fbpx
维基百科

CryptoLocker

十月 23, 2023

CryptoLocker是一種於2013年下半年出現的特洛伊木馬,以勒索軟體的形式出現的惡意軟體,以Microsoft Windows作業系統為主要攻擊目標,所衍生的變種也向Linux等作業系統及特定廠牌的網路儲存設備(NAS)攻擊。CryptoLocker會偽裝成一個合法的電子郵件附件或.exe格式檔案;如果被活化,該惡意軟體就會使用RSA公鑰加密AES秘鑰的形式,加密本地與內部網路的特定類型檔案;而私人金鑰則把持在惡意軟體所控制的伺服器上。該蠕蟲會顯示一則訊息,表示如果在規定的期限進行付款(經由比特幣或其他儲值管道),就能夠解密這些檔案,否則私人金鑰將會被銷毀,再也不能打開這些檔案。如果在期限之內,該惡意軟體還會提供一個由惡意軟體控制的線上服務提供解密,但要付出高額的比特幣。

CryptoLocker
別名Crypt0L0cker
分類惡意軟體
感染系统特洛伊木馬
發現時間2014年6月2日

即使CryptoLocker本身很容易清除,但是這些已經被加密的檔案,對於研究者而言是無法被解開的。部分研究者認為如果不付款給勒索者,就沒有其他方法能夠解密這些檔案;另外的研究者則說付款給勒索者是唯一能在未備份的情形下,讓檔案解密的方法。

運作 编辑

CryptoLocker通常會以電子郵件附件的型態,包裝成一個看似無害的電子郵件(通常使用合法公司的電子郵件外觀)進行傳送,或是經由殭屍網路發送。所附上的ZIP檔案格式包含了一個可執行的檔案,通常是使用偽裝的PDF文件附檔名與檔案名稱,利用Windows系統當中的文件擴展名規則,掩飾真正的EXE副檔名形式檔案。部份情況下則會實際含有宙斯特洛伊木馬病毒,以進行安裝CryptoLocker[1][2]。首次啟動時,有效負載會以隨機的名稱,自行安裝於我的文件,並於登錄檔登錄一個編碼,會導致於開機時啟動。然後,該惡意軟體會嘗試連接被勒索者所控制的伺服器與指令,一旦成功連接,該伺服器就會產生一個2048位元的RSA加密金鑰配對,並且送出公開金鑰到被感染的電腦[1][3]。該伺服器可能是一個本地代理伺服器或其他的代理伺服器,會頻繁地在不同國家間進行重定位,增加追蹤的困難度[4][5]

該有效負載會將整個硬碟與相連結的網路硬碟中的檔案,利用公開金鑰進行加密,並將檔案加密的紀錄送入一個登錄碼。這個過程中,僅會將特定附檔名的資料檔案進行加密,例如Microsoft OfficeOpenDocument與其他的文件、圖像與AutoCAD檔案[2]。有效負載接者會顯示一則訊息,告知用戶檔案已經被加密,並必須經由預儲值管道(如MoneyPak或Ukash)支付300美元或歐元,或是2比特幣,才能解開這些檔案。付款動作必須在72至100小時內完成,否則私人金鑰將會在伺服器端摧毀,並且「將永遠沒有人能打開這些檔案[1][3]。」勒索付款後,會允許用戶下載一個解密程式,然後預載用戶的私人金鑰[1]

2013年11月,CryptoLocker的操作者開放了一個線上服務,允許用戶不用CryptoLocker程式就能解密檔案,並且必須於截止時間前下載解密金鑰;這個過程包含了將解密檔案樣本上傳到惡意軟體的網站,然後在24小時內,網站會依據請求,尋找匹配的金鑰。一旦匹配成功,用戶就能夠進行線上付款;如果72小時的期限已過,付款價格將會增長到10比特幣(在2013年11月上旬,換算匯率為超過3500美元)[6][6][7]

防災與解災 编辑

安全軟體可能無法偵測到CryptoLocker,或只能在解密進行或完成後才會被偵測到。如果該攻擊能在早期被起疑或偵測到,該惡意軟體有時只會加密一小部分的檔案;立即清除該惡意軟體(這本身就是一個相對簡單的程序)理論上可以降低資料的傷害數量[8][9]。專家建議的預防方式,包含使用軟體或其他安全策略,阻擋CryptoLocker的有效負荷完全被佔據[1][2][3][5][8]。平常勤於備份重要檔案,並離線、異地儲存,使得檔案遭勒索軟體加密後,尚有機會可從備份還原。

由於該檔案的操作性質,一些專家坦承支付給勒索者是在缺乏備份還原(尤其是不經由網路連接下的離線備份,或是從連續資料保護系統的備份進行還原)下的唯一方式。由於金鑰的長度是由CryptoLocker所操縱,可以預見地,這些被加密的檔案無法暴力破解,在不付款的情況下解密檔案;相似的例子為2008年的蠕蟲病毒Gpcode.AK,使用的是1024位元的加密,相信這個加密程度太大,導致無法以分散式計算,或是發現漏洞的方式打破加密的內容[1][7][10][11]賽門鐵克估計至少3%被感染的用戶會採用付款方式解決[5]

2013年10月下旬,卡巴斯基報告其DNS陷阱已經建立完成,可以在部分域名用戶接觸到CryptoLocker時進行阻擋[12]

