什么是CryptoLocker以及如何避免它-Semalt的指南

CryptoLocker是勒索软件。勒索软件的商业模式是向互联网用户勒索金钱。 CryptoLocker增强了臭名昭著的“警察病毒”恶意软件开发的趋势,该恶意软件要求互联网用户为解锁设备付费。 CryptoLocker劫持重要的文档和文件,并通知用户在规定的期限内支付赎金。

Semalt Digital Services的客户成功经理Jason Adler详细介绍了CryptoLocker安全性,并提出了一些令人信服的想法来避免这种情况。

恶意软件安装

CryptoLocker应用社会工程学策略欺骗互联网用户下载并运行它。电子邮件用户收到一条包含密码保护的ZIP文件的消息。该电子邮件据称是来自从事物流业务的组织。

当电子邮件用户使用指定的密码打开ZIP文件时,木马运行。检测CryptoLocker具有挑战性,因为它利用了Windows的默认状态,该状态不指示文件扩展名。当受害者运行恶意软件时,木马会执行各种活动:

a)木马将自身保存在用户配置文件中的文件夹中,例如LocalAppData。

b)木马为注册表引入了一个密钥。此操作可确保它在计算机启动过程中运行。

c)它基于两个过程运行。首先是主要过程。二是防止主程序终止。

文件加密

木马生成随机对称密钥,并将其应用于每个加密的文件。使用AES算法和对称密钥对文件的内容进行加密。此后,使用非对称密钥加密算法(RSA)对随机密钥进行加密。密钥也应该超过1024位。在某些情况下,加密过程中使用了2048位密钥。该特洛伊木马确保私钥RSA密钥的提供者获取用于文件加密的随机密钥。无法使用取证方法来检索覆盖的文件。

运行后,木马会从C&C服务器获取公钥(PK)。在定位活动C&C服务器时,木马使用域生成算法(DGA)生成随机域名。 DGA也称为“梅森捻线机”。该算法将当前日期作为种子,每天可以产生1,000多个域。生成的域大小各异。

该木马下载PK并将其保存在HKCUSoftwareCryptoLockerPublic密钥中。特洛伊木马开始加密硬盘上的文件以及用户打开的网络文件。 CryptoLocker不会影响所有文件。它仅针对具有恶意软件代码中说明的扩展名的不可执行文件。这些文件扩展名包括* .odt,*。xls,*。pptm,*。rft,*。pem和* .jpg。同样,CryptoLocker将每个已加密的文件登录到HKEY_CURRENT_USERSoftwareCryptoLockerFiles。

加密过程完成后,病毒会显示一条消息,要求在指定的持续时间内支付赎金。付款应在销毁私钥之前进行。

避免使用CryptoLocker

a)电子邮件用户应怀疑来自未知人员或组织的消息。

b)互联网用户应禁用隐藏的文件扩展名,以改善对恶意软件或病毒攻击的识别。

c)重要文件应存储在备份系统中。

d)如果文件被感染,用户不应支付赎金。恶意软件开发人员永远都不应受到奖励。

mass gmail