այն կազմակերպությունից է, որը գտնվում է լոգիստիկ բիզնեսում:

Trojan- ն աշխատում է, երբ էլփոստի օգտագործողը նշված գաղտնաբառով բացում է ZIP ֆայլը: CryptoLocker- ը հայտնաբերելու համար դժվար է, քանի որ այն օգտվում է Windows- ի լռելյայն կարգավիճակից, որը չի նշում ֆայլի անվան երկարացումը: Երբ զոհը վարում է չարամիտ ծրագիրը, Trojan- ն իրականացնում է տարբեր գործողություններ.

ա) Տրոյանը պահպանում է իրեն օգտագործողի պրոֆիլում տեղակայված թղթապանակում, օրինակ ՝ LocalAppData:

բ) Տրոյական համակարգը ներկայացնում է գրանցամատյանի բանալին: Այս գործողությունն ապահովում է, որ այն ընթանում է համակարգչի բեռնման գործընթացում:

գ) Այն անցնում է երկու պրոցեսի հիման վրա: Առաջինը հիմնական գործընթացն է: Երկրորդը `հիմնական գործընթացի դադարեցման կանխարգելումն է:

Ֆայլերի կոդավորում

Trojan- ն արտադրում է պատահական սիմետրիկ բանալին և այն կիրառում է կոդավորված յուրաքանչյուր ֆայլի վրա: Ֆայլի բովանդակությունը կոդավորված է AES ալգորիթմի և սիմետրիկ ստեղնաշարի միջոցով: Դրանից հետո պատահական բանալին կոդավորված է ՝ օգտագործելով ասիմետրիկ բանալիների կոդավորման ալգորիթմը (RSA): Ստեղները պետք է լինեն նաև ավելի քան 1024 բիթ: Կան դեպքեր, երբ գաղտնագրման գործընթացում օգտագործվել են 2048 բիթ ստեղներ: Trojan- ն ապահովում է, որ մասնավոր RSA ստեղն ապահովողը ստանա պատահական բանալին, որն օգտագործվում է ֆայլի կոդավորման մեջ: Հնարավոր չէ վերականգնել վերգրված ֆայլերը ՝ դատաբժշկական մոտեցմամբ:

Գործարկելուց հետո Trojan- ը ստանում է հանրային բանալին (PK) C&C սերվերից: Ակտիվ C&C սերվերը տեղակայելու դեպքում Trojan- ն օգտագործում է դոմենի ստեղծման ալգորիթմը (DGA) `պատահական տիրույթի անուններ արտադրելու համար: DGA- ին անվանում են նաև «Մերսենի պտտահող»: Ալգորիթմը կիրառում է ընթացիկ ամսաթիվը որպես սերմ, որը կարող է օրական արտադրել ավելի քան 1000 տիրույթ: Ստեղծված տիրույթները տարբեր չափերի են:

Trojan- ը ներբեռնում է PK- ն և պահպանում է այն HKCUSoftwareCryptoLockerPublic Key- ի շրջանակներում: Trojan- ը սկսում է կոդավորող սկավառակների և ֆայլերի կոդավորումը, որոնք բացվում են օգտագործողի կողմից: CryptoLocker- ը չի ազդում բոլոր ֆայլերի վրա: Այն թիրախավորում է միայն այն չիրականացված ֆայլերը, որոնք ունեն ընդարձակումներ, որոնք պատկերված են չարամիտ կոդով: Այս ֆայլերի ընդարձակումներն ընդգրկում են * .odt, * .xls, * .pptm, * .rft, * .pem և * .jpg: Բացի այդ, CryptoLocker- ը մուտք է գործում յուրաքանչյուր ֆայլ, որը կոդավորված է HKEY_CURRENT_USERSoftwareCryptoLockerFiles- ում:

Գաղտնագրման գործընթացից հետո վիրուսը ցույց է տալիս հաղորդագրություն, որը հայցում է փրկագին վճարել նշված ժամկետում: Վճարը պետք է կատարվի նախքան անձնական բանալին քանդելը:

CryptoLocker- ից խուսափելը

ա) էլփոստի օգտագործողները պետք է կասկածելի լինեն անհայտ անձանց կամ կազմակերպությունների հաղորդագրություններից:

բ) Համացանցի օգտագործողները պետք է անջատեն թաքնված ֆայլի ընդարձակումները `չարամիտ կամ վիրուսի հարձակման նույնականացումը բարելավելու համար:

գ) Կարևոր ֆայլերը պետք է պահվեն պահեստային համակարգում:

դ) Եթե ֆայլերը վարակվեն, օգտագործողը չպետք է վճարի փրկագինը: Չարամիտ ծրագրավորողները երբեք չպետք է հատուցվեն: