ما هو CryptoLocker وكيفية تجنبه - التوجيهي من Semalt

CryptoLocker هو برنامج فدية. نموذج الأعمال الخاص ببرنامج الفدية هو ابتزاز الأموال من مستخدمي الإنترنت. يعزز CryptoLocker الاتجاه الذي طورته البرامج الخبيثة "Police Virus" التي تطلب من مستخدمي الإنترنت دفع أموال مقابل فتح أجهزتهم. يخترق CryptoLocker المستندات والملفات المهمة ويبلغ المستخدمين بدفع الفدية خلال مدة محددة.

يشرح جايسون أدلر ، مدير نجاح العملاء في Semalt Digital Services ، أمان CryptoLocker ويقدم بعض الأفكار المقنعة لتجنبه .

تثبيت البرامج الضارة

يطبق CryptoLocker استراتيجيات الهندسة الاجتماعية لخداع مستخدمي الإنترنت لتنزيله وتشغيله. يتلقى مستخدم البريد الإلكتروني رسالة تحتوي على ملف ZIP محمي بكلمة مرور. يفترض أن يكون البريد الإلكتروني من منظمة تعمل في مجال الخدمات اللوجستية.

يتم تشغيل حصان طروادة عندما يفتح مستخدم البريد الإلكتروني ملف ZIP باستخدام كلمة المرور المشار إليها. من الصعب اكتشاف CryptoLocker لأنه يستفيد من الحالة الافتراضية لنظام التشغيل Windows والتي لا تشير إلى امتداد اسم الملف. عندما يقوم الضحية بتشغيل البرامج الضارة ، يقوم طروادة بأنشطة مختلفة:

أ) يحفظ Trojan نفسه في مجلد موجود في ملف تعريف المستخدم ، على سبيل المثال ، LocalAppData.

ب) يقدم طروادة مفتاح التسجيل. يضمن هذا الإجراء تشغيله أثناء عملية تمهيد الكمبيوتر.

ج) يعمل على أساس عمليتين. الأول هو العملية الرئيسية. والثاني هو منع إنهاء العملية الرئيسية.

تشفير الملف

ينتج حصان طروادة المفتاح المتماثل العشوائي ويطبقه على كل ملف مشفر. يتم تشفير محتوى الملف باستخدام خوارزمية AES والمفتاح المتماثل. يتم تشفير المفتاح العشوائي بعد ذلك باستخدام خوارزمية تشفير المفتاح غير المتماثل (RSA). يجب أن تكون المفاتيح أيضًا أكثر من 1024 بت. هناك حالات تم فيها استخدام مفاتيح 2048 بت في عملية التشفير. يضمن حصان طروادة أن موفر مفتاح RSA الخاص يحصل على المفتاح العشوائي المستخدم في تشفير الملف. لا يمكن استرجاع الملفات التي تم استبدالها باستخدام طريقة الطب الشرعي.

بمجرد التشغيل ، يحصل حصان طروادة على المفتاح العام (PK) من خادم C&C. عند تحديد موقع خادم C&C النشط ، يستخدم حصان طروادة خوارزمية إنشاء المجال (DGA) لإنتاج أسماء النطاقات العشوائية. يشار إلى DGA أيضًا باسم "إعصار ميرسين". تطبق الخوارزمية التاريخ الحالي كبذرة يمكنها إنتاج أكثر من 1000 نطاق يوميًا. المجالات التي تم إنشاؤها بأحجام مختلفة.

يقوم Trojan بتنزيل PK وحفظه داخل مفتاح HKCUSoftwareCryptoLockerPublic. يبدأ حصان طروادة في تشفير الملفات الموجودة على القرص الثابت وملفات الشبكة التي يفتحها المستخدم. لا يؤثر CryptoLocker على جميع الملفات. إنه يستهدف فقط الملفات غير القابلة للتنفيذ التي تحتوي على الامتدادات الموضحة في رمز البرنامج الضار. تتضمن ملحقات الملفات هذه * .odt و * .xls و * .pptm و * .rft و * .pem و * .jpg. أيضًا ، يقوم CryptoLocker بتسجيل الدخول إلى كل ملف تم تشفيره إلى HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

بعد عملية التشفير ، يعرض الفيروس رسالة تطلب دفع فدية خلال المدة الزمنية المحددة. يجب أن يتم الدفع قبل إتلاف المفتاح الخاص.

تجنب CryptoLocker

أ) يجب أن يشك مستخدمو البريد الإلكتروني في الرسائل الواردة من أشخاص أو منظمات غير معروفة.

ب) يجب على مستخدمي الإنترنت تعطيل ملحقات الملفات المخفية لتحسين التعرف على البرامج الضارة أو هجوم الفيروسات.

ج) يجب تخزين الملفات الهامة في نظام النسخ الاحتياطي.

د) في حالة إصابة الملفات ، يجب على المستخدم عدم دفع الفدية. يجب عدم مكافأة مطوري البرامج الضارة أبدًا.

mass gmail