CryptoLocker è un trojan comparso nel tardo 2013. Questo virus è una forma di Ransomware infettante sistemi Windows, consiste nel criptare i dati della vittima e richiedere un pagamento per la decriptazione. Symantec stima che circa il 3% di chi è colpito dal malware decide di pagare. Alcune vittime dicono di aver pagato l'attaccante ma di non aver visto i propri file decifrati.

I criminali informatici sono costantemente alla ricerca di modi per evolvere il loro malware. L'evoluzione è la chiave per la sopravvivenza perché la ricerca antivirus, analisi, le contromisure, e la sensibilizzazione del pubblico contrastare l'efficacia del malware e la sua diffusione. Durante lo scorso anno, ransomware ha ricevuto un sacco di copertura di notizie che ha diminuito il numero di vittime disinformati e abbassato l'impatto e l'efficacia del malware insieme con la percentuale di ritorno al criminale.

A causa di questa maggiore consapevolezza del pubblico, nel corso dell'ultimo trimestre del 2013 abbiamo visto i criminali informatici riorganizzano intorno ad un nuovo tipo di estorsione: cryptolocker. Questa minaccia è pervasivo e prede sulla paura più grande di una vittima: perdere i loro dati preziosi. A differenza dei precedenti ransomware che ha bloccato i sistemi operativi e file di dati a sinistra da solo e di solito recuperabili, cryptolocker rende estorsione di vittime più efficace perché non c'è modo di recuperare i file bloccati senza chiave privata dell'attaccante.

Il seguente QA delinea cryptolocker e Symantec di protezione contro questo malware:

D: Qual è la differenza tra ransomware e cryptolocker (noto anche come Ransomcrypt)?

La differenza tra Ransomlock e cryptolocker Trojan è che Ransomlock Trojan generalmente bloccare schermi di computer mentre cryptolocker Trojan crittografare e bloccare i singoli file. Entrambe le minacce sono motivati ​​da guadagni monetari che i criminali informatici possono fare da estorcere denaro dalle vittime.

D: Quando è stato scoperto questa minaccia?

Nel settembre 2013 la minaccia cryptolocker ha cominciato ad essere visto allo stato selvatico.

D: Il famiglia qualcosa minaccia cryptolocker nuovo?

No. Symantec rileva altre famiglie di malware simili, come Trojan.Gpcoder (maggio 2005) e Trojan.Ransomcrypt (giugno 2009), che crittografare i file e tenere riscatto su sistemi compromessi.

D: Qual è la gravità di questa minaccia cryptolocker?

La gravità è alta. Se i file sono crittografati per cryptolocker e non si dispone di un backup del file, è probabile che il file venga perso.

D: Come faccio a sapere sono stato infettato da cryptolocker?

Una volta infettato, verrà visualizzata sullo schermo con una richiesta di riscatto.



Figura 1. domanda cryptolocker riscatto


D: Come fa una vittima infettato?

Le vittime ricevono e-mail di spam che utilizzano tattiche di social engineering per cercare di invogliare l'apertura del file zip allegato.



Figura 2. cryptolocker esempio spam e-mail


Se le vittime aprire il file zip allegato all'email, troveranno un file eseguibile camuffato per sembrare un rapporto fattura o qualche altra simile stratagemma di ingegneria sociale, a seconda del tema e-mail. Questo file eseguibile è Downloader.Upatre che scaricherà Trojan.Zbot. Una volta infettato con Trojan.Zbot, il Downloader.Upatre scarica anche Trojan.Cryptolocker sul sistema compromesso. Trojan.Cryptolocker poi si rivolge a un server di comando e controllo (CC) generata attraverso un algoritmo di generazione di dominio incorporato (DGA). Una volta che un CC attiva viene trovato, la minaccia scaricherà la chiave pubblica utilizzata per crittografare i file sul sistema compromesso, mentre la chiave privata-LINKED necessaria per decifrare il file-rimane sul server del criminale informatico. La chiave privata rimane nel controllo criminale e non può essere utilizzata senza l'accesso al server CC che cambia regolarmente.



Figura 3. cryptolocker fasi di attacco


D: Symantec ha la protezione sul posto per cryptolocker e l'altro malware associati?

