CryptoLocker - CryptoLocker

Ushbu maqola CryptoLocker deb nomlangan ma'lum dasturiy ta'minot haqida. Shunga o'xshash boshqa dasturiy ta'minot uchun, ba'zilari CryptoLocker nomidan foydalanadi, qarang Ransomware § to'lov dasturini shifrlash.
CryptoLocker
TasnifiTroyan oti
TuriTo'lov dasturi
SubtipKriptovirus
Izolyatsiya2 iyun 2014 yil
Operatsion tizim (lar) ta'sirlanganWindows

The CryptoLocker to'lov dasturiga hujum edi a kiberhujum yordamida CryptoLocker to'lov dasturlari Bu 2013 yil 5 sentyabrdan 2014 yil may oxirigacha sodir bo'lgan. Hujum a troyan maqsadli kompyuterlar yugurish Microsoft Windows,[1] va birinchi bo'lib joylashtirilgan deb ishonilgan Internet 2013 yil 5 sentyabrda.[2] U yuqtirilgan elektron pochta qo'shimchalari va mavjud bo'lganlar orqali tarqaldi ZeuS-ga o'tish botnet.[3] Faollashtirilganda zararli dastur shifrlangan RSA yordamida mahalliy va o'rnatilgan tarmoq drayverlarida saqlanadigan ba'zi turdagi fayllar ochiq kalitli kriptografiya, faqat zararli dasturlarni boshqarish serverlarida saqlangan shaxsiy kalit bilan. So'ngra zararli dastur xabarni ko'rsatdi, agar u to'lov bo'lsa (ikkalasi orqali ham) ma'lumotlarni parolini hal qilishni taklif qildi bitkoin yoki oldindan to'langan naqd vaucher) belgilangan muddatda amalga oshirilgan va agar bu muddat tugasa, shaxsiy kalitni o'chirib tashlash bilan tahdid qilgan. Agar belgilangan muddat bajarilmasa, zararli dastur zararli dastur operatorlari tomonidan taqdim etiladigan onlayn xizmat orqali ma'lumotlarning parolini hal qilishni, bitkoinning narxini ancha yuqori bo'lishini taklif qildi. To'lov shifrlangan tarkibni chiqarishiga kafolat yo'q edi.

CryptoLocker-ning o'zi osongina olib tashlangan bo'lsa-da, ta'sirlangan fayllar tadqiqotchilar tomonidan buzib bo'lmaydigan deb hisoblagan tarzda shifrlangan bo'lib qoldi. Ko'pchilik bu to'lov to'lanmasligi kerak, ammo fayllarni tiklashning biron bir usulini taklif qilmagan; boshqalari to'lovni to'lash - bu bo'lmagan fayllarni tiklashning yagona usuli deb aytishdi zaxiralangan. Ba'zi qurbonlar to'lovni to'lash har doim ham fayllarning parolini ochilishiga olib kelmasligini ta'kidladilar.

CryptoLocker 2014 yil may oyi oxirida izolyatsiya qilingan "Tovar" operatsiyasi, pastga tushgan ZeuS-ga o'tish botnet zararli dasturni tarqatish uchun ishlatilgan. Amaliyot davomida ushbu jarayonga jalb qilingan xavfsizlik firmasi CryptoLocker tomonidan ishlatiladigan shaxsiy kalitlar ma'lumotlar bazasini oldi, bu esa o'z navbatida to'lovlarni to'lamasdan kalitlarni va fayllarni tiklash uchun onlayn vosita yaratish uchun ishlatilgan. CryptoLocker operatorlari troyan qurbonlaridan jami 3 million dollar miqdorida pul undirishgan deb ishonishadi. Shifrlashga asoslangan ransomware-ning keyingi misollari "CryptoLocker" nomidan foydalangan (yoki farqlar), ammo boshqacha bog'liq emas.

