CryptoLocker

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 16. februar 2021; checks kræver 3 redigeringer .
CryptoLocker
Type Trojan , ransomware
År for optræden 5. september 2013
Symantec beskrivelse

CryptoLocker ransomware- angrebet var et cyberangreb med CryptoLocker ransomware , der fandt sted mellem 5. september 2013 og slutningen af ​​maj 2014. Angrebet brugte en trojaner , der inficerede computere, der kører Microsoft Windows -operativsystemet [1] , og menes først at være blevet lagt på internettet den 5. september 2013 [2] . Trojanen spredte sig gennem inficerede e-mail-vedhæftede filer, inficerede websteder og gennem et botnet , der eksisterede på brugerens computer . Når den inficerer en computer, krypterer malwaren visse typer filer, der er gemt på lokale og tilknyttede netværksdrev ved hjælp af det offentlige RSA - kryptosystem , hvor den private nøgle kun er gemt på malwarekontrolserverne. Malwaren viser derefter en besked, der tilbyder at dekryptere dataene, hvis en betaling (via Bitcoin eller en forudbetalt kontantkupon) foretages inden for den angivne tidsfrist, og brugeren trues med sletning af den private nøgle, hvis tidsfristen udløber. Hvis denne deadline ikke overholdes, tilbyder malwaren at dekryptere dataene gennem en online-tjeneste leveret af malware-operatørerne til en væsentlig højere pris i bitcoins, uden garanti for, at betalingen vil føre til dekryptering af indholdet.

Mens CryptoLocker selv nemt kan fjernes, forblev de berørte filer krypteret på en måde, som forskerne anså for umulig at dekryptere. Mange mener, at løsesummen ikke skal betales, men det giver ingen mulighed for at gendanne filerne; andre hævder, at betale en løsesum er den eneste måde at gendanne filer, der ikke blev gemt gennem en sikkerhedskopi . Nogle ofre har hævdet, at betaling af løsesum ikke altid fører til dekryptering af filerne.

CryptoLocker blev isoleret i slutningen af ​​maj 2014 som et resultat af Operation Tovar , og samtidig blev Gameover ZeuS- botnettet også fanget , som blev brugt til at distribuere malware. Under operationen fik et sikkerhedsfirma, der var involveret i processen, en database med hemmelige nøgler brugt af CryptoLocker, som igen blev brugt til at skabe et onlineværktøj til at gendanne nøgler og filer uden at betale løsesum. CryptoLocker-operatører menes med succes at have opnået i alt omkring 3 millioner dollars fra trojanske ofre. Andre forekomster af følgende ransomware har brugt CryptoLocker-navnet (eller varianter), men er ellers ikke relaterede.

Arbejde

CryptoLocker distribueres normalt som en vedhæftet fil til en angiveligt ufarlig e-mail, der ser ud til at være fra et legitimt firma [3] . Mail-filen, der er vedhæftet e-mail-meddelelsen, indeholder en eksekverbar fil med filnavnet og ikonet forklædt som en PDF -fil : drager således fordel af standardadfærden i Windows til at skjule filtypenavnet for filnavne for at skjule den rigtige filtypenavn - .EXE. CryptoLocker blev også distribueret ved hjælp af Gameover ZeuS trojan og botnet [4] [5] [6] .

Ved første kørsel installeres trojanerens nyttelast i brugerens profilmappe og tilføjer en nøgle til registreringsdatabasen, der får den til at køre, når computeren starter. Den forsøger derefter at kontakte en af ​​flere tildelte kommando- og kontrolservere; efter tilslutning genererer serveren et par 2048 bit RSA nøgler og sender den offentlige nøgle til den inficerede computer [1] [5] . Servere kan være lokale proxyer og passere gennem andre servere, som ofte bevæger sig rundt i forskellige lande for at gøre dem svære at spore [7] [8] .

Nyttelasten krypterer derefter filer på lokale harddiske og tilknyttede netværksdrev med en offentlig nøgle og registrerer hver fil ved at kryptere dem til en registreringsnøgle. Processen krypterer kun datafiler med visse udvidelser, inklusive Microsoft Office , OpenDocument og andre dokumenter, billeder og AutoCAD - filer [6] . Nyttelasten viser en meddelelse, der informerer brugeren om, at filerne er blevet krypteret og kræver betaling på $400 eller EUR via en anonym forudbetalt kontantkupon (såsom MoneyPak eller Ukash ) eller Bitcoin (BTC) svarende til 72 eller 100 timer (startende ved 2 BTC, løsesummen er blevet justeret af operatørerne til 0,3 BTC for at afspejle bitcoins svingende værdi) [9] , ellers vil den private nøgle på serveren blive ødelagt, og "ingen vil nogensinde være i stand til at gendanne filerne " [1] [5] . Betalingen af ​​løsesummen giver brugeren mulighed for at downloade dekrypteringsprogrammet, som er forudindlæst med brugerens private nøgle [5] . Nogle inficerede ofre hævder, at de betalte angriberne, men deres filer blev ikke dekrypteret [3] .

