Apa Itu CryptoLocker Dan Cara Menghindarinya - Pedoman Dari Semalt

CryptoLocker adalah ransomware. Model bisnis ransomware adalah memeras uang dari pengguna internet. CryptoLocker meningkatkan tren yang dikembangkan oleh malware "Virus Virus" terkenal yang meminta pengguna internet membayar uang untuk membuka kunci perangkat mereka. CryptoLocker membajak dokumen dan file penting dan memberi tahu pengguna untuk membayar uang tebusan dalam durasi yang ditentukan.

Jason Adler, Manajer Sukses Pelanggan dari Semalt Digital Services, menguraikan keamanan CryptoLocker dan memberikan beberapa ide menarik untuk menghindarinya.

Instalasi Malware

CryptoLocker menerapkan strategi rekayasa sosial untuk menipu pengguna internet untuk mengunduh dan menjalankannya. Pengguna email mendapat pesan yang memiliki file ZIP yang dilindungi kata sandi. Email dimaksudkan berasal dari organisasi yang ada di bisnis logistik.

Trojan berjalan ketika pengguna email membuka file ZIP menggunakan kata sandi yang ditunjukkan. Sulit untuk mendeteksi CryptoLocker karena mengambil keuntungan dari status default Windows yang tidak menunjukkan ekstensi nama file. Ketika korban menjalankan malware, Trojan melakukan berbagai aktivitas:

a) Trojan menyimpan dirinya dalam folder yang terletak di profil pengguna, misalnya, LocalAppData.

b) Trojan memperkenalkan kunci ke registri. Tindakan ini memastikan bahwa itu berjalan selama proses booting komputer.

c) Ini berjalan berdasarkan dua proses. Yang pertama adalah proses utama. Yang kedua adalah pencegahan penghentian proses utama.

Enkripsi File

Trojan menghasilkan kunci simetris acak dan menerapkannya ke setiap file yang dienkripsi. Konten file dienkripsi menggunakan algoritma AES dan kunci simetris. Kunci acak kemudian dienkripsi menggunakan algoritma enkripsi kunci asimetrik (RSA). Kunci juga harus lebih dari 1024 bit. Ada kasus di mana 2048 bit kunci digunakan dalam proses enkripsi. Trojan memastikan bahwa penyedia kunci RSA pribadi mendapatkan kunci acak yang digunakan dalam enkripsi file. Tidak mungkin untuk mengambil file yang ditimpa menggunakan pendekatan forensik.

Setelah dijalankan, Trojan mendapatkan kunci publik (PK) dari server C&C. Dalam menemukan server C&C aktif, Trojan menggunakan algoritma pembuatan domain (DGA) untuk menghasilkan nama domain acak. DGA juga disebut sebagai "twister Mersenne." Algoritme berlaku tanggal saat ini sebagai unggulan yang dapat menghasilkan lebih dari 1.000 domain setiap hari. Domain yang dihasilkan memiliki berbagai ukuran.

Trojan mengunduh PK dan menyimpannya dalam HKCUSoftwareCryptoLockerPublic Key. Trojan mulai mengenkripsi file dalam hard disk dan file jaringan yang dibuka oleh pengguna. CryptoLocker tidak mempengaruhi semua file. Ini hanya menargetkan file yang tidak dapat dieksekusi yang memiliki ekstensi yang diilustrasikan dalam kode malware. Ekstensi file ini termasuk * .odt, * .xls, * .pptm, * .rft, * .pem, dan * .jpg. Juga, CryptoLocker mencatat setiap file yang telah dienkripsi ke HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Setelah proses enkripsi, virus menunjukkan pesan yang meminta pembayaran tebusan dalam durasi waktu yang ditentukan. Pembayaran harus dilakukan sebelum kunci pribadi dihancurkan.

Menghindari CryptoLocker

a) Pengguna email harus curiga terhadap pesan dari orang atau organisasi yang tidak dikenal.

b) Pengguna internet harus menonaktifkan ekstensi file tersembunyi untuk meningkatkan identifikasi malware atau serangan virus.

c) File penting harus disimpan dalam sistem cadangan.

d) Jika file terinfeksi, pengguna seharusnya tidak membayar uang tebusan. Pengembang malware seharusnya tidak pernah diberi imbalan.