O que é o CryptoLocker e como evitá-lo - a diretriz da Semalt
O CryptoLocker é um ransomware. O modelo de negócios do ransomware é extorquir dinheiro dos usuários da Internet. O CryptoLocker aprimora a tendência desenvolvida pelo infame malware "Police Virus", que pede aos usuários da Internet que paguem dinheiro pelo desbloqueio de seus dispositivos. O CryptoLocker seqüestra documentos e arquivos importantes e informa os usuários a pagar o resgate dentro de um prazo determinado.
Jason Adler, gerente de sucesso do cliente da Semalt Digital Services, detalha a segurança do CryptoLocker e fornece algumas idéias convincentes para evitá-lo.
Instalação de malware
O CryptoLocker aplica estratégias de engenharia social para induzir os usuários da Internet a baixar e executá-lo. O usuário do email recebe uma mensagem que possui um arquivo ZIP protegido por senha. O email pretende ser de uma organização que atua no setor de logística.
O Trojan é executado quando o usuário do email abre o arquivo ZIP usando a senha indicada. É um desafio detectar o CryptoLocker, porque tira proveito do status padrão do Windows que não indica a extensão do nome do arquivo. Quando a vítima executa o malware, o Trojan realiza várias atividades:
a) O Trojan se salva em uma pasta localizada no perfil do usuário, por exemplo, o LocalAppData.
b) O Trojan introduz uma chave no registro. Esta ação garante que seja executada durante o processo de inicialização do computador.
c) É executado com base em dois processos. O primeiro é o processo principal. O segundo é a prevenção do término do processo principal.
Criptografia de arquivo
O Trojan produz a chave simétrica aleatória e a aplica a todos os arquivos criptografados. O conteúdo do arquivo é criptografado usando o algoritmo AES e a chave simétrica. A chave aleatória é posteriormente criptografada usando o algoritmo de criptografia de chave assimétrica (RSA). As chaves também devem ter mais de 1024 bits. Há casos em que as chaves de 2048 bits foram usadas no processo de criptografia. O Trojan garante que o provedor da chave RSA privada obtenha a chave aleatória utilizada na criptografia do arquivo. Não é possível recuperar os arquivos substituídos usando a abordagem forense.
Uma vez executado, o Trojan obtém a chave pública (PK) do servidor C&C. Ao localizar o servidor C&C ativo, o Trojan usa o algoritmo de geração de domínio (DGA) para produzir os nomes de domínio aleatórios. DGA também é conhecido como o "twister de Mersenne". O algoritmo aplica a data atual como a semente que pode produzir mais de 1.000 domínios diariamente. Os domínios gerados são de vários tamanhos.
O Trojan baixa o PK e o salva na Chave HKCUSoftwareCryptoLockerPublic. O Trojan começa a criptografar arquivos no disco rígido e os arquivos de rede que são abertos pelo usuário. O CryptoLocker não afeta todos os arquivos. Destina-se apenas aos arquivos não executáveis que possuem as extensões ilustradas no código do malware. Essas extensões de arquivos incluem * .odt, * .xls, * .pptm, * .rft, * .pem e * .jpg. Além disso, o CryptoLocker registra todos os arquivos que foram criptografados no HKEY_CURRENT_USERSoftwareCryptoLockerFiles.
Após o processo de criptografia, o vírus mostra uma mensagem solicitando pagamento de resgate dentro do prazo estipulado. O pagamento deve ser feito antes que a chave privada seja destruída.
Evitando o CryptoLocker
a) Os usuários de email devem suspeitar de mensagens de pessoas ou organizações desconhecidas.
b) Os usuários da Internet devem desativar as extensões de arquivo ocultas para melhorar a identificação do ataque de malware ou vírus.
c) Arquivos importantes devem ser armazenados em um sistema de backup.
d) Se os arquivos forem infectados, o usuário não deve pagar o resgate. Os desenvolvedores de malware nunca devem ser recompensados.