Qu'est-ce que CryptoLocker et comment l'éviter - La directive de Semalt

CryptoLocker est un ransomware. Le modèle commercial du ransomware est d'extorquer de l'argent aux internautes. CryptoLocker renforce la tendance développée par le célèbre logiciel malveillant "Police Virus" qui demande aux utilisateurs d'Internet de payer pour déverrouiller leurs appareils. CryptoLocker détourne des documents et fichiers importants et informe les utilisateurs de payer la rançon dans un délai déterminé.

Jason Adler, le Customer Success Manager de Semalt Digital Services, développe la sécurité de CryptoLocker et fournit quelques idées convaincantes pour l'éviter.

Installation de logiciels malveillants

CryptoLocker applique des stratégies d'ingénierie sociale pour inciter les internautes à le télécharger et à l'exécuter. L'utilisateur de messagerie reçoit un message contenant un fichier ZIP protégé par mot de passe. L'e-mail est censé provenir d'une organisation active dans le secteur de la logistique.

Le cheval de Troie s'exécute lorsque l'utilisateur de messagerie ouvre le fichier ZIP à l'aide du mot de passe indiqué. Il est difficile de détecter le CryptoLocker car il tire parti du statut par défaut de Windows qui n'indique pas l'extension du nom de fichier. Lorsque la victime exécute le logiciel malveillant, le cheval de Troie effectue diverses activités:

a) Le cheval de Troie se sauvegarde dans un dossier situé dans le profil de l'utilisateur, par exemple, LocalAppData.

b) Le cheval de Troie introduit une clé dans le registre. Cette action garantit qu'elle s'exécute pendant le processus de démarrage de l'ordinateur.

c) Il fonctionne sur la base de deux processus. Le premier est le processus principal. La seconde est la prévention de la fin du processus principal.

Cryptage de fichiers

Le cheval de Troie produit la clé symétrique aléatoire et l'applique à chaque fichier chiffré. Le contenu du fichier est crypté à l'aide de l'algorithme AES et de la clé symétrique. La clé aléatoire est ensuite chiffrée en utilisant l'algorithme de chiffrement à clé asymétrique (RSA). Les clés doivent également être supérieures à 1024 bits. Dans certains cas, des clés de 2048 bits ont été utilisées dans le processus de chiffrement. Le cheval de Troie garantit que le fournisseur de la clé RSA privée obtient la clé aléatoire utilisée dans le cryptage du fichier. Il n'est pas possible de récupérer les fichiers remplacés à l'aide de l'approche médico-légale.

Une fois exécuté, le cheval de Troie obtient la clé publique (PK) du serveur C&C. Pour localiser le serveur C&C actif, le cheval de Troie utilise l'algorithme de génération de domaine (DGA) pour produire les noms de domaine aléatoires. La DGA est également appelée la «tornade de Mersenne». L'algorithme applique la date actuelle comme la graine qui peut produire plus de 1 000 domaines par jour. Les domaines générés sont de différentes tailles.

Le cheval de Troie télécharge le PK et l'enregistre dans la clé publique HKCUSoftwareCryptoLockerPublic. Le cheval de Troie commence à crypter les fichiers du disque dur et les fichiers réseau ouverts par l'utilisateur. CryptoLocker n'affecte pas tous les fichiers. Il cible uniquement les fichiers non exécutables qui ont les extensions illustrées dans le code du malware. Ces extensions de fichiers incluent * .odt, * .xls, * .pptm, * .rft, * .pem et * .jpg. En outre, le CryptoLocker enregistre chaque fichier qui a été crypté dans les HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Après le processus de cryptage, le virus affiche un message demandant le paiement d'une rançon dans le délai indiqué. Le paiement doit être effectué avant la destruction de la clé privée.

Éviter CryptoLocker

a) Les utilisateurs de messagerie doivent se méfier des messages de personnes ou d'organisations inconnues.

b) Les utilisateurs d'Internet doivent désactiver les extensions de fichiers cachés pour améliorer l'identification du malware ou de l'attaque de virus.

c) Les fichiers importants doivent être stockés dans un système de sauvegarde.

d) Si des fichiers sont infectés, l'utilisateur ne doit pas payer la rançon. Les développeurs de logiciels malveillants ne devraient jamais être récompensés.