CryptoLocker
| 别名 | Crypt0L0cker |
|---|---|
| 分类 | 恶意软件 |
| 感染系统 | 特洛伊木马 |
| 发现时间 | 2014年6月2日 |
CryptoLocker是一种于2013年下半年出现的特洛伊木马,以勒索软件的形式出现的恶意软件,以Microsoft Windows操作系统为主要攻击目标,所派生的变种也向Linux等操作系统及特定厂牌的网络存储装置(NAS)攻击。CryptoLocker会伪装成一个合法的电邮附件或.exe格式文件;如果被活化,该恶意软件就会使用RSA公钥加密与AES秘钥的形式,加密本地与内部网的特定类型文件;而私人密钥则把持在恶意软件所控制的伺服器上。该蠕虫会显示一则消息,表示如果在规定的期限进行付款(经由比特币或其他储值管道),就能够解密这些文件,否则私人密钥将会被销毁,再也不能打开这些文件。如果在期限之内,该恶意软件还会提供一个由恶意软件控制的在线服务提供解密,但要付出高额的比特币。
即使CryptoLocker本身很容易清除,但是这些已经被加密的文件,对于研究者而言是无法被解开的。部分研究者认为如果不付款给勒索者,就没有其他方法能够解密这些文件;另外的研究者则说付款给勒索者是唯一能在未备份的情形下,让文件解密的方法。
运作[编辑]
CryptoLocker通常会以电邮附件的类型,包装成一个看似无害的电邮(通常使用合法公司的电邮外观)进行发送,或是经由僵尸网络发送。所附上的ZIP文件格式包含了一个可执行的文件,通常是使用伪装的PDF文件附文件名与文件名称,利用Windows系统当中的文件扩展名规则,掩饰真正的EXE扩展名形式文件。部分情况下则会实际含有宙斯特洛伊木马病毒,以进行安装CryptoLocker[1][2]。首次启动时,有效负载会以随机的名称,自行安装于我的文档,并于注册表登录一个编码,会导致于开机时启动。然后,该恶意软件会尝试连接被勒索者所控制的伺服器与指令,一旦成功连接,该伺服器就会产生一个2048位的RSA加密密钥配对,并且提交公开密钥到被感染的电脑[1][3]。该伺服器可能是一个本地代理伺服器或其他的代理伺服器,会频繁地在不同国家间进行重定位,增加追踪的困难度[4][5]。
该有效负载会将整个硬盘与相链接的网络硬碟中的文件,利用公开密钥进行加密,并将文件加密的纪录送入一个登录码。这个过程中,仅会将特定附文件名的资料文件进行加密,例如Microsoft Office、OpenDocument与其他的文件、图像与AutoCAD文件[2]。有效负载接者会显示一则消息,告知用户文件已经被加密,并必须经由预储值管道(如MoneyPak或Ukash)支付300美元或欧元,或是2比特币,才能解开这些文件。付款动作必须在72至100小时内完成,否则私人密钥将会在服务端摧毁,并且“将永远没有人能打开这些文件[1][3]。”勒索付款后,会允许用户下载一个解密程序,然后预载用户的私人密钥[1]。
2013年11月,CryptoLocker的操作者开放了一个在线服务,允许用户不用CryptoLocker程序就能解密文件,并且必须于截止时间前下载解密密钥;这个过程包含了将解密文件样本上传到恶意软件的网站,然后在24小时内,网站会依据请求,查找匹配的密钥。一旦匹配成功,用户就能够进行在线付款;如果72小时的期限已过,付款价格将会增长到10比特币(在2013年11月上旬,换算汇率为超过3500美元)[6][6][7]。
防灾与解灾[编辑]
安全软件可能无法侦测到CryptoLocker,或只能在解密进行或完成后才会被侦测到。如果该攻击能在早期被起疑或侦测到,该恶意软件有时只会加密一小部分的文件;立即清除该恶意软件(这本身就是一个相对简单的程序)理论上可以降低资料的伤害数量[8][9]。专家建议的预防方式,包含使用软件或其他安全策略,阻挡CryptoLocker的有效负荷完全被占据[1][2][3][5][8]。平常勤于备份重要文件,并离线、异地存储,使得文件遭勒索软件加密后,尚有机会可从备份还原。
由于该文件的操作性质,一些专家坦承支付给勒索者是在缺乏备份还原(尤其是不经由网络连接下的离线备份,或是从连续资料保护系统的备份进行还原)下的唯一方式。由于密钥的长度是由CryptoLocker所操纵,可以预见地,这些被加密的文件无法暴力破解,在不付款的情况下解密文件;相似的例子为2008年的蠕虫病毒Gpcode.AK,使用的是1024位的加密,相信这个加密程度太大,导致无法以分布式计算,或是发现漏洞的方式打破加密的内容[1][7][10][11]。赛门铁克估计至少3%被感染的用户会采用付款方式解决[5]。
2013年10月下旬,卡巴斯基报告其DNS陷阱已经建立完成,可以在部分域名用户接触到CryptoLocker时进行阻挡[12]。
变种[编辑]
- Crypt0L0cker 类似CryptoLocker的勒索软件
参考文献[编辑]
- ^ 1.0 1.1 1.2 1.3 1.4 1.5 Abrams, Lawrence. CryptoLocker Ransomware Information Guide and FAQ. Bleeping Computer. [25 October 2013]. (原始内容存档于2013-11-17).
- ^ 2.0 2.1 2.2 Cryptolocker: How to avoid getting infected and what to do if you are. Computerworld. [25 October 2013]. (原始内容存档于2013-10-30).
- ^ 3.0 3.1 3.2 You’re infected—if you want to see your data again, pay us $300 in Bitcoins. Ars Technica. [23 October 2013]. (原始内容存档于2016-11-10).
- ^ Destructive malware "CryptoLocker" on the loose - here's what to do. Naked Security. Sophos. [23 October 2013]. (原始内容存档于2017-05-08).
- ^ 5.0 5.1 5.2 CryptoLocker attacks that hold your computer to ransom. The Guardian. [23 October 2013]. (原始内容存档于2013-11-18).
- ^ 6.0 6.1 CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. NetworkWorld. [5 November 2013]. (原始内容存档于2013-11-05).
- ^ 7.0 7.1 CryptoLocker creators try to extort even more money from victims with new service. PC World. [5 November 2013]. (原始内容存档于2017-04-30).
- ^ 8.0 8.1 Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY. The Register. [18 October 2013]. (原始内容存档于2016-11-10).
- ^ Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know. Malwarebytes Unpacked. [19 October 2013]. (原始内容存档于2016-03-14).
- ^ Naraine, Ryan. Blackmail ransomware returns with 1024-bit encryption key. ZDnet. 6 June 2008 [25 October 2013]. (原始内容存档于2008-08-03).
- ^ Lemos, Robert. Ransomware resisting crypto cracking efforts. SecurityFocus. 13 June 2008 [25 October 2013]. (原始内容存档于2016-03-03).
- ^ Cryptolocker Wants Your Money!. SecureList. Kapersky. [30 October 2013]. (原始内容存档于2013年10月29日).
外部链接[编辑]
- Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013. Cisco Security Intelligence Operations Portal. San Jose, CA, USA: Cisco Systems. 2013-10-14 [2013-10-30]. (原始内容存档于2013-11-02).