I november 2013 lancerede CryptoLocker-operatører en onlinetjeneste, der giver brugerne mulighed for at dekryptere deres filer uden CryptoLocker-programmet og købe en dekrypteringsnøgle efter deadline; processen involverede at uploade en krypteret fil til webstedet som en prøve og vente på, at tjenesten fandt et match; webstedet hævdede, at nøglen ville blive fundet inden for 24 timer. Når den er opdaget, kan brugeren betale for nøglen online, men hvis deadline på 72 timer er overskredet, øges prisen til 10 bitcoins [10] [11] .

Sletning og gendannelse af filer

Den 2. juni 2014 annoncerede det amerikanske justitsministerium officielt, at Operation Tovar i løbet af den foregående weekend, et konsortium, der omfatter: en gruppe retshåndhævende myndigheder (inklusive FBI og Interpol ), leverandører af sikkerhedssoftware og flere universiteter — blev fanget af Gameover ZeuS botnet , som blev brugt til at distribuere CryptoLocker og anden malware. Justitsministeriet anklagede også den russiske hacker Yevgeny Bogachev offentligt for hans påståede involvering i botnettet [4] [12] [13] .

Som en del af denne operation var det hollandske firma Fox-IT i stand til at få fat i en database med hemmelige nøgler brugt af CryptoLocker. I august 2014 introducerede Fox-IT og et andet firma, FireEye , en onlinetjeneste, der giver brugere med inficerede computere mulighed for at udtrække deres private nøgle ved at downloade en prøvefil og derefter modtage et dekrypteringsværktøj [14] [15] .

Afbødning

Selvom sikkerhedssoftwaren er designet til at detektere sådanne trusler, kan den muligvis slet ikke finde CryptoLocker under kryptering eller efter at kryptering er fuldført, især hvis en ny version distribueres, som er ukendt for sikkerhedssoftwaren. Hvis et angreb mistænkes eller opdages i de tidlige stadier, har trojaneren brug for mere tid til at kryptere: fjernelse af malware med det samme (en relativt simpel proces), før den er færdig, vil kun begrænse dens datakorruption [16] [17] . Eksperter har foreslået forholdsregler såsom brug af software eller andre sikkerhedspolitikker til at blokere CryptoLocker-nyttelasten [1] [5] [6] [8] [17] .

På grund af karakteren af, hvordan CryptoLocker fungerer, har nogle eksperter modvilligt foreslået, at betaling af løsesum er den eneste måde at gendanne filer fra CryptoLocker på i mangel af aktuelle sikkerhedskopier (offline sikkerhedskopier lavet før infektionen opstod, utilgængelige fra inficerede computere, kan ikke angribes af CryptoLocker) [3] , på grund af længden af ​​nøglen, der blev brugt af CryptoLocker, anså eksperter det for næsten umuligt at brute force for at få den nødvendige nøgle til at dekryptere filer uden at betale en løsesum; en lignende trojansk Gpcode.AK fra 2008 brugte en 1024-bit nøgle, som blev anset for at være lang nok til, at det var umuligt at beregne dens nøgle, uden muligheden for en samordnet og distribueret indsats, eller til at opdage et hul, der kunne bruges til at dekryptere [5 ] [11] [ 18] [19] . Sophos sikkerhedsanalytiker Paul Ducklin spekulerede  i, at CryptoLockers online dekrypteringstjeneste inkluderede et ordbogsangreb mod sin egen kryptering ved hjælp af sin nøgledatabase, hvilket forklarer kravet om at vente op til 24 timer for at få et resultat [11] .

Løsepenge betalt

I december 2013 sporede ZDNet fire bitcoin-adresser hos brugere, hvis computere var inficeret med CryptoLocker i et forsøg på at estimere operatørernes omkostninger. Disse fire adresser viste en tendens på 41.928 BTC fra 15. oktober til 18. december: omkring $27 millioner det tidspunkt [9] .

