резюме
Новият зловреден софтуер, който се появи през 2013 г. под имената на CryptoWall, CryptoLocker и CryptoFortress; Те използват криптиране, за да „отвлекат“ цифрово досиетата на жертвата си, като искат парично възнаграждение, жертвите обикновено са само компании, от които лесно изпълняват задачата си, но сега те не се ограничават само до „отвличащи“ компании, те имат данни, че сега жертвите му са вече общи потребители. В този контекст ще бъдат разкрити техният начин на работа, как да ги идентифицираме, най-често срещаните им жертви и как да се защитим от този нов зловреден софтуер. Целият този процес се извършваше във виртуална среда, не е повреден нито един физически компютър.
Въведение
С напредването на годините новите технологии стават все по-изненадващи. Не е изненадващо, че заплахите също бяха изненадващи. Новите технологии също изискват начините за защита да бъдат още по-добри и по-иновативни. Нашата цел е да анализираме и разберем по-добре работата на този тип злонамерен софтуер и как да се защитим, за да избегнем по-нататъшни щети.
методи
Използваните методологии бяха: виртуални системи, за да се избегне повреда на хардуера. Зловредният софтуер е тестван на операционна система Windows 7 Ultimate, създадена с помощта на виртуално устройство с помощта на програмата Oracle VirtualBox (фиг. 1)
VirtualBox със създаден Windows 7.
Фигура 1. VirtualBox със създаден Windows 7.
Резултати
С проведените тестове достигаме до резултата, че стъпките, извършени от злонамерения софтуер за заразяване, са следните:
- Намерете първо неизпълнимите файлове. Тоест, той локализира текстови файлове, снимки, документи и т.н. Това са файловете, които ще бъдат кодирани. Създава се произволен симетричен ключ за всеки файл. Файловете са кодирани с тези случайни симетрични ключове. Случайният симетричен ключ на всеки файл е шифрован с симетричен алгоритъм на RSA. Този ключ се добавя към файла за криптиране. Всеки криптиран файл презаписва оригинала, предотвратявайки възстановяването му с криминалистични техники (фиг. 2)
След етапа на заразяване и криптиране, притежателите на единствения ключ за достъп до файловете изглежда са престъпниците, които искат парично възнаграждение в случаен период от време за всяка жертва (фиг. 3)
След като файловете са криптирани, престъпниците ни позволяват да декриптираме един файл, за да се убедим, че са сериозни.
Плащането на "откуп" за файловете се извършва чрез използването на BitCoin, генериран от различен URL адрес за всеки засегнат, ако засегнатите не знаят използването на тази валута и как да плащат, престъпниците имат раздел от често задавани въпроси (въпроси Често задавани въпроси) и друга дидактична страница, където те обясняват целия процес на закупуване и плащане с BitCoin´s.
Препоръчва се да не се извършват плащания на престъпници и да се прибягва до безплатен софтуер, който може да бъде намерен в края на този контекст, но това не гарантира възстановяването на файловете в тяхната цялост. Ако решите да платите откупа на файловете, трябва да го направите, като направите искане до Централната банка на Боливия, тъй като на 6 май 2014 г. Централната банка на Боливия забрани използването на монети, които не са емитирани или регулирани от държавите. и по този начин забранява използването на BitCoin.
Предупреждение за злонамерен софтуер, показващ крайния резултат от криптирането.
Фигура 2. Предупреждение за злонамерен софтуер, показващ крайния резултат от криптирането.
Известие за покупка за декриптиране за възстановяване на файлове
Фигура 3. Известие за закупуване на дешифриране за възстановяване на файлове
Ако в случай че успеете да извършите исканото плащане от престъпниците, престъпниците ще ви дадат URL адрес, от който можете да изтеглите програмата за премахване на криптирането от „отвлечените“ файлове, този софтуер може да съдържа друг зловреден софтуер, който например може да активира зловредния софтуер оригинал след определено време или просто програмата не премахва криптирането от файловете, станаха известни случаи, при които неизвестна компания е станала жертва на злонамерен софтуер многократно и не правеше предишно архивиране, трябваше да извърши плащането изцяло времената, в които са били жертви; Използването на външни архиви към компютъра се препоръчва.
Какво да направите, ако сте жертва на гореспоменатия зловреден софтуер
Първата стъпка е да се отървете от всички следи от злонамерения софтуер, като използвате софтуер, посветен на този тип работа. В нашия случай избрахме да използваме Kaspersky Recue Disk, който премахва всички следи от вируса, без да се налага да минава през Windows. (Фиг. 4)
Софтуер, предназначен за премахване на злонамерен софтуер, Kaspersky Rescue Disk
Фигура 4. Софтуер, посветен на премахването на злонамерен софтуер, Kaspersky Rescue Disk
Как да се предпазите от злонамерен софтуер
Начинът да се избегне разпространението на този зловреден софтуер в първия ред е самият потребител, като не отваря неизвестни връзки или прикачени файлове, като актуализираният антивирус не гарантира защитата на зловредния софтуер, можем да прибегнем и до софтуера CryptoPrevent (Фиг. 5), който премахва разрешения, експлоатирани от зловреден софтуер.
Криптовалута в състояние на корекция.
Фигура 5. Криптопревент в състояние на корекция.
Заключения
Екипът на изследователите и тестовете стигна до заключението, че злонамереният софтуер, открит за първи път през 2013 г., наруши границите на предшестващия зловреден софтуер, тъй като преди този тип злонамерен софтуер останалите бяха посветени само на покварени файлове и дестабилизация на операционната система, този зловреден софтуер отнесе престъпността с една крачка напред, тъй като анонимно цели да генерира паричен доход чрез отвличане на файлове.
Прогнозите
След като са извършени всички изследвания и полеви тестове, ние искаме да предложим внедряването на софтуера за защита, наречен Cryptoprevent и че правителствата имат предвид регуларизацията на валутата, наречена BitCoin, с цел да преследват киберпрестъпниците.
Позовавания и библиография
- http://articulos.softonic.com/cryptolocker-cryptowall-cryptofortress-eliminar-desencriptarhttp://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html