Ishlash

CryptoLocker odatda an sifatida tarqaladi ilova aftidan zararsizga elektron pochta qonuniy kompaniya tomonidan yuborilgan ko'rinadi.[4] A ZIP fayl elektron pochta xabariga biriktirilgan fayl nomi va belgisi sifatida yashiringan bajariladigan fayl mavjud PDF faylini yashirish uchun Windows-ning odatiy xatti-harakatlaridan foydalanib kengaytma haqiqiy .EXE kengaytmasini yashirish uchun fayl nomlaridan. CryptoLocker ham yordamida tarqatildi ZeuS-ga o'tish troyan va botnet.[5][6][7]

Birinchi marta ishga tushirilganda foydali yuk ichida o'zini o'rnatadi foydalanuvchi profili papkasini ochadi va ga kalit qo'shadi ro'yxatga olish kitobi bu uni ishga tushirishda ishlaydi. Keyin bir nechta belgilangan buyruq va boshqaruv serverlaridan biriga murojaat qilishga urinadi; ulangandan so'ng, server a hosil qiladi 2048-bit RSA tugmachasini bosing va yuboradi ochiq kalit virusli kompyuterga qaytish.[1][6] Server mahalliy bo'lishi mumkin ishonchli vakil va boshqalarni kuzatib borish, ularni izlashni qiyinlashtirish uchun tez-tez turli mamlakatlarga ko'chib ketish.[8][9]

Keyinchalik foydali yuk fayllarni mahalliy qattiq disklarda shifrlaydi va xaritadagi tarmoq drayverlari ochiq kalit bilan va har bir faylni ro'yxatga olish kitobi kalitiga shifrlangan holda qayd qiladi. Jarayon faqat ma'lumotlar fayllarini aniqlari bilan shifrlaydi kengaytmalar, shu jumladan Microsoft Office, OpenDocument, va boshqa hujjatlar, rasmlar va AutoCAD fayllar.[7] Yuk ko'tarish foydalanuvchiga fayllar shifrlanganligi to'g'risida xabar beradi va 400 to'lovni talab qiladi USD yoki Evro anonim oldindan to'lanadigan naqd vaucher orqali (ya'ni. MoneyPak yoki Ukash ) yoki unga teng keladigan miqdor bitkoin (BTC) 72 yoki 100 soat ichida (2 BTCdan boshlab, to'lov narxi operatorlarning bitkoinning o'zgaruvchan qiymatini aks ettirish uchun 0,3 BTCgacha o'rnatildi),[10] aks holda serverdagi shaxsiy kalit yo'q qilinadi va "hech kim va hech qachon [sic ] fayllarni tiklash imkoniyatiga ega bo'ladi. "[1][6] To'lovni to'lash foydalanuvchiga shaxsiy kalit bilan oldindan yuklangan parolni ochish dasturini yuklab olish imkoniyatini beradi.[6] Ba'zi yuqtirgan jabrdiydalar tajovuzkorlarga pul to'lashganini, ammo ularning fayllari shifrlanmaganligini ta'kidlamoqda.[4]

2013 yil noyabr oyida CryptoLocker operatorlari foydalanuvchilarga o'zlarining fayllarini parollarini CryptoLocker dasturisiz parolini ochishlariga va muddat tugagandan so'ng parolini ochish kalitini sotib olishga ruxsat berishlarini da'vo qiladigan onlayn xizmatni ishga tushirishdi; jarayon shifrlangan faylni namuna sifatida saytga yuklash va xizmatning mosligini topishini kutish bilan bog'liq; sayt o'yin 24 soat ichida topilishini da'vo qildi. Topilgandan so'ng, foydalanuvchi kalit uchun Internet orqali to'lashi mumkin edi; agar 72 soatlik muddat o'tgan bo'lsa, narx 10 bitkoinga ko'tarildi.[11][12]

Fayllarni olib tashlash va tiklash

2014 yil 2-iyun kuni Amerika Qo'shma Shtatlari Adliya vazirligi o'tgan hafta oxirida rasmiy ravishda e'lon qildi, "Tovar" operatsiyasi - huquqni muhofaza qilish idoralari guruhini tashkil etuvchi konsortsium (shu jumladan Federal qidiruv byurosi va Interpol ), xavfsizlik dasturiy ta'minotlari sotuvchilari va bir nechta universitetlar buzilgan edi ZeuS-ga o'tish botnet CryptoLocker va boshqa zararli dasturlarni tarqatish uchun ishlatilgan. Adliya vazirligi, shuningdek, ommaviy ravishda an ayblov xulosasi botnetga aloqadorligi uchun rossiyalik xaker Evgeniy Bogachevga qarshi.[5][13][14][15]

Amaliyot doirasida Gollandiyaning Fox-IT xavfsizlik firmasi CryptoLocker tomonidan ishlatiladigan shaxsiy kalitlar ma'lumotlar bazasini sotib olishga muvaffaq bo'ldi; 2014 yil avgust oyida Fox-IT va uning boshqa FireEye firmasi virusli foydalanuvchilarga namunaviy faylni yuklash orqali shaxsiy kalitini olish va keyin parolini hal qilish vositasini olish imkoniyatini beruvchi onlayn xizmatni taqdim etdi.[16][17]

