Cos'è CryptoLocker e come evitarlo: le linee guida di Semalt
CryptoLocker è un ransomware. Il modello di business del ransomware è quello di estorcere denaro dagli utenti di Internet. CryptoLocker migliora la tendenza sviluppata dal famigerato malware "Police Virus" che chiede agli utenti di Internet di pagare per sbloccare i propri dispositivi. CryptoLocker dirotta documenti e file importanti e informa gli utenti di pagare il riscatto entro una durata stabilita.
Jason Adler, Customer Success Manager di Semalt Digital Services, elabora la sicurezza di CryptoLocker e fornisce alcune idee convincenti per evitarlo.
Installazione malware
CryptoLocker applica strategie di social engineering per indurre gli utenti di Internet a scaricarlo ed eseguirlo. L'utente e-mail riceve un messaggio con un file ZIP protetto da password. L'email pretende di provenire da un'organizzazione che si occupa di logistica.
Il Trojan viene eseguito quando l'utente di posta elettronica apre il file ZIP utilizzando la password indicata. È difficile rilevare CryptoLocker perché sfrutta lo stato predefinito di Windows che non indica l'estensione del nome file. Quando la vittima esegue il malware, il Trojan svolge varie attività:
a) Il Trojan si salva in una cartella situata nel profilo dell'utente, ad esempio LocalAppData.
b) Il Trojan introduce una chiave nel registro. Questa azione garantisce che venga eseguita durante il processo di avvio del computer.
c) Funziona in base a due processi. Il primo è il processo principale. Il secondo è la prevenzione della conclusione del processo principale.
Crittografia file
Il Trojan produce la chiave simmetrica casuale e la applica a tutti i file crittografati. Il contenuto del file viene crittografato utilizzando l'algoritmo AES e la chiave simmetrica. La chiave casuale viene successivamente crittografata utilizzando l'algoritmo di crittografia a chiave asimmetrica (RSA). Le chiavi dovrebbero anche essere più di 1024 bit. Ci sono casi in cui sono state utilizzate chiavi a 2048 bit nel processo di crittografia. Il Trojan garantisce che il provider della chiave RSA privata ottenga la chiave casuale utilizzata nella crittografia del file. Non è possibile recuperare i file sovrascritti usando l'approccio forense.
Una volta eseguito, il Trojan ottiene la chiave pubblica (PK) dal server C&C. Nel localizzare il server C&C attivo, il Trojan utilizza l'algoritmo di generazione del dominio (DGA) per produrre nomi di dominio casuali. DGA è anche indicato come il "tornado di Mersenne". L'algoritmo applica la data corrente come seme in grado di produrre più di 1.000 domini al giorno. I domini generati sono di varie dimensioni.
Il Trojan scarica il PK e lo salva nella chiave HKCUSoftwareCryptoLockerPublic. Il Trojan inizia a crittografare i file sul disco rigido e i file di rete che vengono aperti dall'utente. CryptoLocker non influisce su tutti i file. Prende di mira solo i file non eseguibili che hanno le estensioni illustrate nel codice del malware. Queste estensioni di file includono * .odt, * .xls, * .pptm, * .rft, * .pem e * .jpg. Inoltre, CryptoLocker registra ogni file che è stato crittografato nei file HKEY_CURRENT_USERSoftwareCryptoLockerFiles.
Dopo il processo di crittografia, il virus mostra un messaggio che richiede il pagamento del riscatto entro la durata indicata. Il pagamento deve essere effettuato prima della distruzione della chiave privata.
Evitare CryptoLocker
a) Gli utenti di posta elettronica devono essere diffidenti nei confronti di messaggi di persone o organizzazioni sconosciute.
b) Gli utenti di Internet dovrebbero disabilitare le estensioni di file nascoste per migliorare l'identificazione del malware o dell'attacco di virus.
c) I file importanti devono essere archiviati in un sistema di backup.
d) Se i file vengono infettati, l'utente non dovrebbe pagare il riscatto. Gli sviluppatori di malware non dovrebbero mai essere ricompensati.