I meningsmålinger fra forskere fra University of Kent sagde 41 % af dem, der hævdede at have været ofre, at de valgte at betale løsesummen: Andelen af ​​dem, der betalte løsesummen, var meget højere end forventet. Symantec anslår , at 3 % af ofrene har betalt, og Dell SecureWorks anslår, at cirka 0,4 % af ofrene har betalt [20] . Efter nedlukningen af ​​botnet, der blev brugt til at distribuere CryptoLocker, blev det anslået, at omkring 1,3 % af de inficerede betalte løsesummen; mange af dem har været i stand til at gendanne filer gennem backup, mens andre menes at have mistet enorme mængder data. Det menes dog, at operatørerne af trojaneren formåede at få i alt omkring 3 millioner dollars [15] .

Kloner

Succesen med CryptoLocker har affødt en række ikke-relaterede og lignende navngivne ransomware-trojanske heste (Ransomware), der fungerer på stort set samme måde [21] [22] [23] [24] , herunder nogle, der refererer til sig selv som "CryptoLocker", men ifølge for forskere er sikkerhed ikke relateret til den originale CryptoLocker [21] [25] [26] .

I september 2014 begyndte kloner såsom CryptoWall og TorrentLocker (hvis nyttelast identificerer sig selv som "CryptoLocker", men er navngivet til at bruge en registreringsnøgle ved navn "BitTorrent Application") [27] at sprede sig i Australien. Ransomwaren bruger inficerede e-mails, der angiveligt er sendt af offentlige myndigheder (for eksempel Australia Post for at angive mislykket pakkelevering) som en nyttelast. For at undgå registrering af automatiserede e-mail-scannere, der kan følge links, blev denne mulighed designet til at kræve, at brugere besøger en webside og indtaster en CAPTCHA-kode før den faktiske download. Symantec fastslog, at disse nye varianter, som det identificerede som "CryptoLocker.F", ikke var relateret til originalen [24] [26] [28] [29] .

