क्राइप्टोलोकर के हो र यसलाई कसरी हटाउने - Semalt बाट मार्गनिर्देशन

CryptoLocker एक ransomware हो। Ransomware को व्यापार मोडेल ईन्टरनेट प्रयोगकर्ताबाट पैसा निकाल्नु हो। क्राइप्टोलोकरले कुख्यात "पुलिस भाइरस" मालवेयरले विकास गरेको प्रवृत्ति बढाउँदछ जसले इन्टरनेट प्रयोगकर्ताहरूलाई उनीहरूको उपकरणहरू अनलक गर्न पैसा तिर्न भन्छ। क्राइप्टोलोकरले महत्वपूर्ण कागजातहरू र फाईजहरू हाइज्याक गर्दछ र प्रयोगकर्ताहरूलाई एक निर्दिष्ट अवधिमा छुटाउन भुक्तान गर्न सूचित गर्दछ।

जेसन एडलर, Semalt डिजिटल सेवाहरूको ग्राहक सफलता प्रबन्धक, CryptoLocker सुरक्षा मा विस्तृत र यसलाई जोगिन केहि सम्मोहक विचार प्रदान गर्दछ।

मालवेयर स्थापना

क्राइप्टोलोकरले सामाजिक इन्जिनियरि app रणनीतिहरू लागू गर्दछ इन्टरनेट प्रयोगकर्ताहरूलाई यसलाई डाउनलोड गर्न र चलाउनको लागि छल गर्न। इ-मेल प्रयोगकर्ताले सन्देश पाउँदछन् जुन पासवर्ड-सुरक्षित जिप फाइल हो। ईमेल प्रासंगिकहरु एक संगठनबाट हुन जुन रसद व्यवसायमा छ।

ट्रोजन चल्छ जब ईमेल प्रयोगकर्ताले संकेत पासवर्डको प्रयोग गरेर जीप फाईल खोल्छ। क्राइप्टोलोकर पत्ता लगाउन यो चुनौतीपूर्ण छ किनकि यसले विन्डोजको पूर्वनिर्धारित स्थितिको फाइदा लिन्छ जुन फाईल नाम विस्तारलाई संकेत गर्दैन। जब पीडित मालवेयर चलाउँछ, ट्रोजनले विभिन्न गतिविधिहरू गर्दछ:

a) ट्रोजनले आफूलाई प्रयोगकर्ताको प्रोफाइलमा अवस्थित फोल्डरमा बचत गर्दछ, उदाहरणका लागि, स्थानीय अनुप्रयोगडाटा।

बी) ट्रोजन रेजिस्ट्री को एक कुञ्जी परिचय। यो कार्यले यो सुनिश्चित गर्दछ कि यो कम्प्युटर बुटि process प्रक्रियाको बखत चालु छ।

c) यो दुई प्रक्रियामा आधारित हुन्छ। पहिलो मुख्य प्रक्रिया हो। दोस्रो मुख्य प्रक्रिया को समाप्ति को रोकथाम हो।

फाइल ईन्क्रिप्शन

ट्रोजन अनियमित सममित कुञ्जी उत्पादन गर्दछ र ईन्क्रिप्टेड हरेक फाइलमा यसलाई लागू गर्दछ। फाईलको सामग्री एईएस एल्गोरिथ्म र सममितिक कुञ्जी प्रयोग गरेर ईन्क्रिप्ट गरिएको छ। अनियमित कुञ्जी त्यसपछि असममित कुञ्जी ईन्क्रिप्शन एल्गोरिथ्म (RSA) को प्रयोग गरेर गुप्तिकरण हुन्छ। कुञ्जीहरू पनि 1024 बिट्स भन्दा बढी हुनुपर्दछ। त्यहाँ त्यस्ता केसहरू छन् जहाँ २०4848 बिट कुञ्जीहरू ईन्क्रिप्शन प्रक्रियामा प्रयोग गरिएको थियो। ट्रोजनले सुनिश्चित गर्दछ कि निजी RSA कुञ्जीको प्रदायकले अनियमित कुञ्जी प्राप्त गर्दछ जुन फाइलको ईन्क्रिप्शनमा प्रयोग हुन्छ। फोरेंसिक दृष्टिकोण प्रयोग गरेर अधिलेखन फाइलहरू पुन: प्राप्त गर्न सम्भव छैन।

एकचोटि चलाइएपछि, ट्रोजनले C&C सर्भरबाट सार्वजनिक कुञ्जी (PK) प्राप्त गर्दछ। सक्रिय सी एन्ड सी सर्वर पत्ता लगाउँदा, ट्रोजनले अनियमित डोमेन नाम उत्पादन गर्न डोमेन जेनेसन एल्गोरिथ्म (DGA) प्रयोग गर्दछ। डीजीएलाई "मर्सेन ट्विस्टर" पनि भनिएको छ। एल्गोरिथ्मले बीजको रूपमा हालको मिति लागू गर्दछ जुन दैनिक दैनिक १,००० भन्दा बढी डोमेनहरू उत्पादन गर्न सक्दछ। उत्पन्न डोमेनहरू विभिन्न आकारका हुन्।

ट्रोजनले पीके डाउनलोड गर्दछ र यसलाई HKCUSoftwareCryptoLockerPublic कुञ्जी भित्र बचत गर्दछ। ट्रोजनले हार्ड डिस्कमा फाइलहरू र प्रयोगकर्ता फाइलहरू खोल्ने नेटवर्क फाइलहरू इन्क्रिप्ट गर्न सुरु गर्दछ। CryptoLocker ले सबै फाईलहरूलाई असर गर्दैन। यसले केवल निष्पादन योग्य फाईलहरूलाई मात्र लक्षित गर्दछ जससँग विस्तारहरू छन् जुन मालवेयरको कोडमा चित्रण गरिएको छ। यी फाईलहरू विस्तारमा * .odt, * .xls, * .pptm, * .rft, * .pem, र * .jpg समावेश गर्दछ। साथै, प्रत्येक फाइलमा क्रिप्टोलोकर लग गर्दछ जुन HKEY_CURRENT_USERSoftwareCryptoLockerFiles मा ईन्क्रिप्ट गरिएको छ।

एन्क्रिप्शन प्रक्रिया पछि भाइरसले सन्देश अवधि देखाउँदछ जुन छुट्याइएको समय अवधि भित्र छुडौतीको भुक्तानको लागि अनुरोध गर्दै। निजी कुञ्जी नष्ट हुनु अघि भुक्तानी गर्नुपर्नेछ।

क्राइप्टोलोकर त्याग्दै

a) ईमेल प्रयोगकर्ताहरू अज्ञात व्यक्ति वा संगठनहरूबाट सन्देशहरूको शंकाको विषय हुनु पर्दछ।

बी) मालवेयर वा भाइरस आक्रमणको पहिचान सुधार गर्न इन्टरनेट प्रयोगकर्ताहरूले लुकेका फाइल एक्सटेन्सनहरू असक्षम गर्नुपर्दछ।

c) महत्त्वपूर्ण फाइलहरू ब्याकअप प्रणालीमा भण्डारण गर्नुपर्दछ।

d) यदि फाईलहरू संक्रमित भए, प्रयोगकर्ताले फिरौती तिर्नु पर्दैन। मालवेयर विकासकर्ताहरूलाई कहिले पनि पुरस्कृत गर्नु हुँदैन।