CryptoLocker - o nouă familie de software-extortionists (ransomware), al cărui model de afaceri (da, malware-ului - este o afacere pentru altcineva) pe baza storc de bani de la utilizatori. Acest program continuă tendința începută de alte tipuri de malware notoriu, care stoarce bani din victimele lor - așa-numitul „Virus de poliție“, care cere utilizatorilor să plătească o „amendă“ pentru deblocarea computerele lor. Cu toate acestea, în contrast cu „virusul politiei», CryptoLocker hacks documentelor de utilizator și le-a cerut să plătească răscumpărarea (cu perioada de plată foarte limitată).
Instalarea unui program rău intenționat
Troianul începe în momentul în care utilizatorul deschide un fișier ZIP imbricat introducând parola specificată în mesaj, în speranța de a deschide fișierul PDF conținut în arhivă. CryptoLocker utilizează capabilitățile funcției standard Windows pentru a ascunde extensiile de nume de fișiere pentru a ascunde extensia actuală .EXE dintr-un fișier rău intenționat.
Odată ce victima îl lansează, troianul "stă" în memoria calculatorului și efectuează următoarele acțiuni:
- Se salvează într-un dosar cu un profil de utilizator (AppData, LocalAppData).
- Adaugă cheia în registry pentru a vă asigura că programul rulează de fiecare dată când computerul este pornit.
- Începe două procese: unul este procesul principal, iar al doilea este proiectat pentru a proteja procesul principal de la terminarea acestuia.
Criptați fișierele
Torjan generează o cheie simetrică aleatorie pentru fiecare fișier pe care urmează să îl cripteze. apoi criptează conținutul fișierului folosind algoritmul AES folosind această tastă. Programul criptează apoi cheia aleatorie folosind un algoritm de criptare folosind chei asimetrice public-privat (RSA) și chei mai lungi de 1024 biți (am vazut modele care folosesc o lungime a cheii de 2048 biți), și adaugă-l într-un fișier criptat. Astfel, troianul asigură că numai proprietarul cheii private a RSA poate primi cheia aleatoare care a fost utilizată pentru a cripta fișierul. În plus, deoarece fișierele de computer sunt suprascrise, este imposibil să le accesați utilizând metode speciale.
După pornire, primul lucru pe care îl are un troian este obținerea cheii publice (PK) de la serverul său CC. Pentru a localiza un server activ CC, troianul include un algoritm de generare de domenii (DGA), cunoscut sub numele de twister Mersenne, pentru a genera nume de domenii aleatoare. Acest algoritm utilizează data curentă ca bază și poate genera până la 1000 de domenii diferite de dimensiune fixă în fiecare zi.
După ce troianul a descărcat PK, îl salvează în următoarea cheie de registry Windows: HKCUSoftwareCryptoLockerPublic Key. Apoi începe să cripteze fișierele de pe hard disk-ul computerului, precum și de pe fiecare unitate de rețea a utilizatorului infectat care este accesat.
CryptoLocker nu criptează toate fișierele găsite și criptează numai fișiere ne-executabile cu extensii conținute în codul programului rău intenționat:
În plus, CryptoLocker înregistrează fiecare fișier criptat în următoarea cheie de registry:
Este curios că un program rău intenționat nu cere utilizatorilor aceeași sumă de bani, dar conține și propriul tabel de conversie a monedei.
Cum să vă protejați de CryptoLocker
În prezent, compania se concentrează pe dezvoltarea de strategii și tehnologii pentru o protecție sporită. Panda Security are birouri în peste 80 de țări. produsele sale sunt traduse în 23 de limbi și sunt utilizate de peste 30 de milioane de utilizatori din întreaga lume.
Articole similare
-
Cum să evitați infecția cu ciupercile piciorului este important să cunoașteți pe oricine este
-
Cum să evitați pierderile atunci când retrageți bani de la o bancă
-
Cum să evitați iritarea și părul îngrădit în timp ce vă radeți picioarele
Trimiteți-le prietenilor: