什麼是CryptoLocker以及如何避免使用-Semalt的指南

CryptoLocker是勒索軟件。勒索軟件的商業模式是向互聯網用戶勒索金錢。 CryptoLocker增強了臭名昭著的“警察病毒”惡意軟件開發的趨勢,該惡意軟件要求互聯網用戶為解鎖設備付費。 CryptoLocker劫持重要的文檔和文件,並通知用戶在規定的期限內支付贖金。

Jason Adler, Semalt 數字服務詳細介紹了CryptoLocker安全性,並提供了一些令人信服的想法來避免這種情況。

惡意軟件安裝

CryptoLocker應用社會工程學策略來欺騙互聯網用戶下載並運行它。電子郵件用戶收到一條消息,其中包含受密碼保護的ZIP文件。該電子郵件據稱是來自從事物流業務的組織的。

當電子郵件用戶使用指定的密碼打開ZIP文件時,木馬程序運行。檢測CryptoLocker具有挑戰性,因為它利用了Windows的默認狀態,該狀態不指示文件擴展名。當受害者運行惡意軟件時,木馬會執行各種活動:

a)木馬將自身保存在用戶配置文件中的文件夾中,例如LocalAppData。

b)該木馬為註冊表引入了一個密鑰。此操作可確保它在計算機啟動過程中運行。

c)它基於兩個進程運行。首先是主要過程。第二是防止主進程終止。

文件加密

木馬生成隨機對稱密鑰,並將其應用於每個加密的文件。使用AES算法和對稱密鑰對文件的內容進行加密。此後,使用非對稱密鑰加密算法(RSA)對隨機密鑰進行加密。密鑰也應該超過1024位。在某些情況下,加密過程中使用了2048位密鑰。特洛伊木馬確保私鑰RSA密鑰的提供者獲取用於文件加密的隨機密鑰。無法使用取證方法來檢索覆蓋的文件。

運行後,木馬會從C&C服務器獲取公鑰(PK)。在定位活動C&C服務器時,木馬使用域生成算法(DGA)生成隨機域名。 DGA也稱為“梅森撚線機”。該算法將當前日期作為種子,每天可以產生1,000多個域。生成的域大小各異。

木馬下載PK並將其保存在HKCUSoftwareCryptoLockerPublic密鑰中。該木馬程序開始加密硬盤上的文件以及用戶打開的網絡文件。 CryptoLocker不會影響所有文件。它僅針對具有惡意軟件代碼中說明的擴展名的不可執行文件。這些文件擴展名包括* .odt,*。xls,*。pptm,*。rft,*。pem和* .jpg。此外,CryptoLocker還將每個已加密的文件登錄到HKEY_CURRENT_USERSoftwareCryptoLockerFiles。

加密過程之後,病毒顯示一條消息,要求在指定的持續時間內支付贖金。付款應在銷毀私鑰之前進行。

避免使用CryptoLocker

a)電子郵件用戶應懷疑來自未知人員或組織的消息。

b)互聯網用戶應禁用隱藏的文件擴展名,以提高對惡意軟件或病毒攻擊的識別能力。

c)重要文件應存儲在備份系統中。

d)如果文件被感染,用戶不應支付贖金。永遠不要對惡意軟件開發人員予以獎勵。

mass gmail