Резюме
Новое вредоносное ПО, появившееся в 2013 году под названиями CryptoWall, CryptoLocker и CryptoFortress; Они используют шифрование, чтобы «взломать» файлы своих жертв в цифровом виде с просьбой о денежном вознаграждении. Обычно жертвами были только компании, от которых они легко справились со своей задачей, но теперь они не ограничиваются только «похищением» компаний, у них есть данные, которые теперь его жертвы уже обычные пользователи. В этом контексте будет показано, как они работают, как их идентифицировать, каковы их наиболее распространенные жертвы и как защитить себя от этого нового вредоносного ПО. Весь этот процесс проводился в виртуальных средах, ни один физический компьютер не был поврежден.
Введение
С течением времени новые технологии становятся все более удивительными. Неудивительно, что угрозы также были удивительными. Новые технологии также требуют, чтобы способы защиты самих себя были еще лучше и более инновационными. Наша цель - лучше проанализировать и понять работу этого типа вредоносных программ и способы защиты, чтобы избежать дальнейшего ущерба.
методы
Использовались следующие методологии: виртуальные системы во избежание повреждения оборудования. Вредоносная программа была протестирована в операционной системе Windows 7 Ultimate, созданной с использованием виртуального диска с помощью программы Oracle VirtualBox (рис. 1).
VirtualBox с Windows 7 создан.
Рисунок 1. VirtualBox с Windows 7 создан.
Полученные результаты
После проведенных тестов мы пришли к тому, что вредоносная программа выполняет следующие действия:
- Сначала найдите неисполняемые файлы. То есть он находит текстовые файлы, фотографии, документы и т. Д. Это файлы, которые будут зашифрованы. Для каждого файла создается случайный симметричный ключ. Файлы шифруются этими случайными симметричными ключами. Случайный симметричный ключ каждого файла шифруется с помощью симметричного алгоритма RSA. Этот ключ добавляется в файл шифрования. Каждый зашифрованный файл перезаписывает оригинал, предотвращая его восстановление с помощью криминалистических методов (рис. 2).
После стадии заражения и шифрования обладатели единственного ключа доступа к файлам, похоже, являются преступниками, которые просят денежное вознаграждение в течение случайного периода времени для каждой жертвы (рис. 3).
Как только файлы зашифрованы, преступники позволяют нам расшифровывать один файл, чтобы убедить себя в том, что они серьезны.
Выплата «выкупа» за файлы производится посредством использования биткойнов, сгенерированных разными URL-адресами для каждого пострадавшего, если пострадавший не знает об использовании этой валюты и способах оплаты, у преступников есть раздел часто задаваемых вопросов (вопросы). Часто задаваемые вопросы) и еще одна дидактическая страница, где они объясняют весь процесс покупки и оплаты с помощью BitCoin.
Рекомендуется не производить никаких платежей преступникам и прибегать к бесплатному программному обеспечению, которое можно найти в конце этого контекста, но это не гарантирует восстановление файлов в полном объеме. Если вы решили заплатить выкуп за файлы, вы должны сделать это, направив запрос в Центральный банк Боливии, поскольку 6 мая 2014 года Центральный банк Боливии запретил использование монет, не выпущенных или не регулируемых штатами. и, таким образом, запрещающий использование BitCoin.
Предупреждение о вредоносном ПО, показывающее окончательный результат шифрования.
Рисунок 2. Предупреждение о вредоносном ПО, показывающее конечный результат шифрования.
Уведомление о покупке для расшифровки для восстановления файлов
Рисунок 3. Уведомление о покупке расшифровки для восстановления файлов
Если в случае, если вам удастся сделать запрошенный платеж от преступников, преступники предоставят вам URL-адрес, с которого вы можете загрузить программу для удаления шифрования из «захваченных» файлов, это программное обеспечение может содержать другое вредоносное ПО, которое, например, может активировать вредоносное ПО. Оригинал через определенное время, или просто программа не удаляет шифрование из файлов, стали известны случаи, когда неизвестная компания неоднократно становилась жертвой вредоносного ПО и, не делая предыдущую резервную копию, должна была произвести оплату всех времена, когда они были жертвами; Рекомендуется использовать внешние резервные копии на компьютере.
Что делать, если вы стали жертвой вышеупомянутого вредоносного ПО
Первый шаг - избавиться от всех следов вредоносного ПО с помощью программного обеспечения, предназначенного для этого типа работы. В нашем случае мы решили использовать Kaspersky Recue Disk, который удаляет все следы вируса без необходимости проходить через Windows. (Рис. 4)
Программа для удаления вредоносных программ, Kaspersky Rescue Disk
Рисунок 4. Программное обеспечение для удаления вредоносных программ, Kaspersky Rescue Disk
Как защитить себя от вредоносных программ
Способ избежать распространения этой вредоносной программы в первой строке - сам пользователь, не открывая неизвестные ссылки или вложения, поскольку обновленный антивирус не обеспечивает защиту от вредоносной программы, мы также можем прибегнуть к программному обеспечению CryptoPrevent (рис. 5), которое удаляет разрешения, используемые вредоносным ПО.
Криптопревент в своем состоянии регулировки.
Рисунок 5. Криптопревент в состоянии его настройки.
Выводы
Группа исследователей и тестировщиков пришла к выводу, что обнаруженное вредоносное ПО впервые в 2013 году вышло за пределы предшествующего вредоносного ПО, поскольку до этого типа вредоносного ПО остальные предназначались только для повреждения файлов и Эта вредоносная программа дестабилизировала операционную систему и сделала преступление на шаг вперед, поскольку, благодаря анонимности, она направлена на получение денежного дохода путем захвата файлов.
Прогнозы
После того, как будут проведены все исследования и полевые испытания, мы хотим предложить внедрение программного обеспечения для обеспечения безопасности под названием Cryptoprevent и чтобы правительства имели в виду регуляризацию валюты под названием BitCoin, чтобы выследить киберпреступников.
Ссылки и библиография
- http://articulos.softonic.com/cryptolocker-cryptowall-cryptofortress-eliminar-desencriptarhttp://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html
