តើអ្វីទៅជា CryptoLocker និងវិធីដើម្បីជៀសវាងវា - ការណែនាំពី Semalt

CryptoLocker គឺជាគ្រឿងបន្លាស់លោះ។ គំរូអាជីវកម្មរបស់ក្រុមហ៊ុនលបស្តារគឺដើម្បីជំរិតទារប្រាក់ពីអ្នកប្រើប្រាស់អ៊ីនធឺណិត។ CryptoLocker បង្កើននិន្នាការដែលត្រូវបានបង្កើតឡើងដោយមេរោគ "ប៉ូលីសប៉ូលីស" ដ៏អាក្រក់ដែលស្នើសុំឱ្យអ្នកប្រើប្រាស់អ៊ិនធឺរណែតបង់ប្រាក់សម្រាប់ការដោះសោឧបករណ៍របស់ពួកគេ។ CryptoLocker ប្លន់យកឯកសារនិងឯកសារសំខាន់ៗហើយជូនដំណឹងដល់អ្នកប្រើប្រាស់ឱ្យបង់ថ្លៃលោះក្នុងរយៈពេលដែលបានបញ្ជាក់។

លោក Jason Adler ដែលជាអ្នកគ្រប់គ្រងជោគជ័យអតិថិជនរបស់សេវាកម្មឌីជីថល Semalt បាន ពន្យល់លម្អិតអំពីសុវត្ថិភាពរបស់ CryptoLocker និងផ្តល់នូវគំនិតគួរឱ្យទាក់ទាញអារម្មណ៍មួយចំនួនដើម្បីចៀសវាងវា។

ការដំឡើងមេរោគ

CryptoLocker អនុវត្តយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដើម្បីបញ្ឆោតអ្នកប្រើអ៊ីនធឺណិតទាញយកនិងដំណើរការវា។ អ្នកប្រើប្រាស់អ៊ីមែលទទួលបានសារមួយដែលមានឯកសារហ្ស៊ីបការពារលេខសំងាត់។ អ៊ីមែលនេះបានមកពីអង្គភាពដែលមាននៅក្នុងអាជីវកម្មភស្តុភារ។

Trojan ដំណើរការនៅពេលអ្នកប្រើប្រាស់អ៊ីមែលបើកឯកសារហ្ស៊ីបដោយប្រើលេខសំងាត់ដែលបានបញ្ជាក់។ វាពិបាកក្នុងការរក CryptoLocker ព្រោះវាទាញយកអត្ថប្រយោជន៍ពីស្ថានភាពលំនាំដើមរបស់វីនដូដែលមិនបានបង្ហាញពីការបន្ថែមឈ្មោះឯកសារ។ នៅពេលជនរងគ្រោះបើកមេរោគនោះ Trojan អនុវត្តសកម្មភាពផ្សេងៗគ្នា៖

ក) Trojan រក្សាទុកដោយខ្លួនឯងនៅក្នុងថតឯកសារដែលមាននៅក្នុងប្រវត្តិរូបរបស់អ្នកប្រើឧទាហរណ៍ LocalAppData ។

ខ) Trojan ណែនាំគន្លឹះក្នុងការចុះឈ្មោះ។ សកម្មភាពនេះធានាថាវាដំណើរការក្នុងអំឡុងពេលដំណើរការចាប់ផ្ដើមកុំព្យូទ័រ។

គ) វាដំណើរការដោយផ្អែកលើដំណើរការពីរ។ ទីមួយគឺជាដំណើរការសំខាន់។ ទីពីរគឺការការពារការបញ្ចប់ដំណើរការសំខាន់។

