CryptoLocker
Acest articol sau secțiune despre subiectul software nu menționează sursele necesare sau cei prezenți sunt insuficienți . |
CryptoLocker este un troian care a apărut la sfârșitul anului 2013 , care a fost apoi perfecționat în mai 2017 . Acest malware este o formă de ransomware care infectează sistemele Windows și constă în criptarea datelor victimei, necesitând o plată pentru decriptare. [1] Symantec estimează că aproximativ 3% dintre cei afectați de malware-ul decide să plătească. Unele victime spun că au plătit răscumpărarea, dar nu și-au văzut fișierele decriptate.
Operațiune
CryptoLocker se răspândește în general ca un atașament de e-mail aparent legal și inofensiv care pare să provină de la instituții legitime sau este încărcat pe un computer care face deja parte dintr-o botnet . Un fișier ZIP atașat la e-mail conține un fișier executabil cu o pictogramă și o extensie pdf , profitând de faptul că sistemele Windows recente nu afișează în mod implicit extensii de fișiere (un fișier numit filename.pdf.exe va fi afișat ca nume de fișier. pdf în ciuda faptului că este executabil). Unele variante ale malware-ului pot conține în schimb troianul Zeus, care la rândul său instalează CryptoLocker.
La prima lansare, software-ul se instalează în folderul Documente și setări (sau „Utilizatori”, în sistemele de operare Windows mai noi) cu un nume aleatoriu și adaugă o cheie în registru care îl lansează automat. Apoi încearcă să se conecteze la unul dintre serverele de comandă și control. Odată conectat, serverul generează o cheie RSA de 2048 biți și trimite cheia publică către computerul infectat. Serverul de comandă și control poate fi un proxy local și poate trece prin altele, care apar adesea în diferite țări, astfel încât să fie dificilă urmărirea. Programul malware începe apoi să cripteze fișierele de pe hard disk și partajează rețeaua localizată cu cheia publică salvând fiecare fișier criptat într-o cheie de registru. Procesul criptează doar datele cu unele extensii, printre care: Microsoft Office , Open document și alte documente, imagini și fișiere Autocad . Software-ul informează apoi utilizatorul că a criptat fișierele și necesită o plată de 300 USD sau Euro cu un voucher anonim și preplătit (de exemplu, MoneyPak sau Ukash ) sau 0,5 Bitcoin pentru a decripta fișierele. Plata trebuie făcută în 72 sau 100 de ore, altfel cheia privată este ștearsă permanent și „nimeni nu va putea vreodată să restabilească fișierele”. Plata răscumpărării permite utilizatorului să descarce software de decriptare cu cheia privată a utilizatorului deja preîncărcată.
Urmări
Chiar dacă CryptoLocker ar fi eliminat imediat, fișierele ar rămâne criptate într-un mod pe care cercetătorii îl consideră inviolabil. Mulți spun că nu plătesc, dar nu oferă nicio modalitate de a recupera fișiere, alții spun că plata este singura modalitate de a recupera fișierele pe care nu aveți o copie de rezervă necompromisă.
În noiembrie 2013 , operatorii CryptoLocker au lansat un serviciu online care promite decriptarea fișierelor fără program și care vă permite să cumpărați cheia de decriptare după expirarea termenului limită. Procedura include trimiterea unui fișier criptat la server ca eșantion, a cărui corespondență poate fi verificată în următoarele 24 de ore. Odată ce cheia a fost găsită, utilizatorul va putea să o cumpere online în următoarele 72 de ore, la expirarea cărora costul va fi majorat la 10 bitcoini (care la începutul lunii noiembrie 2013 valorau aproximativ 3500 USD)
Atenuarea daunelor
În ciuda faptului că suitele de securitate sunt concepute pentru a găsi astfel de amenințări, se poate întâmpla ca CryptoLocker să nu fie detectat în totalitate sau doar după ce criptarea a început sau s-a finalizat, mai ales dacă apare o nouă versiune necunoscută unui antivirus. Dacă este suspectat un atac sau este în faza incipientă, deoarece este nevoie de ceva timp până la finalizarea criptării, eliminarea imediată a malware-ului (un proces relativ simplu) înainte ca criptarea să fie finalizată poate reduce semnificativ pierderea de date. Experții recomandă luarea de măsuri preventive, cum ar fi utilizarea programelor de securitate sau a politicilor care împiedică pornirea CryptoLocker.
