CryptoLocker nima va undan qanday qochish kerak - Semalt-dan qo'llanma

CryptoLocker - bu ransomware. Ransomware-ning biznes-modeli - bu Internet foydalanuvchilaridan pul undirish. CryptoLocker internet foydalanuvchilaridan o'zlarining qurilmalarini blokdan chiqarish uchun pul to'lashni so'raydigan shafqatsiz "Politsiya virusi" zararli dasturlari tomonidan ishlab chiqilgan tendentsiyani kuchaytiradi. CryptoLocker muhim hujjatlar va fayllarni o'g'irlaydi va foydalanuvchilarga to'lovni belgilangan muddat davomida to'lashlari haqida xabar beradi.

Semalt Digital Services-ning mijozlar muvaffaqiyati menejeri Jeyson Adler CryptoLocker xavfsizligini ishlab chiqadi va undan qochish uchun ba'zi g'oyalarni taklif qiladi.

Zararli dasturlarni o'rnatish

CryptoLocker Internet-foydalanuvchilarni uni yuklab olish va ishga tushirish uchun aldash uchun ijtimoiy muhandislik strategiyalarini qo'llaydi. Elektron pochta foydalanuvchisi parol bilan himoyalangan ZIP-faylga ega bo'lgan xabar oladi. Elektron pochta logistika biznesida bo'lgan tashkilotdan kelgan.

Elektron pochta foydalanuvchisi ko'rsatilgan parol yordamida ZIP faylini ochganda troyan ishlaydi. CryptoLocker-ni aniqlash juda qiyin, chunki u Windows-ning standart holatidan foydalanadi, bu fayl nomi kengaytmasini ko'rsatmaydi. Jabrlanuvchi zararli dasturni ishga tushirganida, troyan turli xil harakatlarni amalga oshiradi:

a) Troyan o'zini foydalanuvchi profilidagi papkada saqlaydi, masalan, LocalAppData.

b) Trojan ro'yxatga olish kitobining kalitini taqdim etadi. Ushbu harakat kompyuterni yuklash jarayonida ishlashini ta'minlaydi.

c) Ikki jarayon asosida ishlaydi. Birinchisi - bu asosiy jarayon. Ikkinchisi - asosiy jarayonni tugatishning oldini olish.

Faylni shifrlash

Trojan tasodifiy nosimmetrik kalitni ishlab chiqaradi va uni shifrlangan har bir faylga qo'llaydi. Fayl tarkibi AES algoritmi va nosimmetrik kalit yordamida shifrlangan. Keyin tasodifiy kalit assimetrik kalitni shifrlash algoritmi (RSA) yordamida shifrlangan. Tugmalar, shuningdek, 1024 bitdan ko'proq bo'lishi kerak. Shifrlash jarayonida 2048 bitli kalitlardan foydalanilgan holatlar mavjud. Trojan xususiy RSA kalitini etkazib beruvchiga faylni shifrlashda ishlatiladigan tasodifiy kalitni olishini ta'minlaydi. Sud-meditsina usulidan foydalanib, qayta yozilgan fayllarni qaytarib olish mumkin emas.

Bir marta ishga tushgandan so'ng troyan C&C serveridan ochiq kalitni (PK) oladi. Faol C&C serverini topishda troyan tasodifiy domen nomlarini yaratish uchun domen yaratish algoritmidan (DGA) foydalanadi. DGA shuningdek, "Mersenne twister" deb nomlanadi. Algoritm hozirgi sana kuniga 1000 dan ortiq domen ishlab chiqaradigan urug 'sifatida qo'llaniladi. Yaratilgan domenlar turli o'lchamlarga ega.

Troyan PK-ni yuklab oladi va uni HKCUSoftwareCryptoLockerPublic Key ichida saqlaydi. Trojan qattiq diskdagi fayllarni va foydalanuvchi tomonidan ochilgan tarmoq fayllarini shifrlashni boshlaydi. CryptoLocker barcha fayllarga ta'sir qilmaydi. U faqat zararli dasturning kodida ko'rsatilgan kengaytmaga ega bo'lgan ishlamaydigan fayllarga qaratilgan. Ushbu kengaytmali fayllar * .odt, * .xls, * .pptm, * .rft, * .pem va * .jpg ni o'z ichiga oladi. Shuningdek, CryptoLocker HKEY_CURRENT_USERSoftwareCryptoLockerFiles-ga shifrlangan har bir faylga qayd qiladi.

Shifrlash jarayoni tugagandan so'ng, virus belgilangan vaqt ichida to'lovni to'lashni talab qiladigan xabarni ko'rsatadi. To'lov shaxsiy kalitni yo'q qilishdan oldin amalga oshirilishi kerak.

CryptoLocker-dan qochish

a) Elektron pochta foydalanuvchilari noma'lum shaxslar yoki tashkilotlarning xabarlaridan shubhalanishlari kerak.

b) Internet foydalanuvchilari zararli dastur yoki virus hujumini aniqlashni yaxshilash uchun yashirin fayl kengaytmalarini o'chirib qo'yishlari kerak.

c) Muhim fayllar zaxira tizimida saqlanishi kerak.

d) Agar fayllar yuqtirilsa, foydalanuvchi to'lovni to'lamasligi kerak. Zararli dasturlarni ishlab chiquvchilar hech qachon mukofotlanmasligi kerak.

mass gmail