ការអ៊ិនគ្រីបឯកសារ

Trojan បង្កើតកូនសោស៊ីមេទ្រីចៃដន្យហើយអនុវត្តវាទៅគ្រប់ឯកសារដែលបានអ៊ិនគ្រីប។ ខ្លឹមសារនៃឯកសារត្រូវបានអ៊ិនគ្រីបដោយប្រើក្បួនដោះស្រាយអេអេសនិងគ្រាប់ចុចស៊ីមេទ្រី។ គ្រាប់ចុចចៃដន្យត្រូវបានអ៊ិនគ្រីបដោយប្រើក្បួនដោះស្រាយការអ៊ិនគ្រីបកូនសោ asymmetric (RSA) ។ កូនសោក៏គួរតែមានច្រើនជាង 1024 ប៊ីត។ មានករណីជាច្រើនដែលកូនសោរ 2048 ប៊ីតត្រូវបានប្រើនៅក្នុងដំណើរការអ៊ិនគ្រីប។ Trojan ធានាថាអ្នកផ្តល់សោឯកជនឯកជនអេសអេសទទួលបានកូនសោចៃដន្យដែលត្រូវបានប្រើក្នុងការអ៊ិនគ្រីបឯកសារ។ មិនអាចទាញយកឯកសារដែលបានសរសេរជាន់លើដោយប្រើវិធីធ្វើកោសល្យវិច្ច័យទេ។

នៅពេលដំណើរការហើយ Trojan ទទួលបានលេខកូដសាធារណៈ (PK) ពី C&C server ។ ក្នុងការរកទីតាំងម៉ាស៊ីនមេ C&C សកម្មនោះផែ្នកផែ្នកប្រើប្រព័ន្ធបង្កើតដូមេន (ដូជី) ដើម្បីបង្កើតឈ្មោះដែនចៃដន្យ។ DGA ក៏ត្រូវបានគេហៅថា "Mersenne twister" ។ ក្បួនដោះស្រាយអនុវត្តកាលបរិច្ឆេទបច្ចុប្បន្នជាគ្រាប់ពូជដែលអាចផលិតបានច្រើនជាង ១០០០ ដែនជារៀងរាល់ថ្ងៃ។ ដែនដែលបានបង្កើតមានទំហំផ្សេងៗគ្នា។

Trojan ទាញយក PK ហើយរក្សាទុកវានៅក្នុង HKCUSoftwareCryptoLockerPublic Key ។ Trojan ចាប់ផ្តើមអ៊ិនគ្រីបឯកសារនៅក្នុងថាសរឹងនិងឯកសារបណ្តាញដែលត្រូវបានបើកដោយអ្នកប្រើ។ CryptoLocker មិនប៉ះពាល់ដល់ឯកសារទាំងអស់ទេ។ វាផ្តោតតែលើឯកសារដែលមិនអាចប្រតិបត្តិបានដែលមានផ្នែកបន្ថែមដែលត្រូវបានបង្ហាញនៅក្នុងកូដនៃមេរោគ។ ផ្នែកបន្ថែមឯកសារទាំងនេះរួមមាន * .odt, * .xls, * .pptm, * .rft, * .pem, និង * .jpg ។ ដូចគ្នានេះផងដែរ CryptoLocker ចូលឯកសារទាំងអស់ដែលត្រូវបានអ៊ិនគ្រីបទៅ HKEY_CURRENT_USERSoftwareCryptoLockerFiles ។

បន្ទាប់ពីដំណើរការអ៊ិនគ្រីបវីរុសបង្ហាញសារស្នើសុំការទូទាត់ថ្លៃលោះក្នុងរយៈពេលដែលបានបញ្ជាក់។ ការទូទាត់គួរតែត្រូវបានធ្វើឡើងមុនពេលដែលកូនសោឯកជនត្រូវបានបំផ្លាញ។

ជៀសវាងគ្រីបតូកឃឺ

ក) អ្នកប្រើប្រាស់អ៊ីម៉ែលគួរមានការសង្ស័យពីសារពីមនុស្សឬអង្គការដែលមិនស្គាល់។

ខ) អ្នកប្រើប្រាស់អ៊ិនធឺរណែតគួរតែបិទដំណើរការផ្នែកបន្ថែមឯកសារដែលបានលាក់ដើម្បីធ្វើអោយប្រសើរឡើងនូវការកំណត់អត្តសញ្ញាណមេរោគឬការវាយប្រហារមេរោគ។

គ) ឯកសារសំខាន់ៗគួរតែត្រូវបានរក្សាទុកនៅក្នុងប្រព័ន្ធបម្រុងទុក។

ឃ) ប្រសិនបើឯកសារបានឆ្លងអ្នកប្រើមិនគួរបង់ថ្លៃលោះទេ។ អ្នកអភិវឌ្ឍន៍មេរោគមិនគួរទទួលបានរង្វាន់ឡើយ។