Sì. Symantec è il seguente protezione in atto per questa minaccia:









Nome Detection





Tipo di rilevamento









Downloader





Antivirus firma









Downloader.Upatre





Antivirus firma









Trojan.Zbot





Antivirus firma









Trojan.Cryptolocker





Antivirus firma









G1 Trojan.Cryptolocker!





Rilevamento euristico









G2 Trojan.Cryptolocker!





Rilevamento euristico









G3 Trojan.Cryptolocker!





Rilevamento euristico









Sistema infetto: Trojan.Cryptolocker





Intrusion Prevention Signature









Clienti di Symantec che utilizzano il servizio Symantec.cloud sono anche protetti dai messaggi di spam utilizzate per fornire questo malware.

Alcune rilevazioni precedenti di Symantec che rilevano questa minaccia sono stati rinominati:



Le definizioni dei virus datate 13 novembre 2013, o prima rilevato questa minaccia come Trojan.Ransomcrypt.F

Intrusion Prevention Firma (IPS) avvisi datato 14 Novembre 2013, o prima, sono stati indicati come 'sistema infetto: Trojan.Ransomcrypt.F'



Q: Cosa la C Cs assomiglia?

I seguenti sono esempi recenti di-comando e controllo (CC) server dalla DGA:



kstattdnfujtl.info/home/

yuwspfhfnjmkxts.biz/home/

nqktirfigqfyow.org/home/



Cryptolocker può generare fino a un migliaio di nomi simili guardando a dominio al giorno nella sua ricerca di un attivo C C.

D: Come sofisticato è questa minaccia?

Mentre la campagna cryptolocker utilizza una tecnica comune di e-mail spam e ingegneria sociale per infettare le vittime, la minaccia si avvale anche di tecniche più sofisticate come la seguente:



Cryptolocker utilizza crittografia a chiave pubblica RSA 2048 con una forte crittografia. Una volta che i file vengono crittografati senza la chiave privata tenutasi sul server dell'attaccante, la vittima non sarà in grado di decifrare i file.





Cryptolocker impiega una DGA che si basa sul Mersenne Twister pseudo-generatore di numeri casuali per trovare attivo C Cs.



D: Come prevalente è la minaccia?

Symantec telemetria per questa minaccia dimostra che la minaccia è prevalente negli Stati Uniti in questo momento. Mentre i numeri che sono riportati sono bassi, la gravità dell'attacco è ancora notevole per le vittime.



Figura 4. Top 5 paesi dichiaranti rilevamenti


Q: Symantec precedentemente rilasciato eventuali pubblicazioni di tutto questi attacchi?

Sì, Symantec ha rilasciato le seguenti blog:



Cryptolocker: Una minaccia fiorente





Cryptolocker Alert: Milioni nel Regno Unito mirate in campagna di massa Spam



D: Dovrei pagare il riscatto?

No. Non si dovrebbe mai pagare un riscatto. Pagamento a criminali informatici favorisce solo le campagne più malware. Non c'è alcuna garanzia che il pagamento porterà alla decrittazione dei file.

D: Chi c'è dietro il malware cryptolocker?

Sono in corso indagini sulle criminali informatici dietro il malware cryptolocker.

D: C'è qualche consiglio su come recuperare i file colpiti da questo attacco?

Sì, supporto tecnico Symantec ha rilasciato il seguente articolo:



Recupero Ransomlocked file utilizzando strumenti incorporati di Windows



D: Qualche consiglio su come non diventare una vittima?

Sì. In primo luogo, seguire le procedure di sicurezza delle informazioni e sempre il backup dei file. Mantenere i vostri sistemi aggiornati con le ultime definizioni dei virus e le patch del software. Evitare di aprire qualsiasi email indesiderate sospette. Si consiglia inoltre ai clienti di utilizzare le più recenti tecnologie di Symantec e di integrare le più recenti soluzioni di Symantec consumatori e delle imprese per proteggere al meglio contro gli attacchi di questo tipo.

D: Il Symantec offrono backup e disaster recovery software?

Sì. Symantec è la Famiglia di Backup Exec di prodotti.