Yumshatish

Xavfsizlik dasturi bunday tahdidlarni aniqlash uchun ishlab chiqilgan bo'lsa-da, u CryptoLocker-ni umuman aniqlay olmasligi mumkin yoki faqat shifrlash jarayoni tugagandan so'ng yoki, ayniqsa, himoya dasturiga noma'lum bo'lgan yangi versiyasi tarqatilgan bo'lsa.[18] Agar hujum gumon qilinsa yoki uning dastlabki bosqichida aniqlansa, shifrlash uchun biroz vaqt ketadi; tugatilishidan oldin zararli dasturni darhol olib tashlash (nisbatan sodda jarayon), uning ma'lumotlarga bo'lgan zararini cheklaydi.[19][20] Mutaxassislar CryptoLocker yukini ishga tushirishiga to'sqinlik qilish uchun dasturiy ta'minot yoki boshqa xavfsizlik siyosatidan foydalanish kabi ehtiyot choralarini taklif qilishdi.[1][6][7][9][20]

CryptoLocker-ning ishlash xususiyati tufayli, ba'zi mutaxassislar istamaslik bilan to'lovni to'lash hozirgi zaxira nusxalari bo'lmagan taqdirda CryptoLocker-dan fayllarni tiklashning yagona usuli (oflayn infektsiyadan oldin qilingan zaxira nusxalarini yuqtirgan kompyuterlardan olish mumkin emas, CryptoLocker tomonidan hujum qilinmaydi).[4] CryptoLocker-da ishlaydigan kalitning uzunligi tufayli mutaxassislar uni ishlatishni deyarli imkonsiz deb hisoblashdi qo'pol hujum to'lovlarni to'lamasdan fayllarni parolini hal qilish uchun zarur bo'lgan kalitni olish; shunga o'xshash 2008 yildagi Gpcode.AK troyanida 1024-bitli kalit ishlatilgan bo'lib, u juda katta deb hisoblanib, kelishilgan holda sindirib bo'lmaydi. tarqatildi sa'y-harakatlar yoki shifrlashni buzish uchun ishlatilishi mumkin bo'lgan kamchilikni aniqlash.[6][12][21][22] Sofos xavfsizlik bo'yicha tahlilchi Pol Ducklin CryptoLocker-ning onlayn parolini hal qilish xizmati a lug'at hujumi kalitlarning ma'lumotlar bazasidan foydalangan holda o'z shifrlashiga qarshi, natijani olish uchun 24 soatgacha kutish kerakligini tushuntiradi.[12]

To'langan pul

2013 yil dekabr oyida, ZDNet CryptoLocker tomonidan yuqtirgan foydalanuvchilar tomonidan joylashtirilgan to'rtta bitcoin-manzillarni kuzatib, operatorlarning ma'lumotlarini aniqlash uchun. To'rtta manzilda 15 oktyabrdan 18 dekabrgacha 41,928 BTC harakati ko'rsatilgan edi, o'sha paytda taxminan 27 million AQSh dollari.[10]

Tadqiqotchilari tomonidan o'tkazilgan so'rovda Kent universiteti, Jabrlanuvchi deb da'vo qilganlarning 41 foizi to'lovni to'lashga qaror qilganliklarini aytishdi, bu ulush kutilganidan ancha katta; Symantec jabrlanuvchilarning 3 foizi pul to'lagan, Dell SecureWorks esa jabrlanganlarning 0,4 foizi to'lagan deb taxmin qilishgan.[23] CryptoLocker-ni tarqatishda ishlatilgan botnet o'chirilgandan so'ng, yuqtirganlarning taxminan 1,3% to'lovni to'laganligi aniqlandi; ko'pchilik zaxira nusxasini olgan fayllarni qayta tiklashga muvaffaq bo'lishgan, boshqalari esa juda katta hajmdagi ma'lumotlarni yo'qotgan deb hisoblashadi. Shunga qaramay, operatorlar jami $ 3 million atrofida tovlamachilik qilgan deb ishonishgan.[17]

Klonlar

CryptoLocker-ning muvaffaqiyati bir qator sabab bo'ldi aloqasi yo'q va shunga o'xshash nomlangan asosan xuddi shu tarzda ishlaydigan to'lov dasturlari troyanlari,[24][25][26][27] o'zlarini "CryptoLocker" deb ataydiganlar, shu jumladan xavfsizlik tadqiqotchilarining fikriga ko'ra asl CryptoLocker bilan aloqasi yo'q.[28][29][27]

