Back to Question Center
0

ສິ່ງທີ່ CryptoLocker ແລະວິທີການຫຼີກລ້ຽງມັນ - ຄໍາແນະນໍາຈາກ Semalt

1 answers:

CryptoLocker ເປັນ ransomware. ຮູບແບບທຸລະກິດຂອງ ransomware ແມ່ນເພື່ອຂູດເງິນຈາກຜູ້ໃຊ້ອິນເຕີເນັດ. CryptoLocker ເສີມຂະຫຍາຍແນວໂນ້ມທີ່ພັດທະນາໂດຍ malware "ໄວຣັສຕໍາຫຼວດ" ທີ່ຮຽກຮ້ອງໃຫ້ຜູ້ໃຊ້ອິນເຕີເນັດຈ່າຍເງິນສໍາລັບການ unlock ອຸປະກອນຂອງພວກເຂົາ. CryptoLocker hijacks ເອກະສານທີ່ສໍາຄັນແລະໄຟລ໌ແລະແຈ້ງໃຫ້ຜູ້ໃຊ້ຈ່າຍຄ່າໄຖ່ພາຍໃນໄລຍະເວລາລະບຸ.

Jason Adler ຜູ້ຈັດການຄວາມສໍາເລັດຂອງລູກຄ້າຂອງ Semalt ບໍລິການດິຈິຕອນ, ອະທິບາຍກ່ຽວກັບຄວາມປອດໄພຂອງ CryptoLocker ແລະສະຫນອງແນວຄວາມຄິດທີ່ຫນ້າສົນໃຈບາງຢ່າງເພື່ອຫຼີກລ່ຽງມັນ.

ການຕິດຕັ້ງມັນແວ

CryptoLocker ນໍາໃຊ້ກົນລະຍຸດວິສະວະກໍາສັງຄົມເພື່ອຫລີ້ນຜູ້ໃຊ້ອິນເຕີເນັດເພື່ອດາວໂຫລດແລະດໍາເນີນການ. ຜູ້ໃຊ້ອີເມວໄດ້ຮັບຂໍ້ຄວາມທີ່ມີລະຫັດ ZIP ທີ່ປ້ອງກັນລະຫັດຜ່ານ. ອີເມວທີ່ຖືກຕ້ອງແມ່ນມາຈາກອົງການຈັດຕັ້ງທີ່ຢູ່ໃນທຸລະກິດການຂົນສົ່ງ.

Trojan ທີ່ເນັ້ນໃນເວລາທີ່ຜູ້ໃຊ້ອີເມວເປີດແຟ້ມ ZIP ໂດຍໃຊ້ລະຫັດຜ່ານທີ່ລະບຸ. ມັນເປັນສິ່ງທ້າທາຍທີ່ຈະກວດສອບ CryptoLocker ເພາະວ່າມັນໃຊ້ເວລາປະໂຫຍດຈາກສະຖານະພາບແບບເດີມຂອງ Windows ທີ່ບໍ່ໄດ້ບອກການຂະຫຍາຍຊື່ແຟ້ມ. ໃນເວລາທີ່ຜູ້ຖືກເຄາະຮ້າຍດໍາເນີນການ malware, Trojan ປະຕິບັດກິດຈະກໍາຕ່າງໆ:

a) Trojan saves ຕົວມັນເອງຢູ່ໃນໂຟເດີທີ່ຕັ້ງຢູ່ໃນໂປແກຼມຂອງຜູ້ໃຊ້, ເຊັ່ນ: LocalAppData.

ຂ) Trojan ນໍາຫລັກສໍາລັບການຈົດທະບຽນ. ປະຕິບັດງານນີ້ຈະຮັບປະກັນວ່າມັນຈະເນັ້ນໃນຂະບວນການເລີ່ມຕົ້ນຂອງຄອມພິວເຕີ້.

ຄ) ມັນດໍາເນີນການໂດຍອີງຕາມສອງຂະບວນການ. ທໍາອິດແມ່ນຂະບວນການຕົ້ນຕໍ. ທີສອງແມ່ນການປ້ອງກັນການສິ້ນສຸດຂອງຂະບວນການຕົ້ນຕໍ.

