Wat is CryptoLocker en hoe u dit kunt vermijden - de richtlijn van Semalt
CryptoLocker is een ransomware. Het bedrijfsmodel van de ransomware is het afpersen van geld van internetgebruikers. CryptoLocker versterkt de trend die is ontwikkeld door de beruchte 'Police Virus'-malware die internetgebruikers vraagt om geld te betalen voor het ontgrendelen van hun apparaten. CryptoLocker kaapt belangrijke documenten en bestanden en informeert de gebruikers om het losgeld binnen een bepaalde periode te betalen.
Jason Adler, de Customer Success Manager van Semalt Digital Services, gaat dieper in op de CryptoLocker-beveiliging en geeft een aantal overtuigende ideeën om deze te vermijden.
Malware-installatie
CryptoLocker past social engineering-strategieën toe om internetgebruikers te misleiden om het te downloaden en uit te voeren. De e-mailgebruiker krijgt een bericht met een met een wachtwoord beveiligd ZIP-bestand. De e-mail beweert afkomstig te zijn van een organisatie die zich in de logistieke sector bevindt.
De Trojan wordt uitgevoerd wanneer de e-mailgebruiker het ZIP-bestand opent met het aangegeven wachtwoord. Het is een uitdaging om de CryptoLocker te detecteren omdat deze profiteert van de standaardstatus van Windows die niet de bestandsnaamextensie aangeeft. Wanneer het slachtoffer de malware uitvoert, voert de Trojan verschillende activiteiten uit:
a) De Trojan slaat zichzelf op in een map in het gebruikersprofiel, bijvoorbeeld de LocalAppData.
b) De Trojan introduceert een sleutel in het register. Deze actie zorgt ervoor dat deze wordt uitgevoerd tijdens het opstarten van de computer.
c) Het werkt op basis van twee processen. Het eerste is het belangrijkste proces. De tweede is het voorkomen van het beëindigen van het hoofdproces.
Bestandsversleuteling
De Trojan produceert de willekeurige symmetrische sleutel en past deze toe op elk bestand dat is gecodeerd. De inhoud van het bestand wordt versleuteld met het AES-algoritme en de symmetrische sleutel. De willekeurige sleutel wordt daarna versleuteld met behulp van het asymmetrische sleutelversleutelingsalgoritme (RSA). De sleutels moeten ook meer dan 1024 bits zijn. Er zijn gevallen waarin 2048-bitsleutels werden gebruikt in het coderingsproces. De Trojan zorgt ervoor dat de provider van de privé-RSA-sleutel de willekeurige sleutel krijgt die wordt gebruikt bij de codering van het bestand. Het is niet mogelijk om de overschreven bestanden op te halen met de forensische benadering.
Eenmaal uitgevoerd, haalt de Trojan de openbare sleutel (PK) van de C & C-server. Bij het lokaliseren van de actieve C & C-server gebruikt de Trojan het domeingeneratiealgoritme (DGA) om de willekeurige domeinnamen te produceren. DGA wordt ook wel de "Mersenne-twister" genoemd. Het algoritme past de huidige datum toe als het zaad dat dagelijks meer dan 1.000 domeinen kan produceren. De gegenereerde domeinen hebben verschillende formaten.
De Trojan downloadt de PK en slaat deze op in de HKCUSoftwareCryptoLockerPublic-sleutel. De Trojan begint met het versleutelen van bestanden op de harde schijf en de netwerkbestanden die door de gebruiker worden geopend. CryptoLocker heeft geen invloed op alle bestanden. Het is alleen gericht op de niet-uitvoerbare bestanden met de extensies die worden geïllustreerd in de code van de malware. Deze bestandsextensies zijn * .odt, * .xls, * .pptm, * .rft, * .pem en * .jpg. Ook logt de CryptoLocker elk bestand in dat is gecodeerd naar de HKEY_CURRENT_USERSoftwareCryptoLockerFiles.
Na het coderingsproces toont het virus een bericht waarin om betaling van losgeld wordt gevraagd binnen de aangegeven tijdsduur. De betaling moet plaatsvinden voordat de privésleutel is vernietigd.
CryptoLocker vermijden
a) E-mailgebruikers moeten op hun hoede zijn voor berichten van onbekende personen of organisaties.
b) De internetgebruikers moeten de verborgen bestandsextensies uitschakelen om de identificatie van de malware of virusaanval te verbeteren.
c) Belangrijke bestanden moeten worden opgeslagen in een back-upsysteem.
d) Als bestanden geïnfecteerd raken, mag de gebruiker het losgeld niet betalen. De malware-ontwikkelaars mogen nooit worden beloond.