מהו CryptoLocker ואיך להימנע מכך - ההנחיה מסמל

CryptoLocker הוא תוכנת כופר. המודל העסקי של תוכנת הכופר הוא לסחוט כסף ממשתמשי אינטרנט. CryptoLocker משפר את המגמה שפותחה על ידי התוכנה הזדונית הידועה לשמצה "Police Virus" המבקשת ממשתמשי האינטרנט לשלם כסף עבור ביטול נעילת המכשירים שלהם. CryptoLocker חוטף מסמכים וקבצים חשובים ומודיע למשתמשים לשלם את הכופר בתוך פרק זמן מוגדר.

ג'ייסון אדלר, מנהל הצלחת הלקוחות של Semalt Digital Services, מרחיב על אבטחת CryptoLocker ומספק כמה רעיונות משכנע להימנע מכך.

התקנת תוכנה זדונית

CryptoLocker מיישמת אסטרטגיות הנדסה חברתית בכדי להערים את משתמשי האינטרנט להוריד ולהפעיל אותה. משתמש הדוא"ל מקבל הודעה עם קובץ ZIP מוגן באמצעות סיסמה. האימייל מתיימר להיות מארגון שנמצא בעסקי הלוגיסטיקה.

הטרויאני פועל כאשר משתמש הדוא"ל פותח את קובץ ה- ZIP באמצעות הסיסמה שצוינה. זה מאתגר לזהות את CryptoLocker מכיוון שהוא מנצל את סטטוס ברירת המחדל של Windows שאינו מציין את סיומת שם הקובץ. כאשר הקורבן מפעיל את התוכנה הזדונית, הטרויאני מבצע פעילויות שונות:

א) הטרויאני שומר את עצמו בתיקיה שנמצאת בפרופיל המשתמש, למשל LocalAppData.

ב) הטרויאני מציג מפתח לרישום. פעולה זו מבטיחה שהיא תפעל בתהליך אתחול המחשב.

ג) זה פועל על בסיס שני תהליכים. הראשון הוא התהליך העיקרי. השנייה היא מניעת הפסקת התהליך העיקרי.

הצפנת קבצים

הטרויאני מייצר את המפתח הסימטרי האקראי ומחיל אותו על כל קובץ שמוצפן. תוכן הקובץ מוצפן באמצעות אלגוריתם AES והמפתח הסימטרי. המפתח האקראי מוצפן לאחר מכן באמצעות אלגוריתם הצפנת המפתח הא-סימטרי (RSA). המפתחות צריכים להיות גם יותר מ- 1024 ביטים. ישנם מקרים בהם נעשה שימוש במפתחות 2048 סיביות בתהליך ההצפנה. הטרויאני מבטיח שספק המפתח RSA הפרטי יקבל את המפתח האקראי המשמש בהצפנת הקובץ. לא ניתן לאחזר את הקבצים שהוחלפו באמצעות הגישה המשפטית.

לאחר הפעלה, הטרויאני מקבל את המפתח הציבורי (PK) משרת ה- C&C. באיתור שרת ה- C&C הפעיל, הטרויאני משתמש באלגוריתם לייצור דומיינים (DGA) כדי לייצר את שמות הדומיינים האקראיים. DGA מכונה גם "הטוויסטר של מרסן". האלגוריתם מיישם את התאריך הנוכחי כזרע שיכול לייצר יותר מאלף תחומים מדי יום. הדומיינים שנוצרו הם בגדלים שונים.

הטרויאני מוריד את ה- PK ושומר אותו בתוך מפתח ה- HKCUSoftwareCryptoLocker Public. הטרויאני מתחיל להצפין קבצים בדיסק הקשיח ובקבצי הרשת שנפתחים על ידי המשתמש. CryptoLocker אינו משפיע על כל הקבצים. הוא ממקד רק לקבצים שאינם ניתנים להפעלה עם הרחבות המוצגות בקוד של התוכנה הזדונית. סיומות קבצים אלה כוללות * .odt, * .xls, * .pptm, * .rft, * .pem ו- * .jpg. כמו כן, CryptoLocker מתחבר לכל קובץ שהוצפן ל- HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

לאחר תהליך ההצפנה, הנגיף מציג הודעה המבקשת תשלום כופר בפרק הזמן שנקבע. יש לבצע את התשלום לפני שהמפתח הפרטי ייהרס.

הימנעות מ- CryptoLocker

א) המשתמשים בדוא"ל צריכים לחשוד בהודעות של אנשים או ארגונים לא מוכרים.

ב) על משתמשי האינטרנט להשבית את תוספי הקבצים הנסתרים כדי לשפר את זיהוי התוכנה הזדונית או הנגיף.

ג) יש לאחסן קבצים חשובים במערכת גיבוי.

ד) אם קבצים נדבקים, המשתמש לא צריך לשלם את הכופר. לעולם אין לתגמל את מפתחי התוכנה הזדונית.