Datorită naturii operațiunilor CryptoLocker, unii experți, deși cu reticență, susțin că plata este singura modalitate de a vă recupera fișierele, în absența unei copii de rezervă reconstruite (în special o copie de rezervă offline inaccesibilă din rețea sau o protecție continuă a fișierelor Date Windows „Windows shadow copy”). Datorită lungimii cheii utilizate, un atac de forță brută este considerat practic ineficient pentru a obține, fără a plăti, cea necesară pentru decriptarea fișierelor. Viermele este similar cu Gpcode.AK din 2008, care folosea o cheie de 1024 biți, considerată suficient de mare pentru a fi indestructibilă fără un efort organizat și distribuit, sau fără descoperirea unui „defect” care ar putea fi folosit pentru decriptarea acestuia. La sfârșitul lunii octombrie 2013, Kaspersky Labs a raportat că a fost creat un Sinkhole DNS pentru a bloca unele dintre domeniile CryptoLocker.
Prevenirea
Unul dintre cele mai eficiente sisteme de prevenire este de a preveni rularea programelor în folderul AppData . Acest folder este prezent pe toate sistemele și locația sa depinde de versiunea de Windows utilizată, poate fi găsită în Documente și setări (sau „ Utilizatori ”, în cele mai recente sisteme de operare Windows). Pentru a face această modificare, trebuie să adăugați restricțiile în Politica de securitate locală prezentă în panoul de control. De exemplu, pentru sistemele Windows Vista sau superioare puteți utiliza următoarea listă de reguli:
| cale | Nivel de securitate | Descriere sugerată |
|---|---|---|
| % AppData% \ *. Exe | Respins | Împiedică rularea programelor în AppData * |
| % AppData% \ * \ *. Exe | Respins | Împiedică executarea programelor în subfolderele AppData |
| % LocalAppData% \ Temp \ Rar * \ *. Exe | Respins | Previne executarea programelor extrase automat din fișiere RAR comprimate descărcate prin e-mail |
| % LocalAppData% \ Temp \ 7z * \ *. Exe | Respins | Previne executarea programelor extrase automat din fișiere comprimate 7z descărcate prin e-mail |
| % LocalAppData% \ Temp \ wz * \ *. Exe | Respins | Previne executarea programelor extrase automat din fișiere wz comprimate descărcate prin e-mail |
| % LocalAppData% \ Temp \ *. Zip \ *. Exe | Respins | Previne executarea programelor extrase automat din fișiere zip comprimate descărcate prin e-mail |
În plus, pentru a preveni acest virus, se aplică regulile normale de prevenire pentru malware , de exemplu:
- Efectuați backup-uri periodice pe unități externe.
- Evitați utilizarea folderelor partajate în rețelele publice.
- Vizualizați extensia de fișier în Windows Explorer.
- Verificați gazda link-ului înainte de a face clic din browser.
- Nu rulați atașamente de e-mail suspecte.
Notă
- ^ CryptoLocker, ce este, cum să-l luați și cum să vă apărați , pe cybersecurity360.it . Adus pe 20 mai 2020 .
Elemente conexe
linkuri externe
- Alertă de focar de amenințare: mesaje prin e-mail care distribuie software rău intenționat pe 11 octombrie 2013 , pe portalul Cisco Security Intelligence Operations Portal , San Jose, CA, SUA, Cisco Systems , 14 octombrie 2013. Accesat pe 30 octombrie 2013 .
- Instrumentul de scanare CryptoLocker , pe omnispear.com .
- Informații detaliate despre CryptoLocker și ransomware , pe besthosting.biz .
- Virusul Cryptolocker: ce este, cum să-l evitați și să decriptați fișierele , pe max89x.it .
- ( EN ) Cryptolocker: Cum să evitați infectarea și ce să faceți dacă sunteți , în computerworld .
