CryptoLocker чист ва чӣ гуна онро пешгирӣ бояд кард - Роҳнамо аз Semalt

CryptoLocker як ransomware мебошад. Намунаи бизнеси ransomware аст, ки аз корбарони интернет пул талаб кунад. CryptoLocker тамоюлро, ки аз ҷониби нармафзори маъруфи "Police Virus" таҳия шудааст, афзоиш медиҳад, ки аз корбарони интернет талаб мекунад, ки барои кушодани дастгоҳҳои худ пул пардохт кунанд. CryptoLocker ҳуҷҷатҳо ва файлҳои муҳимро аз даст медиҳад ва ба корбарон дар бораи мӯҳлати муқарраршуда фидия медиҳад.

Ҷейсон Адлер, менеҷери муваффақияти муштариён аз Semalt Digital Services, амнияти CryptoLocker-ро шарҳ медиҳад ва барои пешгирӣ кардани он баъзе идеяҳои асоснок пешкаш мекунад.

Насби зараровар

CryptoLocker стратегияҳои муҳандисии иҷтимоиро барои фиреб кардани корбарони интернет барои зеркашӣ ва идора кардани он татбиқ мекунад. Корбари почтаи электронӣ паёмеро мегирад, ки дорои файли ZIP бо парол муҳофизат карда мешавад. Почтаи электронӣ аз созмоне иборат аст, ки дар тиҷорати логистика фаъолият дорад.

Троян ҳангоми оғоз намудани корбари почтаи электронӣ бо истифодаи пароли нишондодашуда файли ZIP-ро мекушояд. Дарёфти CryptoLocker мушкил аст, зеро он бартарии ҳолати пешфарзро дар Windows мегирад, ки тамдиди номи файлро нишон намедиҳад. Вақте ки ҷабрдида зарароварро кор мекунад, троян амалҳои гуногунро иҷро мекунад:

а) Троян худро дар ҷузвдони дар профили корбар ҷойгиршаванда захира мекунад, масалан, LocalAppData.

б) Троян калидро ба феҳрист ворид мекунад. Ин амал кафолат медиҳад, ки он дар ҷараёни пурборкунии компютер кор мекунад.

в) Он аз рӯи ду раванд кор мекунад. Аввалин раванди асосӣ. Дуюм, пешгирии қатъ гардидани ҷараёни асосӣ.

Рамзгузории файл

Троян калиди тасодуфии симметриро истеҳсол мекунад ва онро ба ҳар як файли рамзкунонидашуда истифода мекунад. Мундариҷаи файл бо истифодаи алгоритми AES ва калиди симметрӣ рамзгузорӣ карда мешавад. Пас аз он, калиди тасодуфӣ бо истифода аз алгоритми рамзгузории асимметрӣ (RSA) рамзгузорӣ мешавад. Калидҳо инчунин бояд бештар аз 1024 байт бошанд. Ҳолатҳое мавҷуданд, ки дар ҷараёни рамзгузорӣ калидҳои 2048 бит истифода шудаанд. Троян кафолат медиҳад, ки провайдери калиди хусусии RSA калиди тасодуфиро, ки дар рамзгузории файл истифода мешавад, мегирад. Бо истифодаи усули криминалистӣ файлҳои навиштаҷотро бозсозӣ кардан ғайриимкон аст.

Пас аз кор кардан, троян калиди оммавиро (PK) аз сервери C&C мегирад. Ҳангоми ҷойгиркунии сервери фаъол C&C, троян алгоритми тавлиди домен (DGA) -ро барои тавлиди номҳои тасодуфӣ истифода мекунад. DGA инчунин ба номи "twister Mersenne." Алгоритм санаи ҷориро ҳамчун тухмие татбиқ мекунад, ки ҳар рӯз метавонад беш аз 1000 домен тавлид кунад. Доменҳои тавлидшуда андозаҳои гуногун доранд.

Троян PK-ро зеркашӣ мекунад ва онро дар дохили калиди HKCUSoftwareCryptoLockerPublic захира мекунад. Троян рамзкунонии файлҳоро дар диски сахт ва файлҳои шабакавӣ, ки аз ҷониби корбар кушода мешавад, оғоз мекунад. CryptoLocker ба ҳамаи файлҳо таъсир намерасонад. Он танҳо ба файлҳои иҷронашаванда, ки васеъшави доранд, дар коди зараровар тасвир карда шудааст. Ин васеъшавиҳои файлҳо * .odt, * .xls, * .pptm, * .rft, * .pem, ва * .jpg-ро дар бар мегиранд. Инчунин, CryptoLocker дар ҳар як файле, ки ба HKEY_CURRENT_USERSoftwareCryptoLockerFiles рамзгузорӣ шудааст, сабт мешавад.

Пас аз ҷараёни рамзгузорӣ, вирус паёмеро дар бораи мӯҳлати муқарраршуда барои пардохти фидия талаб мекунад. Пардохт бояд пеш аз нобуд шудани калиди хусусӣ анҷом дода шавад.

Канорагирӣ аз CryptoLocker

a) Истифодабарандагони почтаи электронӣ бояд ба паёмҳои шахсони ношинос ё созмонҳо шубҳанок бошанд.

б) Истифодабарандагони интернет бояд васеъкунии файлҳои пинҳоншударо беҳтар намоянд, то муайянсозии нармафзор ё ҳамлаи вирусро беҳтар кунанд.

c) Файлҳои муҳим бояд дар системаи захиракунӣ нигоҳ дошта шаванд.

г) Агар файлҳо сироят ёбанд, корбар набояд фидия пардохт кунад. Барномасозони зараровар ҳеҷ гоҳ набояд подош дода шаванд.