CrystalLocker ni nini na Jinsi ya kuizuia - Mwongozo Kutoka Semalt

CryptoLocker ni mkombozi. Mtindo wa biashara ya watu wa kuwakomboa ni kutoa pesa kutoka kwa watumizi wa mtandao. CryptoLocker huongeza hali iliyotengenezwa na programu mbaya ya "Virusi ya Polisi" inayouliza watumiaji wa mtandao kulipa pesa kwa kufungua vifaa vyao. CryptoLocker hijacks nyaraka muhimu na faili na hutoa taarifa kwa watumiaji kulipa fidia kwa muda uliowekwa.

Jason Adler, Meneja wa Mafanikio ya Wateja wa Semalt Digital Services, anafafanua juu ya usalama wa CrystalLocker na hutoa maoni mengine ya kulazimisha kuizuia .

Usanidi wa Malware

CryptoLocker inatumika mikakati ya uhandisi ya kijamii kuwashawishi watumiaji wa mtandao kuipakua na kuiendesha. Mtumiaji wa barua pepe hupokea ujumbe ambao una faili ya kificho iliyolindwa na nenosiri. Barua pepe inakusudia kutoka kwa shirika ambalo ni katika biashara ya vifaa.

Trojan inaendesha wakati mtumiaji wa barua pepe anafungua faili ya ZIP kwa kutumia nywila iliyoonyeshwa. Ni changamoto kugundua CryptoLocker kwa sababu inachukua faida ya hali ya msingi ya Windows ambayo haionyeshi upanuzi wa jina la faili. Wakati mhasiriwa anaendesha programu hasidi, Trojan hufanya shughuli mbali mbali:

a) Trojan inajiokoa katika folda iliyoko kwenye wasifu wa mtumiaji, kwa mfano, LocalAppData.

b) Trojan inaleta ufunguo wa Usajili. Kitendo hiki inahakikisha inaendesha wakati wa mchakato wa kuongeza kompyuta.

c) Inaendesha kwa kuzingatia michakato miwili. Ya kwanza ni mchakato kuu. Ya pili ni kuzuia kukomesha mchakato kuu.

Usimbizo wa Faili

Trojan hutoa kitufe cha kawaida cha ulinganifu na inaitumia kwa kila faili iliyosimbwa. Yaliyomo kwenye faili imesimbwa kwa kutumia algorithm ya AES na kitufe cha ulinganishaji. Ufunguo wa nasibu ni baadaye kusimbwa kwa kutumia algorithm ya ufunguo wa asymmetric (RSA). Vifunguo pia vinapaswa kuwa zaidi ya biti 1024. Kuna visa ambapo funguo 2048 zilitumika katika mchakato wa usimbuaji fiche. Trojan inahakikisha kwamba mtoaji wa funguo ya RSA ya kibinafsi hupata kitufe cha nasibu ambacho kinatumika katika usimbuaji wa faili. Haiwezekani kupata tena faili zilizoandikwa kwa kutumia mbinu ya uchunguzi.

Mara baada ya kukimbia, Trojan hupata kitufe cha umma (PK) kutoka seva ya C&C. Katika kupata seva ya C & C inayotumika, Trojan hutumia algorithm ya kizazi cha kikoa (dGA) kutoa majina ya kikoa bila mpangilio. DGA pia inajulikana kama "twitter ya Mersenne." Algorithm inatumika tarehe ya sasa kama mbegu ambayo inaweza kutoa vikoa zaidi ya 1,000 kila siku. Kikoa zinazozalishwa ni za ukubwa tofauti.

Trojan inapakua PK na kuihifadhi ndani ya Kifunguo cha HKCUSoftwareCryptoLockerPublic. Trojan huanza kuficha faili kwenye diski ngumu na faili za mtandao ambazo hufunguliwa na mtumiaji. CryptoLocker haiathiri faili zote. Inalenga tu faili ambazo hazitekelezeki ambazo zina viendelezi vilivyoonyeshwa kwenye msimbo wa programu hasidi. Mafanikio haya ya faili ni pamoja na * .odt, * .xls, * .pptm, * .rft, * .pem, na * .jpg. Pia, magogo ya CryptoLocker katika kila faili ambayo imeshikiliwa kwa HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Baada ya mchakato wa usimbuaji, virusi huonyesha ujumbe unaoomba malipo ya fidia kwa muda uliowekwa. Malipo inapaswa kufanywa kabla ya kifunguo cha kibinafsi kuharibiwa.

Kuepuka CryptoLocker

a) Watumiaji wa barua pepe wanapaswa kuwa na mashaka ya ujumbe kutoka kwa watu au mashirika haijulikani.

b) Watumiaji wa mtandao wanapaswa kuzima upanuzi wa faili iliyofichwa ili kuboresha kitambulisho cha programu hasidi au virusi.

c) Faili muhimu zinapaswa kuhifadhiwa kwenye mfumo wa chelezo.

d) Ikiwa faili zinaambukizwa, mtumiaji haipaswi kulipa fidia. Watengenezaji wa programu hasidi hawapaswi kamwe thawabu.