Ghidul tau pe internet
CryptoLocker - Cum functioneaza acest virus?
Detalii
| Categorii | IT |
|---|---|
| Taguri | Calculatoare |
| Ultima actualizare | Marti 5 august 2014 |
| Vizualizari | 1205 |
Voteaza & Distribuie
Descriere
Cercetatorii in securitate de la Emsisoft au descoperit o noua familie Ransomware pe care a numit-o CryptoLocker, sau Troian: Win32/Crilock. Aceasta parte a Ransomware este conceputa pentru a cripta fiE?iere pe dispozitivul infectat E?i mentineblocat HDD pana cand o rascumparare este platita de catre victima.Interesant, dosarele vizate de CryptoLocker nu sunt cele care ar putea fi considerate importante de catre utilizatorii de acasa. In schimb, dosarele vizate au extensii cum ar fi: odt, doc, docx, xls, xlsx, ppt, pptx, mdb, accdb, rtf, mdf, dbf, psd, pdd, jpg, srf, sr2 ,bay ,crw, dcr, kdc, erf, mef, mrw, nef, nrw, raf, raw, rwl, rw2, ptx, pef, srw, x3f, der, cer, crt, pem, si p12.
Aceasta arata ca ameninE?area este conceputa pentru a viza intreprinderi, la care conE?inutul acestor fiE?iere ar putea fi de mare valoare.
Potrivit experE?ilor, Ransomware este distribuit prin intermediul email-urilor care informeaza beneficiarii de plangeri din partea clienE?ilor. FiE?ierul care este ataE?at la aceste notificari este un downloader, care este proiectat pentru a prelua programe malware reale.
Odata ce infecteaza un dispozitiv, CryptoLocker creeaza o intrare de registry pentru a se asigura ca incepe la fiecare pornire. Apoi, se stabileE?te comunicarea cu serverul de comanda E?i control (C&C) . In primul rand, incearca sa contacteze o adresa IP hardcoded. Daca aceasta nu reuE?eE?te, aparent aleatoriu sunt generate domenii C&C bazate pe un algoritm de generare domeniu.
Dupa ce un server C&C este gasit, malware-ul incepe sa comunice cu el prin traficul care cripteaza folosind criptarea RSA.
"Utilizarea sistemul de criptare RSA pentru comunicare permite atacatorului sa ingreuneze clarificarea conversaE?iei reale dintre malware E?i serverul sau, dar, de asemenea, face ca malware-ul sa vorbeasca cu serverul atacatorului E?i nu cu un Blackhole controlat de cercetatori malware," au mentionat experE?ii Emsisoft.
In cele din urma, CryptoLocker cauta fiE?ierele menE?ionate mai sus E?i le cripteaza folosind AES. Din pacate, este imposibil de a decripta fiE?ierele fara cheia AES, care este stocata pe serverul C & C E?i accesibila doar de atacator.
Cu toate acestea, utilizatorii sunt sfatuiE?i sa nu plateasca. ScoateE?i infecE?ia cu un program antivirus E?i a restaurati fiE?ierele criptate de pe o copie de rezerva, presupunand ca aveE?i una.