Was ist CryptoLocker und wie vermeide ich es? - Die Richtlinie von Semalt

CryptoLocker ist eine Ransomware. Das Geschäftsmodell der Ransomware besteht darin, Geld von Internetnutzern zu erpressen. CryptoLocker verstärkt den Trend der berüchtigten Malware "Police Virus", mit der Internetnutzer aufgefordert werden, Geld für das Entsperren ihrer Geräte zu zahlen. CryptoLocker entführt wichtige Dokumente und Dateien und weist die Benutzer an, das Lösegeld innerhalb einer festgelegten Dauer zu zahlen.

Jason Adler, der Customer Success Manager von Semalt Digital Services, erläutert die CryptoLocker-Sicherheit und liefert einige überzeugende Ideen, um dies zu vermeiden.

Malware-Installation

CryptoLocker wendet Social-Engineering-Strategien an, um Internetnutzer zum Herunterladen und Ausführen zu verleiten. Der E-Mail-Benutzer erhält eine Nachricht mit einer kennwortgeschützten ZIP-Datei. Die E-Mail soll von einer Organisation stammen, die im Logistikgeschäft tätig ist.

Der Trojaner wird ausgeführt, wenn der E-Mail-Benutzer die ZIP-Datei mit dem angegebenen Kennwort öffnet. Es ist schwierig, den CryptoLocker zu erkennen, da er den Standardstatus von Windows nutzt, der die Dateinamenerweiterung nicht angibt. Wenn das Opfer die Malware ausführt, führt der Trojaner verschiedene Aktivitäten aus:

a) Der Trojaner speichert sich in einem Ordner im Benutzerprofil, z. B. LocalAppData.

b) Der Trojaner führt einen Schlüssel in die Registrierung ein. Diese Aktion stellt sicher, dass sie während des Startvorgangs des Computers ausgeführt wird.

c) Es basiert auf zwei Prozessen. Der erste ist der Hauptprozess. Die zweite ist die Verhinderung der Beendigung des Hauptprozesses.

Dateiverschlüsselung

Der Trojaner erzeugt den zufälligen symmetrischen Schlüssel und wendet ihn auf jede verschlüsselte Datei an. Der Inhalt der Datei wird mit dem AES-Algorithmus und dem symmetrischen Schlüssel verschlüsselt. Der Zufallsschlüssel wird danach unter Verwendung des asymmetrischen Schlüsselverschlüsselungsalgorithmus (RSA) verschlüsselt. Die Schlüssel sollten auch mehr als 1024 Bit sein. Es gibt Fälle, in denen 2048-Bit-Schlüssel für den Verschlüsselungsprozess verwendet wurden. Der Trojaner stellt sicher, dass der Anbieter des privaten RSA-Schlüssels den Zufallsschlüssel erhält, der für die Verschlüsselung der Datei verwendet wird. Es ist nicht möglich, die überschriebenen Dateien mit dem forensischen Ansatz abzurufen.

Nach der Ausführung erhält der Trojaner den öffentlichen Schlüssel (PK) vom C & C-Server. Beim Auffinden des aktiven C & C-Servers verwendet der Trojaner den Domain-Generierungsalgorithmus (DGA), um die zufälligen Domain-Namen zu erstellen. DGA wird auch als "Mersenne-Twister" bezeichnet. Der Algorithmus wendet das aktuelle Datum als Startwert an, der täglich mehr als 1.000 Domains produzieren kann. Die generierten Domänen haben verschiedene Größen.

Der Trojaner lädt die PK herunter und speichert sie im HKCUSoftwareCryptoLockerPublic Key. Der Trojaner beginnt mit der Verschlüsselung der Dateien auf der Festplatte und der vom Benutzer geöffneten Netzwerkdateien. CryptoLocker wirkt sich nicht auf alle Dateien aus. Es zielt nur auf nicht ausführbare Dateien ab, deren Erweiterungen im Code der Malware dargestellt sind. Diese Dateierweiterungen umfassen * .odt, * .xls, * .pptm, * .rft, * .pem und * .jpg. Außerdem meldet der CryptoLocker jede Datei an, die mit den Dateien HKEY_CURRENT_USERSoftwareCryptoLockerFiles verschlüsselt wurde.

Nach dem Verschlüsselungsprozess zeigt der Virus eine Nachricht an, in der die Zahlung des Lösegelds innerhalb der angegebenen Zeitspanne angefordert wird. Die Zahlung sollte erfolgen, bevor der private Schlüssel zerstört wird.

CryptoLocker vermeiden

a) E-Mail-Benutzer sollten gegenüber Nachrichten von unbekannten Personen oder Organisationen misstrauisch sein.

b) Die Internetbenutzer sollten die versteckten Dateierweiterungen deaktivieren, um die Identifizierung der Malware oder des Virenangriffs zu verbessern.

c) Wichtige Dateien sollten in einem Backup-System gespeichert werden.

d) Wenn Dateien infiziert werden, sollte der Benutzer das Lösegeld nicht bezahlen. Die Malware-Entwickler sollten niemals belohnt werden.