CryptoLocker چیست و چگونه می توان از آن اجتناب کرد - دستورالعمل سامسونگ
CryptoLocker باج افزار است. مدل تجاری باج افزار این است که پول را از کاربران اینترنت اخاذی کند. CryptoLocker روند ایجاد شده توسط بدافزار معروف بدنام "Police Virus" را افزایش می دهد و از کاربران اینترنتی می خواهد مبلغی را برای باز کردن قفل دستگاههای خود بپردازند. CryptoLocker اسناد و پرونده های مهم را ربوده و به کاربران اطلاع می دهد تا در مدت زمان اعلام شده باج را بپردازند.
جیسون آدلر ، مدیر موفقیت مشتری خدمات دیجیتال سامسونگ ، در مورد امنیت CryptoLocker توضیحاتی ارائه می دهد و ایده های قانع کننده ای برای جلوگیری از آن ارائه می دهد.
نصب بدافزار
CryptoLocker از استراتژی های مهندسی اجتماعی برای فریب کاربران اینترنت برای بارگیری و اجرای آن استفاده می کند. کاربر ایمیل پیامی دریافت می کند که دارای یک فایل ZIP محافظت شده با رمز عبور است. اعلام می کند که ایمیل از سازمانی است که در تجارت لجستیک فعالیت دارد.
Trojan زمانی اجرا می شود که کاربر ایمیل با استفاده از رمز عبور مشخص شده ، فایل ZIP را باز کند. تشخیص CryptoLocker دشوار است زیرا از وضعیت پیش فرض ویندوز استفاده می کند که افزونه نام فایل را نشان نمی دهد. وقتی قربانی بدافزار را اجرا می کند ، Trojan فعالیت های مختلفی را انجام می دهد:
a) Trojan خود را در پوشه واقع در مشخصات کاربر ، مثلاً LocalAppData ، ذخیره می کند.
b) Trojan یک کلید برای رجیستری معرفی می کند. این عمل باعث می شود که در طی فرآیند بوت شدن رایانه اجرا شود.
ج) بر اساس دو فرآیند اجرا می شود. اولین روند اصلی است. مورد دوم جلوگیری از خاتمه روند اصلی است.
رمزگذاری پرونده
Trojan کلید متقارن تصادفی را تولید کرده و آن را برای هر پرونده رمزگذاری شده اعمال می کند. محتوای پرونده با استفاده از الگوریتم AES و کلید متقارن رمزگذاری می شود. پس از آن کلید تصادفی با استفاده از الگوریتم رمزگذاری کلید نامتقارن (RSA) رمزگذاری می شود. همچنین کلیدها باید بیش از 1024 بیت باشند. مواردی وجود دارد که از کلیدهای بیت 2048 در فرآیند رمزگذاری استفاده شده است. Trojan اطمینان حاصل می کند که ارائه دهنده کلید خصوصی RSA ، کلید تصادفی را که در رمزگذاری پرونده استفاده می شود ، دریافت کند. بازیابی پرونده های بازنویسی شده با استفاده از روش پزشکی قانونی امکان پذیر نیست.
Trojan پس از اجرا ، کلید عمومی (PK) را از سرور C&C دریافت می کند. برای یافتن سرور فعال C&C ، Trojan از الگوریتم تولید دامنه (DGA) برای تولید نام دامنه تصادفی استفاده می کند. DGA همچنین به عنوان "پیچش مرسن" شناخته می شود. این الگوریتم تاریخ فعلی را به عنوان دانه ای اعمال می کند که می تواند روزانه بیش از 1000 دامنه تولید کند. دامنه های تولید شده اندازه های مختلفی دارند.
Trojan PK را بارگیری می کند و آن را درون کلید HKCUSoftwareCryptoLockerPublic ذخیره می کند. Trojan رمزگذاری فایل ها را در هارد دیسک و فایل های شبکه ای که توسط کاربر باز می شود ، شروع می کند. CryptoLocker روی همه پرونده ها تأثیر نمی گذارد. این فقط فایلهای غیر اجرایی را که دارای پسوندهایی هستند که در کد بدافزار نشان داده شده است ، هدف قرار می دهد. این پسوندهای پرونده شامل * .odt ، * .xls ، * .pptm ، * .rft ، * .pem و * .jpg است. همچنین ، CryptoLocker در پرونده ای که رمزگذاری شده در HKEY_CURRENT_USERSoftwareCryptoLockerFiles رمزگذاری شده است.
پس از فرآیند رمزگذاری ، ویروس پیامی را نشان می دهد که درخواست پرداخت باج در مدت زمان اعلام شده را دارد. پرداخت باید قبل از از بین رفتن کلید خصوصی انجام شود.
جلوگیری از CryptoLocker
الف) کاربران ایمیل باید نسبت به پیامهای افراد یا سازمانهای ناشناخته مشکوک باشند.
ب) کاربران اینترنت برای بهبود شناسایی بدافزار یا حمله ویروس ، باید پسوند فایلهای مخفی را غیرفعال کنند.
ج) پرونده های مهم باید در سیستم پشتیبان ذخیره شوند.
د) در صورت آلوده شدن پرونده ها ، کاربر نباید باج را بپردازد. توسعه دهندگان بدافزارها هرگز نباید پاداش بگیرند.