Ringkasan
Malware baru yang muncul pada tahun 2013 dengan nama CryptoWall, CryptoLocker dan CryptoFortress; Mereka menggunakan enkripsi untuk "merampas" secara digital fail mangsa mereka yang meminta ganjaran wang, mangsa biasanya hanya syarikat dari mana mereka dengan mudah menyelesaikan tugas mereka, tetapi sekarang mereka tidak hanya terbatas pada "penculikan" syarikat, mereka memiliki data yang kini mangsanya sudah menjadi pengguna biasa. Dalam konteks ini, cara operasi mereka, cara mengenal pasti mereka, mangsa mereka yang paling biasa dan bagaimana melindungi diri mereka daripada perisian hasad baru ini akan dinyatakan. Semua proses ini dilakukan di bawah persekitaran maya, tidak ada komputer fizikal yang rosak.
Pengenalan
Seiring berjalannya tahun, teknologi baru semakin mengejutkan. Tidak mengejutkan bahawa ancaman juga mengejutkan. Teknologi baru juga memerlukan cara melindungi diri menjadi lebih baik dan lebih inovatif. Matlamat kami adalah untuk menganalisis dan memahami karya malware jenis ini dengan lebih baik dan bagaimana melindungi diri anda untuk mengelakkan kerosakan selanjutnya.
Kaedah
Metodologi yang digunakan adalah: sistem maya untuk mengelakkan kerosakan pada perkakasan. Malware itu diuji pada sistem operasi Windows 7 Ultimate, yang dibuat menggunakan pemacu maya menggunakan program Oracle VirtualBox. (Gbr. 1)
VirtualBox dengan Windows 7 dibuat.
Gambar 1. VirtualBox dengan Windows 7 dibuat.
Keputusan
Dengan ujian yang dilakukan, kami mencapai hasilnya, bahawa langkah-langkah yang dilakukan oleh malware untuk menjangkiti adalah sebagai berikut:
- Cari fail yang tidak dapat dilaksanakan terlebih dahulu. Artinya, ia mencari fail teks, foto, dokumen, dll. Itu adalah fail yang akan dienkripsi. Kekunci simetri rawak dibuat untuk setiap fail. Fail disulitkan dengan kunci simetri rawak tersebut. Kunci simetri rawak setiap fail disulitkan dengan algoritma simetri RSA. Kunci ini ditambahkan ke fail enkripsi. Setiap fail yang dienkripsi menimpa yang asal, mencegah pemulihannya dengan teknik forensik. (Gamb. 2)
Selepas tahap jangkitan dan penyulitan, pemegang satu-satunya kunci akses ke fail-fail tersebut sepertinya adalah penjenayah yang meminta ganjaran tunai dalam jangka masa rawak bagi setiap mangsa (Gamb. 3)
Setelah fail dienkripsi, penjenayah membolehkan kita menyahsulit satu fail untuk meyakinkan diri kita bahawa mereka serius.
Pembayaran "tebusan" untuk fail dibuat melalui penggunaan BitCoin yang dihasilkan oleh URL yang berbeza untuk setiap yang terjejas, jika yang terlibat tidak mengetahui penggunaan mata wang ini dan cara membayar, penjahat mempunyai bahagian FAQ (soalan Soalan Lazim) dan halaman didaktik lain di mana mereka menerangkan keseluruhan proses pembelian dan pembayaran dengan BitCoin.
Dianjurkan untuk tidak membuat pembayaran kepada penjenayah dan menggunakan perisian percuma yang terdapat di akhir konteks ini, tetapi ini tidak memastikan pemulihan fail secara keseluruhan. Sekiranya anda memutuskan untuk membayar wang tebusan fail, anda mesti melakukannya dengan membuat permintaan kepada Bank Pusat Bolivia, kerana pada 6 Mei 2014 Bank Pusat Bolivia melarang penggunaan syiling yang tidak dikeluarkan atau diatur oleh negara-negara. dan dengan itu melarang penggunaan BitCoin.
Amaran perisian hasad, menunjukkan hasil akhir penyulitan.
Gambar 2. Amaran perisian hasad, menunjukkan hasil akhir penyulitan.
Notis pembelian untuk penyahsulitan untuk memulihkan fail
Gambar 3. Notis pembelian penyahsulitan untuk memulihkan fail
Sekiranya sekiranya anda berjaya membuat pembayaran yang diminta dari penjenayah, penjenayah akan memberi anda URL dari mana anda dapat memuat turun program untuk menghapus enkripsi dari fail "dirampas", perisian ini mungkin berisi malware lain yang, misalnya, dapat mengaktifkan malware asli setelah waktu tertentu, atau sekadar program tidak menghapus enkripsi dari fail, menjadi kes yang diketahui di mana syarikat yang tidak diketahui berulang kali menjadi mangsa malware dan tidak membuat sandaran sebelumnya harus membuat pembayaran semua masa mereka menjadi mangsa; Digunakan penggunaan Sandaran luaran ke komputer.
Apa yang perlu dilakukan sekiranya anda menjadi mangsa perisian hasad yang disebutkan di atas
Langkah pertama adalah menyingkirkan semua jejak perisian hasad menggunakan perisian yang dikhaskan untuk jenis pekerjaan tersebut. Dalam kes kami, kami memilih untuk menggunakan Kaspersky Recue Disk yang menghilangkan semua jejak virus tanpa perlu melalui Windows. (Gamb. 4)
Perisian yang dikhaskan untuk membuang perisian hasad, Kaspersky Rescue Disk
Gambar 4. Perisian yang dikhaskan untuk membuang perisian hasad, Kaspersky Rescue Disk
Cara melindungi diri daripada perisian hasad
Cara untuk mengelakkan penyebaran perisian hasad ini pada baris pertama adalah oleh pengguna sendiri dengan tidak membuka pautan atau lampiran yang tidak diketahui, kerana antivirus yang dikemas kini tidak memastikan perlindungan perisian hasad, kami juga boleh menggunakan perisian CryptoPrevent (Gbr. 5), yang membuang kebenaran dieksploitasi oleh perisian hasad.
Cryptoprevent dalam keadaan penyesuaiannya.
Rajah 5. Cryptoprevent dalam keadaan penyesuaiannya.
Kesimpulannya
Pasukan penyelidikan dan pengujian menyimpulkan bahawa perisian hasad yang ditemui untuk pertama kalinya pada tahun 2013 melanggar had perisian hasad pendahulunya, kerana sebelum ini jenis malware yang lain hanya ditujukan untuk merosakkan fail dan dengan tidak stabilnya sistem operasi, perisian hasad ini menjadikan jenayah selangkah lebih maju, kerana secara anonim bertujuan untuk menjana pendapatan wang melalui rampasan fail.
Unjuran
Setelah semua kajian dan ujian lapangan dilakukan, kami ingin mengusulkan pelaksanaan perangkat lunak keamanan yang disebut Cryptoprevent dan pemerintah telah mengingat regularisasi mata wang yang disebut BitCoin untuk memburu penjenayah siber.
Rujukan dan bibliografi
- http://articulos.softonic.com/cryptolocker-cryptowall-cryptofortress-eliminar-desencriptarhttp://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html