ການເຂົ້າລະຫັດໄຟລ໌

Trojan ການຜະລິດຄີ symmetric ແລະການນໍາໃຊ້ມັນກັບທຸກໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດ. ເນື້ອຫາຂອງໄຟລ໌ແມ່ນ encrypted ໂດຍໃຊ້ algorithm AES ແລະຄີ symmetric. ຄີຄີແມ່ນຖືກລຶບລ້າງດ້ວຍການໃຊ້ລະບົບການເຂົ້າລະຫັດລັບທີ່ບໍ່ສົມເຫດສົມຜົນ (RSA). ປຸ່ມດັ່ງກ່າວຄວນຈະມີຫຼາຍກວ່າ 1024 ບິດ..ມີກໍລະນີທີ່ໃຊ້ 2048 ບິດທີ່ໃຊ້ໃນຂະບວນການເຂົ້າລະຫັດ. Trojan ຮັບປະກັນວ່າຜູ້ໃຫ້ບໍລິການຂອງລະຫັດ RSA ສ່ວນຕົວໄດ້ຮັບຄີທີ່ຖືກນໍາໃຊ້ໃນການເຂົ້າລະຫັດຂອງໄຟລ໌. ມັນບໍ່ສາມາດທີ່ຈະດຶງໄຟລ໌ທີ່ຖືກ overwritten ໂດຍໃຊ້ວິທີການ forensic ໄດ້.

ເມື່ອດໍາເນີນການ, Trojan ໄດ້ຮັບຄີສາທາລະນະ (PK) ຈາກເຄື່ອງແມ່ຂ່າຍ C & C. ໃນການຊອກຫາເຄື່ອງແມ່ຂ່າຍ C & C ທີ່ໃຊ້ວຽກ, Trojan ໃຊ້ລະບົບການສ້າງລະຫັດໂດເມນ (DGA) ເພື່ອຜະລິດຊື່ໂດເມນແບບສຸ່ມ. DGA ແມ່ນເອີ້ນວ່າ "Mersenne twister". ສູດການນໍາໃຊ້ວັນທີປັດຈຸບັນເປັນແກ່ນທີ່ສາມາດຜະລິດຫຼາຍກ່ວາ 1,000 ໂດເມນຕໍ່ມື້. ໂດເມນທີ່ຜະລິດມີຂະຫນາດຕ່າງໆ.

Trojan ດາວໂຫລດ PK ແລະບັນທຶກມັນພາຍໃນ HKCUSoftwareCryptoLockerPublic Key. Trojan ເລີ່ມຕົ້ນ encrypting ໄຟລ໌ໃນຮາດດິດແລະໄຟລ໌ເຄືອຂ່າຍທີ່ຖືກເປີດໂດຍຜູ້ໃຊ້. CryptoLocker ບໍ່ມີຜົນກະທົບຕໍ່ໄຟລ໌ທັງຫມົດ. ມັນພຽງແຕ່ເປົ້າຫມາຍໄຟລ໌ທີ່ບໍ່ສາມາດປະຕິບັດໄດ້ທີ່ມີສ່ວນຂະຫຍາຍທີ່ຖືກສະແດງຢູ່ໃນລະຫັດຂອງມັນແວ. ການຂະຫຍາຍໄຟລ໌ເຫຼົ່ານີ້ລວມມີ * .odt, * .xls, * .pptm, * .rft, * .pem, ແລະ * .jpg. ນອກຈາກນີ້, CryptoLocker ບັນທຶກໃນທຸກໄຟລ໌ທີ່ໄດ້ຖືກເຂົ້າລະຫັດກັບ HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

ຫຼັງຈາກຂະບວນການການເຂົ້າລະຫັດ, ເຊື້ອໄວຣັສສະແດງໃຫ້ເຫັນຂໍ້ຄວາມທີ່ຮຽກຮ້ອງໃຫ້ຈ່າຍຄ່າໄຖ່ພາຍໃນໄລຍະເວລາທີ່ລະບຸ. ການຊໍາລະເງິນຄວນເຮັດກ່ອນທີ່ຈະປິດການໃຊ້ວຽກຄີສ່ວນຕົວ.

ຫຼີກເວັ້ນການ CryptoLocker

(a) ຜູ້ໃຊ້ອີເມວຄວນສົງໄສກ່ຽວກັບຂໍ້ຄວາມຈາກບຸກຄົນທີ່ບໍ່ຮູ້ຈັກຫຼືອົງການຈັດຕັ້ງ.

ຂ) ຜູ້ໃຊ້ອິນເຕີເນັດຄວນປິດການຂະຫຍາຍໄຟລ໌ທີ່ຊ່ອນຢູ່ເພື່ອປັບປຸງການກໍານົດການໂຈມຕີຂອງມັນແວຫຼືໄວຣັດ.

c) ໄຟລ໌ທີ່ສໍາຄັນຄວນຖືກເກັບໄວ້ໃນລະບົບສໍາຮອງ.

(d) ຖ້າໄຟລ໌ຕິດເຊື້ອ, ຜູ້ໃຊ້ບໍ່ຄວນຈ່າຍຄ່າໄຖ່. ຜູ້ພັດທະນາ malware ບໍ່ຄວນຈະໄດ້ຮັບລາງວັນ .

November 28, 2017
ສິ່ງທີ່ CryptoLocker ແລະວິທີການຫຼີກລ້ຽງມັນ - ຄໍາແນະນໍາຈາກ Semalt
Reply