Noter

  1. 1 2 3 4 Dan Goodin. Du er inficeret - hvis du vil se dine data igen, så betal os $300 i Bitcoins .  Ransomware bliver myndig med ubrydelige, anonyme kryptobetalinger . Ars Technica (18. oktober 2013) . Hentet 1. juni 2017. Arkiveret fra originalen 23. oktober 2013.
  2. Leo Kelion. Cryptolocker ransomware har 'inficeret omkring 250.000 pc'er  ' . BBC (24. december 2013). Hentet 1. juni 2017. Arkiveret fra originalen 22. marts 2019.
  3. 1 2 3 Ryan Naraine. Cryptolocker-infektioner på vej op; US-CERT-problemer  Advarsel . Security Week (19. november 2013). Hentet 1. juni 2017. Arkiveret fra originalen 10. juni 2016.
  4. 1 2 Brian Krebs. 'Operation Goods' er rettet mod 'Gameover' ZeuS Botnet, CryptoLocker  Scourge . Krebs om sikkerhed (2. juni 2014). Hentet 1. juni 2017. Arkiveret fra originalen 4. juni 2014.
  5. 1 2 3 4 5 6 Lawrence Abrams. CryptoLocker Ransomware Information Guide og  FAQ . Blødende computer (14. oktober 2013). Hentet 1. juni 2017. Arkiveret fra originalen 31. maj 2017.
  6. 1 2 3 Jonathan Hassell. Cryptolocker : Sådan undgår du at blive inficeret, og hvad du skal gøre, hvis du er  . Computerworld (25. oktober 2013). Hentet 1. juni 2017. Arkiveret fra originalen 11. juni 2017.
  7. Paul Ducklin. Destruktiv malware "CryptoLocker" på fri fod – her er hvad du skal gøre  (engelsk) . Nøgen Sikkerhed (12. oktober 2013). Hentet 1. juni 2017. Arkiveret fra originalen 22. oktober 2013.
  8. 1 2 Donna Ferguson. CryptoLocker-angreb, der holder din computer til  løsesum . The Guardian (19. oktober 2013). Hentet 1. juni 2017. Arkiveret fra originalen 5. marts 2017.
  9. 12 Violet blå. CryptoLocker's crimewave: Et spor af millioner i hvidvaskede Bitcoin  (engelsk) . ZDNet (22. december 2013). Hentet 1. juni 2017. Arkiveret fra originalen 17. maj 2017.
  10. Fru. Smith. CryptoLocker-skurke opkræver 10 Bitcoins for anden-chance-dekrypteringstjeneste  . Network World (4. november 2013). Hentet 1. juni 2017. Arkiveret fra originalen 15. april 2017.
  11. 1 2 3 Lucian Constantin. CryptoLocker-skabere forsøger at afpresse endnu flere penge fra ofre med ny  service . PC World (4. november 2013). Hentet 1. juni 2017. Arkiveret fra originalen 30. april 2017.
  12. Darlene Storm. Wham bam : Global Operation Tovar slår CryptoLocker ransomware og GameOver Zeus botnet  . Computerworld (2. juni 2014). Hentet 1. juni 2017. Arkiveret fra originalen 18. maj 2017.
  13. USA fører multinational handling mod "Gameover Zeus" Botnet og "Cryptolocker" Ransomware, opkræver Botnet-  administrator . US Department of Justice (2. juni 2014). Hentet 1. juni 2017. Arkiveret fra originalen 1. juni 2017.
  14. Brian Krebs. Nyt websted gendanner filer låst af Cryptolocker Ransomware  . Krebs om sikkerhed (6. august 2014). Hentet 1. juni 2017. Arkiveret fra originalen 7. juni 2017.
  15. 12 Mark Ward . Cryptolocker-ofre for at få filer tilbage gratis . BBC (6. august 2014). Hentet 1. juni 2017. Arkiveret fra originalen 23. maj 2017.  
  16. Joshua Cannell. Cryptolocker Ransomware: Hvad du behøver at vide  (engelsk) . Malwarebytes (8. oktober 2013). Hentet 1. juni 2017. Arkiveret fra originalen 30. september 2021.
  17. 12 John Leyden . Djævelsk CryptoLocker ransomware : Uanset hvad du gør, så BETAL IKKE . Registeret (18. oktober 2013). Hentet 1. juni 2017. Arkiveret fra originalen 18. oktober 2013.  
  18. Ryan Naraine. Afpresning af ransomware vender tilbage med 1024-bit  krypteringsnøgle . ZDNet (6. juni 2008). Dato for adgang: 1. juni 2017. Arkiveret fra originalen 17. november 2016.
  19. Robert Lemos. Ransomware modstår crypto cracking  indsats . Sikkerhedsfokus (13. juni 2008). Hentet 1. juni 2017. Arkiveret fra originalen 3. marts 2016.
  20. Julio Hernandez-Castro, Eerke Boiten og Magali Barnoux. Resultater af online undersøgelse foretaget af Interdisciplinary Research Center in Cyber ​​​​Security ved University of Kent i Canterbury  (  utilgængeligt link) . University of Kent. Hentet 1. juni 2017. Arkiveret fra originalen 24. august 2017.
  21. 1 2 Abigail Pichel. Ny CryptoLocker spredes via flytbare  drev . Trend Micro (25. december 2013). Hentet 1. juni 2017. Arkiveret fra originalen 4. november 2016.
  22. Jeremy Kirk. CryptoDefense ransomware efterlader dekrypteringsnøglen  tilgængelig . Computerworld (1. april 2014). Hentet 1. juni 2017. Arkiveret fra originalen 18. september 2017.
  23. Iain Thomson. Dine filer holdt som gidsler af CryptoDefense? Betal ikke!  Dekrypteringsnøglen er på din harddisk . Registret (3. april 2014). Hentet 1. juni 2017. Arkiveret fra originalen 26. december 2016.
  24. 1 2 Patrick Budmar. Australien specifikt målrettet af Cryptolocker: Symantec . Sikkerhedsleverandøren finder den nyeste variant af  kryptomalwaren . ARNnet (3. oktober 2014) . Hentet 1. juni 2017. Arkiveret fra originalen 16. juni 2018.
  25. Robert Lipovsky. Cryptolocker 2.0 - ny version, eller copycat?  (engelsk) . WeLiveSecurity (19. december 2013). Hentet 1. juni 2017. Arkiveret fra originalen 2. juni 2017.
  26. 1 2 Australiere i stigende grad ramt af den globale bølge af kryptomalware  (eng.)  (utilgængeligt link) . Symantec (26. september 2014). Hentet 1. juni 2017. Arkiveret fra originalen 16. juni 2018.
  27. Marc-Etienne M. Léveille. TorrentLocker retter sig nu mod Storbritannien med Royal Mail-  phishing . WeLiveSecurity (4. september 2014). Hentet 1. juni 2017. Arkiveret fra originalen 7. november 2017.
  28. Adam Turner. Svindlere bruger Australia Post til at maskere e-mail  -angreb . The Sydney Morning Herald (15. oktober 2014). Hentet 1. juni 2017. Arkiveret fra originalen 8. november 2017.
  29. Steve Ragan. Ransomware-angreb slår tv-stationen ud af  luften . CSO Online (7. oktober 2014). Hentet 1. juni 2017. Arkiveret fra originalen 7. november 2017.