CryptoLocker nedir ve nasıl kaçının - Semalt kılavuz

CryptoLocker bir fidye yazılımıdır. Fidye yazılımının iş modeli internet kullanıcılarından zorla para almaktır. CryptoLocker, internet kullanıcılarından cihazlarının kilidini açmak için para ödemelerini isteyen rezil "Police Virus" kötü amaçlı yazılımı tarafından geliştirilen trendi geliştiriyor. CryptoLocker önemli belgeleri ve dosyaları ele geçirir ve kullanıcıları belirli bir süre içinde fidyeyi ödemeleri konusunda bilgilendirir.

Semalt Digital Services Müşteri Başarı Yöneticisi Jason Adler, CryptoLocker güvenliğini inceler ve bundan kaçınmak için bazı zorlayıcı fikirler sunar.

Kötü Amaçlı Yazılım Kurulumu

CryptoLocker, internet kullanıcılarını indirmek ve çalıştırmak için kandırmak için sosyal mühendislik stratejileri uygular. E-posta kullanıcısı, parola korumalı ZIP dosyası içeren bir ileti alır. E-posta, lojistik sektöründeki bir kuruluştan geliyor.

Truva atı, e-posta kullanıcısı belirtilen dosyayı kullanarak ZIP dosyasını açtığında çalışır. Dosya adı uzantısını belirtmeyen Windows'un varsayılan durumundan yararlandığı için CryptoLocker'ı algılamak zordur. Kurban kötü amaçlı yazılımı çalıştırdığında, Truva atı çeşitli etkinlikler gerçekleştirir:

a) Truva atı, kullanıcının profilinde (örneğin LocalAppData) bulunan bir klasöre kendini kaydeder.

b) Truva, kayıt defterine bir anahtar getirir. Bu eylem, bilgisayarın önyükleme işlemi sırasında çalışmasını sağlar.

c) İki sürece dayanır. Birincisi ana süreçtir. İkincisi, ana sürecin sona ermesinin önlenmesidir.

Dosya Şifreleme

Truva, rasgele simetrik anahtarı üretir ve şifrelenen her dosyaya uygular. Dosyanın içeriği AES algoritması ve simetrik anahtar kullanılarak şifrelenir. Rasgele anahtar daha sonra asimetrik anahtar şifreleme algoritması (RSA) kullanılarak şifrelenir. Anahtarlar ayrıca 1024 bit'ten fazla olmalıdır. Şifreleme sürecinde 2048 bit anahtarların kullanıldığı durumlar vardır. Truva atı, özel RSA anahtarı sağlayıcısının, dosyanın şifrelenmesinde kullanılan rasgele anahtarı almasını sağlar. Adli yaklaşımı kullanarak üzerine yazılan dosyaları almak mümkün değildir.

Bir kez çalıştırıldığında, Trojan ortak anahtarı (PK) C&C sunucusundan alır. Etkin C&C sunucusunun yerini belirlerken, Truva atı rastgele etki alanı adları üretmek için etki alanı oluşturma algoritmasını (DGA) kullanır. DGA, "Mersenne twister" olarak da adlandırılır. Algoritma, geçerli tarihi günde 1.000'den fazla alan adı üretebilen tohum olarak uygular. Oluşturulan alanlar çeşitli boyutlardadır.

Trojan PK'yi indirir ve HKCUSoftwareCryptoLockerPublic Key içine kaydeder. Truva atı, sabit diskteki dosyaları ve kullanıcı tarafından açılan ağ dosyalarını şifrelemeye başlar. CryptoLocker tüm dosyaları etkilemez. Yalnızca, kötü amaçlı yazılımın kodunda gösterilen uzantılara sahip yürütülebilir olmayan dosyaları hedefler. Bu dosya uzantıları * .odt, * .xls, * .pptm, * .rft, * .pem ve * .jpg dosyalarını içerir. Ayrıca, CryptoLocker HKEY_CURRENT_USERSoftwareCryptoLockerFiles ile şifrelenmiş her dosyada oturum açar.

Şifreleme işleminden sonra, virüs belirtilen süre içinde fidye ödemesi isteyen bir mesaj gösterir. Ödeme, özel anahtar imha edilmeden önce yapılmalıdır.

CryptoLocker'dan Kaçınmak

a) E-posta kullanıcıları, bilinmeyen kişilerden veya kuruluşlardan gelen iletilerden şüphelenmelidir.

b) İnternet kullanıcıları, kötü amaçlı yazılım veya virüs saldırısının tanımını iyileştirmek için gizli dosya uzantılarını devre dışı bırakmalıdır.

c) Önemli dosyalar bir yedekleme sisteminde saklanmalıdır.

d) Dosyalara virüs bulaşırsa, kullanıcı fidye ödememelidir. Kötü amaçlı yazılım geliştiricileri asla ödüllendirilmemelidir.