“CryptoLocker” näme we ondan nädip saklanmaly - “Semalt” -dan görkezme

“CryptoLocker” tölegli programma üpjünçiligi. Girew töleginiň iş modeli, internet ulanyjylaryndan pul talap etmekdir. CryptoLocker, internet ulanyjylaryndan enjamlaryny açmak üçin pul tölemegini soraýan meşhur "Polisiýa wirusy" zyýanly programma üpjünçiligi tarapyndan döredilen tendensiýany güýçlendirýär. “CryptoLocker” möhüm resminamalary we faýllary ogurlaýar we ulanyjylara tölegiň bellenilen möhletde tölenmegini habar berýär.

Semalt Digital Services” -iň Müşderi Üstünlik Dolandyryjysy Jeýson Adler, “CryptoLocker” -iň howpsuzlygy barada jikme-jik maglumat berýär we munuň öňüni almak üçin käbir ynandyryjy pikirleri hödürleýär.

Zyýanly programma üpjünçiligi

“CryptoLocker” internet ulanyjylaryny göçürip almak we işletmek üçin sosial in engineeringenerçilik strategiýalaryny ulanýar. E-poçta ulanyjysy parol bilen goralan ZIP faýly bolan habary alýar. E-poçta logistika işi bilen meşgullanýan guramadan bolmaly.

E-poçta ulanyjy görkezilen paroly ulanyp, ZIP faýly açanda Troýan işleýär. CryptoLocker-i tapmak kyn, sebäbi faýlyň adynyň giňelmegini görkezmeýän Windows-yň deslapky ýagdaýyndan peýdalanýar. Pidanyň zyýanly programma üpjünçiligini işledeninde, Troýan dürli çäreleri ýerine ýetirýär:

a) Troýan, ulanyjynyň profilinde ýerleşýän bukjada, meselem, LocalAppData-da özüni saklaýar.

b) Troýan sanawyň açaryny hödürleýär. Bu hereket, kompýuteriň ýükleniş prosesinde işlemegini üpjün edýär.

ç) Iki prosese esaslanýar. Birinjisi esasy proses. Ikinjisi, esasy prosesiň bes edilmeginiň öňüni almak.

Faýl şifrlemek

Troýan tötänleýin simmetrik açary öndürýär we şifrlenen her faýlda ulanylýar. Faýlyň mazmuny AES algoritmini we simmetrik açary ulanyp kodlanýar. Tötänleýin açar, asimmetrik açary şifrlemek algoritmini (RSA) ulanyp şifrlenýär. Düwmeler 1024 bitden köp bolmaly. Şifrlemek prosesinde 2048 bit düwmeleriniň ulanylan ýagdaýlary bar. Troýan, hususy RSA açaryny üpjün edijiniň faýly şifrlemekde ulanylýan tötänleýin açary almagyny üpjün edýär. Kazyýet işinden peýdalanyp, gaýtadan ýazylan faýllary alyp bolmaýar.

Bir gezek işledilenden soň, Troýan C&C serwerinden açyk açary (PK) alýar. Işjeň C&C serwerini tapmakda, Troýan tötänleýin domen atlaryny öndürmek üçin domen döretmek algoritmini (DGA) ulanýar. DGA "Mersenne twister" hem diýilýär. Algoritm häzirki senäni her gün 1000-den gowrak domen öndürip biljek tohum hökmünde ulanýar. Döredilen domenler dürli ululykda.

Troýan PK-ni göçürip alýar we HKCUSoftwareCryptoLockerPublic Key-de saklaýar. Troýan, gaty diskdäki faýllary we ulanyjy tarapyndan açylýan tor faýllaryny şifrläp başlaýar. CryptoLocker ähli faýllara täsir etmeýär. Diňe zyýanly programma üpjünçiliginiň kodynda görkezilen giňeltmeleri bolan ýerine ýetirip bolmaýan faýllary nyşana alýar. Bu faýl giňeltmelerine * .odt, * .xls, * .pptm, * .rft, * .pem we * .jpg girýär. Şeýle hem, CryptoLocker HKEY_CURRENT_USERSoftwareCryptoLockerFiles-de kodlanan her faýlda hasaba alynýar.

Şifrlemekden soň, wirus bellenilen möhletde töleg tölemegini soraýan habary görkezýär. Şahsy açar ýok edilmezden öň tölenmeli.

CryptoLocker-den gaça durmak

a) E-poçta ulanyjylary näbelli adamlaryň ýa-da guramalaryň habarlaryndan şübhelenmeli.

b) Internet ulanyjylary zyýanly programma üpjünçiligini ýa-da wirus hüjümini kesgitlemegi gowulandyrmak üçin gizlin faýl giňeltmelerini öçürmeli.

ç) Möhüm faýllar ätiýaçlyk ulgamda saklanmalydyr.

d) Faýllar ýokaşan bolsa, ulanyjy töleg tölemeli däldir. Zyýanly programma üpjünçiligini hiç wagt sylaglamaly däl.