Back to Question Center
0

¿Que é CryptoLocker e como evitalo? A guía de Semalt

1 answers:

CryptoLocker é un ransomware. O modelo de negocio do ransomware é extorsionar o diñeiro dos usuarios de internet. CryptoLocker mellora a tendencia desenvolvida polo infame malware "Police Virus" que pide aos usuarios de Internet que paguen cartos para desbloquear os seus dispositivos. CryptoLocker secuestra documentos e ficheiros importantes e informa aos usuarios que paguen o rescate nunha duración indicada.

Jason Adler, o Xestor de éxito do cliente de Semalt Servizos dixitais, elabora a seguridade de CryptoLocker e proporciona algunhas ideas convincentes para evitalo.

Instalación de malware

CryptoLocker aplica estratexias de enxeñería social para enganar aos usuarios de Internet para descargar e executalo. O usuario de correo electrónico obtén unha mensaxe que ten un ficheiro ZIP protexido por contrasinal. O correo electrónico pretende ser dunha organización que está no negocio de loxística.

O troyano execútase cando o usuario de correo electrónico abre o ficheiro ZIP utilizando o contrasinal indicado. É un reto detectar o CryptoLocker porque se aproveita o estado predeterminado de Windows que non indica a extensión do nome do ficheiro. Cando a vítima executa o malware, o troyano realiza varias actividades:

a) O troyano salva nunha carpeta situada no perfil do usuario, por exemplo, o LocalAppData.

b) O troyano introduce unha clave para o rexistro. Esta acción garante que se execute durante o proceso de inicio do ordenador.

c) Funciona en función de dous procesos. O primeiro é o proceso principal. O segundo é a prevención da extinción do proceso principal.

Cifrado de ficheiros

O troyano produce a chave simétrica aleatoria e aplícaa a cada ficheiro cifrado. O contido do ficheiro está cifrado usando o algoritmo AES ea tecla simétrica. A chave aleatoria é posteriormente cifrada usando o algoritmo de cifrado de chave asimétrico (RSA). As chaves tamén deben ter máis de 1024 bits..Hai casos nos que se empregaron claves de 2048 bits no proceso de cifrado. O troyano garante que o provedor da chave RSA privada obtén a chave aleatoria que se usa no cifrado do ficheiro. Non é posible recuperar os ficheiros sobrescritos usando o enfoque forense.

Unha vez executado, o troyano obtén a clave pública (PK) do servidor C e C. Ao localizar o servidor C e C activo, o troyano usa o algoritmo de xeración de dominio (DGA) para producir os nomes de dominio aleatorios. A DGA tamén se denomina "twist de Mersenne". O algoritmo aplica a data actual como a semente que pode producir máis de 1.000 dominios diarios. Os dominios xerados son de varios tamaños.

The Trojan descarga o PK e gárdao dentro da clave HKCUSoftwareCryptoLockerPublic. O Troyano comeza a cifrar os ficheiros no disco ríxido e os ficheiros de rede que o usuario abre. CryptoLocker non afecta a todos os ficheiros. Só ten como obxectivo os ficheiros non executables que teñen as extensións que se ilustran no código do malware. Estas extensións de ficheiros inclúen * .odt, * .xls, * .pptm, * .rft, * .pem e * .jpg. Ademais, o CryptoLocker rexistra todos os ficheiros cifrados nos HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Despois do proceso de cifrado, o virus mostra unha mensaxe que solicita o pagamento do rescate dentro do tempo indicado. O pago debe realizarse antes de destruír a chave privada.

Evitando CryptoLocker

a) Os usuarios de correo electrónico deberían ser sospeitosos de mensaxes de persoas ou organizacións descoñecidas.

b) Os usuarios de internet deberían deshabilitar as extensións de arquivo ocultas para mellorar a identificación do malware ou o ataque de virus.

c) Os ficheiros importantes deben almacenarse nun sistema de copia de seguridade.

d) Se os ficheiros inféctanse, o usuario non debería pagar o rescate. Os desenvolvedores de malware nunca deberían ser recompensados.

November 28, 2017
¿Que é CryptoLocker e como evitalo? A guía de Semalt
Reply