Cad é CryptoLocker agus Conas é a Sheachaint - An Treoirlíne ó Semalt

Is ransomware é CryptoLocker. Is é samhail ghnó an ransomware airgead a shaoradh ó úsáideoirí idirlín. Feabhsaíonn CryptoLocker an treocht a d’fhorbair an malware clúiteach “Víreas Póilíní” a iarrann ar úsáideoirí idirlín airgead a íoc as a bhfeistí a dhíghlasáil. Déanann CryptoLocker cáipéisí agus comhaid thábhachtacha a fhuadach agus cuireann sé in iúl do na húsáideoirí an airgead fuascailte a íoc laistigh de thréimhse shonraithe.

Déanann Jason Adler, Bainisteoir Rathúlachta Custaiméirí Semalt Digital Services, mionléiriú ar shlándáil CryptoLocker agus soláthraíonn sé roinnt smaointe láidre chun é a sheachaint.

Suiteáil Malware

Cuireann CryptoLocker straitéisí innealtóireachta sóisialta i bhfeidhm chun úsáideoirí idirlín a thriail chun é a íoslódáil agus a rith. Faigheann an t-úsáideoir ríomhphoist teachtaireacht a bhfuil comhad ZIP cosanta ag pasfhocal ann. Airbheartaíonn an ríomhphost a bheith ó eagraíocht atá i ngnó na lóistíochta.

Ritheann an Trojan nuair a osclaíonn an t-úsáideoir ríomhphoist an comhad ZIP agus an focal faire léirithe á úsáid aige. Tá sé dúshlánach an CryptoLocker a bhrath toisc go mbaineann sé leas as stádas réamhshocraithe Windows nach léiríonn síneadh ainm an chomhaid. Nuair a ritheann an t-íospartach an malware, déanann an Traígh gníomhaíochtaí éagsúla:

a) Sábhálann an Traí féin i bhfillteán atá suite i bpróifíl an úsáideora, mar shampla, an LocalAppData.

b) Tugann an Traí isteach eochair don chlárlann. Cinntíonn an gníomh seo go ritheann sé le linn an phróisis tosaithe ríomhaire.

c) Ritheann sé bunaithe ar dhá phróiseas. Is é an chéad cheann an príomhphróiseas. Is é an dara ceann ná foirceannadh an phríomhphróisis a chosc.

Criptiú Comhad

Táirgeann an Trojan an eochair siméadrach randamach agus cuireann sí i bhfeidhm é ar gach comhad atá criptithe. Déantar ábhar an chomhaid a chriptiú trí úsáid a bhaint as algartam AES agus an eochair siméadrach. Déantar an eochair randamach a chriptiú ina dhiaidh sin ag baint úsáide as algartam criptithe na heochrach neamhshiméadrach (RSA). Ba chóir go mbeadh na heochracha níos mó ná 1024 giotán. Tá cásanna ann inar úsáideadh 2048 eochracha giotán sa phróiseas criptithe. Cinntíonn an Trojan go bhfaigheann soláthraí na heochrach príobháidí RSA an eochair randamach a úsáidtear i criptiú an chomhaid. Ní féidir na comhaid frithscríofa a aisghabháil ag úsáid an chur chuige fóiréinseach.

Nuair a rithtear é, faigheann an Traí an eochair phoiblí (PK) ón bhfreastalaí C&C. Agus an freastalaí gníomhach C&C á lonnú, úsáideann an Traí an algartam giniúna fearainn (DGA) chun na hainmneacha fearainn randamacha a tháirgeadh. Tugtar "twister Mersenne" ar DGA freisin. Cuireann an algartam an dáta reatha i bhfeidhm mar an síol a fhéadann níos mó ná 1,000 fearann a tháirgeadh go laethúil. Tá na fearainn ginte de mhéideanna éagsúla.

Déanann an Trojan an PK a íoslódáil agus a shábháil laistigh den Eochair HKCUSoftwareCryptoLockerPublic. Tosaíonn an Trojan ag criptiú comhaid sa diosca crua agus sna comhaid líonra a osclaíonn an t-úsáideoir. Ní dhéanann CryptoLocker difear do na comhaid go léir. Ní dhíríonn sé ach ar na comhaid neamh-inrite a bhfuil na síntí acu a léirítear i gcód na malware. I measc na síntí comhaid seo tá * .odt, * .xls, * .pptm, * .rft, * .pem, agus * .jpg. Chomh maith leis sin, logálann an CryptoLocker i ngach comhad atá criptithe chuig na HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Tar éis an phróisis criptithe, taispeánann an víreas teachtaireacht ag iarraidh íocaíocht fuascailte laistigh den tréimhse ama atá luaite. Ba cheart an íocaíocht a dhéanamh sula ndéantar an eochair phríobháideach a scriosadh.

CryptoLocker a sheachaint

a) Ba cheart go mbeadh úsáideoirí ríomhphoist amhrasach faoi theachtaireachtaí ó dhaoine nó eagraíochtaí anaithnid.

b) Ba cheart d’úsáideoirí an idirlín na síntí comhaid i bhfolach a dhíchumasú chun sainaithint an malware nó an ionsaí víris a fheabhsú.

c) Ba cheart comhaid thábhachtacha a stóráil i gcóras cúltaca.

d) Má bhíonn comhaid ionfhabhtaithe, níor cheart don úsáideoir an airgead fuascailte a íoc. Níor cheart luach saothair a thabhairt do na forbróirí malware riamh.