Back to Question Center
0

Шта је ЦриптоЛоцкер и како га избегавати & ндасх; Смјерница из Семтала

1 answers:

ЦриптоЛоцкер је рансомваре. Пословни модел рансомваре-а је да надужи новац од корисника интернета. ЦриптоЛоцкер унапређује тренд развијен од малициозног малициозног вируса "Полице Вирус" који тражи од корисника интернета да плате новац за откључавање својих уређаја. ЦриптоЛоцкер отклања важне документе и датотеке и обавјештава кориснике да плате исплату у одређеном трајању.

Јасон Адлер, менаџер за успех купаца Семалт Дигиталне услуге, разрађује безбедност ЦриптоЛоцкер и пружа неке убедљиве идеје како би се то избјегло.

Инсталација малвера

ЦриптоЛоцкер примењује стратегије социјалног инжењеринга како би преварио Интернет кориснике да га преузму и покрену. Корисник е-поште добија поруку која има ЗИП датотеку заштићену лозинком. Е-маил наводи да је из организације која се налази у логистичком послу.

Тројан ради када корисник е-поште отвори ЗИП датотеку помоћу назначене лозинке. Тешко је открити ЦриптоЛоцкер јер користи предност подразумеваног стања Виндовс-а који не указује на проширење имена датотеке. Када жртва покреће малвер, Тројан врши разне активности:

а) Тројан се чува у фолдеру који се налази у профилу корисника, на пример, ЛоцалАппДата.

б) Тројан уводи кључ регистратора. Ова акција осигурава да ради током процеса покретања рачунара.

ц) Ради на основу два процеса. Први је главни процес. Друга је спречавање прекида главног процеса.

Шифровање датотека

Тројан генерише случајни симетрични кључ и примењује је на сваку датотеку која је шифрована. Садржај датотеке је шифрован помоћу АЕС алгоритма и симетричног кључа. Накључни кључ се након тога шифрира користећи алгоритам за шифровање асиметричних кључева (РСА). Кључеви такође треба да буду више од 1024 бита..Постоје случајеви у којима су коришћени 2048-битни кључи у процесу шифровања. Тројан обезбеђује да добављач приватног кључа РСА добије случајни кључ који се користи у шифрирању датотеке. Није могуће преузети преписане датотеке користећи форензички приступ.

Када се покрене, Тројан добија јавни кључ (ПК) са Ц & Ц сервера. У проналажењу активног Ц & Ц сервера, Тројан користи алгоритам генерисања домена (ДГА) да би произвео називе случајних домена. ДГА се назива и "Мерсенне твистер". Алгоритам примјењује тренутни датум као семе који дневно може произвести више од 1.000 домена. Генерирани домени су различитих величина.

Тројан преузима ПК и чува га унутар ХКЦУСофтвареЦриптоЛоцкерПублиц Кеи. Тројан почиње са шифрирањем датотека на тврдом диску и мрежним датотекама које отвори корисник. ЦриптоЛоцкер не утиче на све датотеке. Он само циља неизвршиве датотеке које имају екстензије које су илустроване у коду малвера. Ове датотеке екстензије укључују * .одт, * .клс, * .пптм, * .рфт, * .пем и * .јпг. Такође, ЦриптоЛоцкер се пријављује у сваку датотеку која је шифрована код ХКЕИ_ЦУРРЕНТ_УСЕРСофтвареЦриптоЛоцкерФилес.

Након процеса енкрипције, вирус приказује поруку која тражи откупну откуп у року наведеном временском периоду. Плаћање треба извршити пре него што се приватни кључ уништи.

Избегавање ЦриптоЛоцкер

а) Корисници електронске поште требају бити сумњичав за поруке од непознатих особа или организација.

б) Корисници интернета би требали онемогућити проширене скривене датотеке како би се побољшала идентификација напада малвера или вируса.

ц) Важне датотеке треба чувати у резервном систему.

д) Ако су датотеке инфициране, корисник не сме платити откупнину. Програмери малвера никада не би требало да буду награђени.

November 28, 2017
Шта је ЦриптоЛоцкер и како га избегавати & ндасх; Смјерница из Семтала
Reply