2014 yil sentyabr oyida CryptoWall va TorrentLocker (kimning foydali yuki o'zini "CryptoLocker" deb belgilaydi, lekin a dan foydalanganligi uchun nomlanadi ro'yxatga olish kitobi kaliti nomlangan "Bit torrent Ilova "),[30] Avstraliyada tarqalishni boshladi; to'lov dasturida davlat idoralari tomonidan yuborilgan (masalan, masalan) yuqtirilgan elektron pochta xabarlari ishlatiladi. Avstraliya Post muvaffaqiyatsiz posilkani etkazib berishni ko'rsatish) foydali yuk sifatida. Havolalarni kuzatib boradigan avtomatik elektron pochta brauzerlari yordamida aniqlashdan qochish uchun ushbu variant foydalanuvchilarga veb-sahifaga kirishni va CAPTCHA foydali yuk aslida yuklab olinmasdan oldin kod. Symantec "CryptoLocker.F" deb aniqlagan ushbu yangi variantlar asl nusxaga bog'lanmaganligini aniqladi.[28][24][31][32]

Shuningdek qarang

Adabiyotlar

  1. ^ a b v d "Siz yuqtirgansiz - agar siz yana ma'lumotlaringizni ko'rishni istasangiz, bizga Bitcoins-da 300 dollar to'lang". Ars Technica. 2013 yil 17 oktyabr. Olingan 23 oktyabr 2013.
  2. ^ Kelion, Leo (2013 yil 24-dekabr). "Cryptolocker ransomware dasturi" 250 mingga yaqin shaxsiy kompyuterni yuqtirgan'". BBC. Olingan 24 dekabr 2013.
  3. ^ "CryptoLocker". Olingan 14 sentyabr 2017.
  4. ^ a b v "Cryptolocker yuqumli kasalliklar ko'paymoqda; US-CERT muammolari to'g'risida ogohlantirish". SecurityWeek. 2013 yil 19-noyabr. Olingan 18 yanvar 2014.
  5. ^ a b Brayan Krebs (2014 yil 2-iyun). "'Tovar operatsiyasi 'maqsadlar uchun o'yinni' ZeuS botnet, CryptoLocker Scourge ". Xavfsizlik bo'yicha Krebs.
  6. ^ a b v d e f Abrams, Lourens. "CryptoLocker Ransomware haqida ma'lumot qo'llanma va tez-tez so'raladigan savollar". Uyqudagi kompyuter. Olingan 25 oktyabr 2013.
  7. ^ a b v "Cryptolocker: yuqtirishdan qanday saqlanish kerak va agar siz bo'lsa nima qilish kerak". Computerworld. 2013 yil 25 oktyabr. Olingan 25 oktyabr 2013.
  8. ^ "CryptoLocker" zararli dasturiy ta'minoti bo'shashgan - bu erda nima qilish kerak ". Yalang'och xavfsizlik. Sofos. 2013 yil 12 oktyabr. Olingan 23 oktyabr 2013.
  9. ^ a b Fergyuson, Donna (2013 yil 19 oktyabr). "Sizning kompyuteringizni to'lov uchun ushlab turadigan CryptoLocker hujumlari". Guardian. Olingan 23 oktyabr 2013.
  10. ^ a b Binafsha moviy (2013 yil 22-dekabr). "CryptoLocker's crimewave: millionlab yuvilgan Bitcoin izi". ZDNet. Olingan 23 dekabr 2013.
  11. ^ "CryptoLocker firibgarlari ikkinchi marta parolni ochish xizmati uchun 10 Bitcoinsni oladilar". NetworkWorld. 2013 yil 4-noyabr. Olingan 5 noyabr 2013.
  12. ^ a b v "CryptoLocker yaratuvchilari jabrlanuvchilardan yangi xizmat bilan yanada ko'proq pul undirishga harakat qilishadi". Kompyuter dunyosi. 2013 yil 4-noyabr. Olingan 5 noyabr 2013.
  13. ^ "Wham bam: Global Operation Tovar CryptoLocker ransomware & GameOver Zeus botnet-ni tarqatdi". Computerworld. IDG. Arxivlandi asl nusxasi 2014 yil 3-iyulda. Olingan 18 avgust 2014.
