CryptoLocker 란 무엇이며이를 피하는 방법 – Semalt의 지침

CryptoLocker는 랜섬웨어입니다. 랜섬웨어의 비즈니스 모델은 인터넷 사용자로부터 돈을 빼앗는 것입니다. CryptoLocker는 인터넷 사용자에게 장치 잠금 해제 비용을 지불하도록 요청하는 악명 높은 "Police Virus"멀웨어가 개발 한 트렌드를 향상시킵니다. CryptoLocker는 중요한 문서와 파일을 가로 채서 지정된 기간 내에 몸값을 지불하도록 사용자에게 알려줍니다.

Semalt Digital Services의 고객 성공 관리자 인 Jason Adler는 CryptoLocker 보안에 대해 자세히 설명하고이를 피하기위한 매력적인 아이디어를 제공합니다.

악성 코드 설치

CryptoLocker는 소셜 엔지니어링 전략을 적용하여 인터넷 사용자가 다운로드하여 실행하도록 속입니다. 이메일 사용자는 비밀번호로 보호 된 ZIP 파일이 포함 된 메시지를받습니다. 이메일은 물류 사업에 종사하는 조직에서 온 것으로 간주됩니다.

트로이 목마는 이메일 사용자가 표시된 비밀번호를 사용하여 ZIP 파일을 열 때 실행됩니다. CryptoLocker는 파일 이름 확장자를 나타내지 않는 Windows의 기본 상태를 이용하기 때문에 탐지하기가 어렵습니다. 피해자가 맬웨어를 실행하면 트로이 목마는 다양한 활동을 수행합니다.

a) 트로이 목마는 사용자 프로필에있는 폴더 (예 : LocalAppData)에 자신을 저장합니다.

b) 트로이 목마는 레지스트리에 키를 도입합니다. 이 작업은 컴퓨터 부팅 과정에서 실행되도록합니다.

c) 두 가지 프로세스를 기반으로 실행됩니다. 첫 번째는 주요 프로세스입니다. 두 번째는 주요 프로세스의 종료를 방지하는 것입니다.

파일 암호화

트로이 목마는 임의의 대칭 키를 생성하여 암호화 된 모든 파일에 적용합니다. 파일의 내용은 AES 알고리즘과 대칭 키를 사용하여 암호화됩니다. 그 후 랜덤 키는 비대칭 키 암호화 알고리즘 (RSA)을 사용하여 암호화된다. 키는 1024 비트 이상이어야합니다. 암호화 프로세스에 2048 비트 키가 사용 된 경우가 있습니다. 이 트로이 목마는 개인 RSA 키 공급자가 파일 암호화에 사용되는 임의의 키를 얻도록합니다. 법 의학적 접근법을 사용하여 덮어 쓴 파일을 검색 할 수 없습니다.

트로이 목마가 실행되면 C & C 서버에서 공개 키 (PK)를 얻습니다. 활성 C & C 서버를 찾을 때 트로이 목마는 도메인 생성 알고리즘 (DGA)을 사용하여 임의의 도메인 이름을 생성합니다. DGA는 "Mersenne twister"라고도합니다. 이 알고리즘은 현재 날짜를 시드로 적용하여 매일 1,000 개가 넘는 도메인을 생성 할 수 있습니다. 생성 된 도메인은 다양한 크기입니다.

트로이 목마는 PK를 다운로드하여 HKCUSoftwareCryptoLockerPublic Key에 저장합니다. 트로이 목마는 하드 디스크의 파일과 사용자가 연 네트워크 파일을 암호화하기 시작합니다. CryptoLocker는 모든 파일에 영향을 미치지 않습니다. 악성 코드에 표시된 확장명을 가진 비 실행 파일 만 대상으로합니다. 이러한 파일 확장자는 * .odt, * .xls, * .pptm, * .rft, * .pem 및 * .jpg를 포함합니다. 또한 CryptoLocker는 HKEY_CURRENT_USERSoftwareCryptoLockerFiles로 암호화 된 모든 파일에 기록합니다.

암호화 프로세스 후 바이러스는 지정된 기간 내에 몸값 지불을 요청하는 메시지를 표시합니다. 개인 키가 파기되기 전에 지불해야합니다.

CryptoLocker 피하기

a) 이메일 사용자는 알 수없는 사람이나 조직의 메시지를 의심해야합니다.

b) 인터넷 사용자는 숨겨진 파일 확장자를 비활성화하여 맬웨어 또는 바이러스 공격의 식별을 향상시켜야합니다.

c) 중요한 파일은 백업 시스템에 저장해야합니다.

d) 파일이 감염되면 사용자는 몸값을 지불하지 않아야합니다. 멀웨어 개발자는 보상을받지 않아야합니다.

mass gmail