  14. ^ "AQSh" Gameover Zeus "botnetiga va" Cryptolocker "to'lov dasturiga qarshi ko'p millatli harakatlarni olib boradi, botnet ma'murini zaryad qiladi". Justice.gov. AQSh Adliya vazirligi. Olingan 18 avgust 2014.
  15. ^ Graff, Garrett M. (2017 yil 21 mart). "Rossiyaning eng shov-shuvli xakerining ovi ichida". Simli. ISSN  1059-1028. Olingan 18 yanvar 2020.
  16. ^ Krebs, Brayan. "Yangi sayt Cryptolocker Ransomware tomonidan bloklangan fayllarni tiklaydi". Xavfsizlik bo'yicha Krebs. Olingan 18 avgust 2014.
  17. ^ a b "Cryptolocker qurbonlari fayllarni bepul qaytarib olishlari uchun". BBC yangiliklari. 2014 yil 6-avgust. Olingan 18 avgust 2014.
  18. ^ Yuma Sun, CryptoLocker hujumida: "... Yuma Sun tomonidan ishlatilgan antivirus dasturi tomonidan aniqlanmadi, chunki u nol kunlik zararli dastur edi"
  19. ^ Kannell, Joshua (2013 yil 8 oktyabr). "Cryptolocker Ransomware: Siz bilishingiz kerak bo'lgan narsa, oxirgi marta yangilangan 06.02.2014". Zararli dasturlar paketidan chiqarilgan. Olingan 19 oktyabr 2013.
  20. ^ a b Leyden, Josh. "Fiendish CryptoLocker to'lov dasturi: nima qilsangiz ham, TO'LAMAYING". Ro'yxatdan o'tish. Olingan 18 oktyabr 2013.
  21. ^ Nareyn, Rayan (2008 yil 6-iyun). "Shantaj to'lov dasturi 1024-bitli shifrlash kaliti bilan qaytadi". ZDnet. Olingan 25 oktyabr 2013.
  22. ^ Lemos, Robert (2008 yil 13-iyun). "Ransomware kripto-valyutani buzish harakatlariga qarshilik ko'rsatmoqda". SecurityFocus. Olingan 25 oktyabr 2013.
  23. ^ "Kanterberidagi Kent universiteti kiberxavfsizlik bo'yicha fanlararo tadqiqot markazi tomonidan o'tkazilgan onlayn so'rov natijalari" (PDF). kent.ac.uk. Kanterberidagi Kent universiteti. Arxivlandi asl nusxasi (PDF) 2014 yil 8 martda. Olingan 25 mart 2014.
  24. ^ a b "Cryptolocker tomonidan maqsad qilingan Avstraliya: Symantec". ARNnet. 3 oktyabr 2014 yil. Olingan 15 oktyabr 2014.
  25. ^ "CryptoDefense to'lov dasturi parolni ochish kalitini ochib beradi". Computerworld. IDG. 2014 yil aprel. Olingan 7 aprel 2014.
  26. ^ Tomson, Ayin (2014 yil 3-aprel). "Sizning fayllaringiz CryptoDefense tomonidan garovga olinganmi? To'lamang! Shifrni ochish kaliti sizning qattiq diskingizda". Ro'yxatdan o'tish. Olingan 6 aprel 2014.
  27. ^ a b "Yangi CryptoLocker olinadigan disklar orqali tarqaladi". Trend Micro. 26 dekabr 2013 yil. Olingan 18 yanvar 2014.
  28. ^ a b "Avstraliyaliklar kriptomal dasturiy ta'minotning global oqimidan tobora ko'proq zarar ko'rmoqdalar". Symantec. Olingan 15 oktyabr 2014.
  29. ^ "Cryptolocker 2.0 - yangi versiya yoki nusxa ko'chirishmi?". WeLiveSecurity. ESET. 2013 yil 19-dekabr. Olingan 18 yanvar 2014.
  30. ^ "TorrentLocker endi Buyuk Britaniyani Royal Mail fishing orqali nishonga oladi". ESET. 2014 yil 4 sentyabr. Olingan 22 oktyabr 2014.
  31. ^ "Firibgarlar elektron pochta orqali hujumlarni maskalash uchun Australia Post-dan foydalanadilar". Sidney Morning Herald. 15 oktyabr 2014 yil. Olingan 15 oktyabr 2014.
  32. ^ "Ransomware hujumi telekanalni havodan uzib qo'ydi". Fuqarolik jamiyati. 7 oktyabr 2014 yil. Olingan 15 oktyabr 2014.