變種 编辑

  • Crypt0L0cker 類似CryptoLocker的勒索軟體

參考文獻 编辑

  1. ^ 1.0 1.1 1.2 1.3 1.4 1.5 Abrams, Lawrence. CryptoLocker Ransomware Information Guide and FAQ. Bleeping Computer. [25 October 2013]. (原始内容于2013-11-17). 
  2. ^ 2.0 2.1 2.2 Cryptolocker: How to avoid getting infected and what to do if you are. Computerworld. [25 October 2013]. (原始内容于2013-10-30). 
  3. ^ 3.0 3.1 3.2 You’re infected—if you want to see your data again, pay us $300 in Bitcoins. Ars Technica. [23 October 2013]. (原始内容于2016-11-10). 
  4. ^ Destructive malware "CryptoLocker" on the loose - here's what to do. Naked Security. Sophos. [23 October 2013]. (原始内容于2017-05-08). 
  5. ^ 5.0 5.1 5.2 CryptoLocker attacks that hold your computer to ransom. The Guardian. [23 October 2013]. (原始内容于2013-11-18). 
  6. ^ 6.0 6.1 CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. NetworkWorld. [5 November 2013]. (原始内容于2013-11-05). 
  7. ^ 7.0 7.1 CryptoLocker creators try to extort even more money from victims with new service. PC World. [5 November 2013]. (原始内容于2017-04-30). 
  8. ^ 8.0 8.1 Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY. The Register. [18 October 2013]. (原始内容于2016-11-10). 
  9. ^ Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know. Malwarebytes Unpacked. [19 October 2013]. (原始内容于2016-03-14). 
  10. ^ Naraine, Ryan. . ZDnet. 6 June 2008 [25 October 2013]. (原始内容存档于2008-08-03). 
  11. ^ Lemos, Robert. . SecurityFocus. 13 June 2008 [25 October 2013]. (原始内容存档于2016-03-03). 
  12. ^ . SecureList. Kapersky. [30 October 2013]. (原始内容存档于2013年10月29日). 

外部連結 编辑

  • Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013. Cisco Security Intelligence Operations Portal. San Jose, CA, USA: Cisco Systems. 2013-10-14 [2013-10-30]. (原始内容于2013-11-02). 

十月 23, 2023
cryptolocker, 是一種於2013年下半年出現的特洛伊木馬, 以勒索軟體的形式出現的惡意軟體, 以microsoft, windows作業系統為主要攻擊目標, 所衍生的變種也向linux等作業系統及特定廠牌的網路儲存設備, 攻擊, 會偽裝成一個合法的電子郵件附件或, exe格式檔案, 如果被活化, 該惡意軟體就會使用rsa公鑰加密與aes秘鑰的形式, 加密本地與內部網路的特定類型檔案, 而私人金鑰則把持在惡意軟體所控制的伺服器上, 該蠕蟲會顯示一則訊息, 表示如果在規定的期限進行付款, 經由比特幣或其他儲. CryptoLocker是一種於2013年下半年出現的特洛伊木馬 以勒索軟體的形式出現的惡意軟體 以Microsoft Windows作業系統為主要攻擊目標 所衍生的變種也向Linux等作業系統及特定廠牌的網路儲存設備 NAS 攻擊 CryptoLocker會偽裝成一個合法的電子郵件附件或 exe格式檔案 如果被活化 該惡意軟體就會使用RSA公鑰加密與AES秘鑰的形式 加密本地與內部網路的特定類型檔案 而私人金鑰則把持在惡意軟體所控制的伺服器上 該蠕蟲會顯示一則訊息 表示如果在規定的期限進行付款 經由比特幣或其他儲值管道 就能夠解密這些檔案 否則私人金鑰將會被銷毀 再也不能打開這些檔案 如果在期限之內 該惡意軟體還會提供一個由惡意軟體控制的線上服務提供解密 但要付出高額的比特幣 CryptoLocker別名Crypt0L0cker分類惡意軟體感染系统特洛伊木馬發現時間2014年6月2日即使CryptoLocker本身很容易清除 但是這些已經被加密的檔案 對於研究者而言是無法被解開的 部分研究者認為如果不付款給勒索者 就沒有其他方法能夠解密這些檔案 另外的研究者則說付款給勒索者是唯一能在未備份的情形下 讓檔案解密的方法 目录 1 運作 2 防災與解災 3 變種 4 參考文獻 5 外部連結運作 编辑CryptoLocker通常會以電子郵件附件的型態 包裝成一個看似無害的電子郵件 通常使用合法公司的電子郵件外觀 進行傳送 或是經由殭屍網路發送 所附上的ZIP檔案格式包含了一個可執行的檔案 通常是使用偽裝的PDF文件附檔名與檔案名稱 利用Windows系統當中的文件擴展名規則 掩飾真正的EXE副檔名形式檔案 部份情況下則會實際含有宙斯特洛伊木馬病毒 以進行安裝CryptoLocker 1 2 首次啟動時 有效負載會以隨機的名稱 自行安裝於我的文件 並於登錄檔登錄一個編碼 會導致於開機時啟動 然後 該惡意軟體會嘗試連接被勒索者所控制的伺服器與指令 一旦成功連接 該伺服器就會產生一個2048位元的RSA加密金鑰配對 並且送出公開金鑰到被感染的電腦 1 3 該伺服器可能是一個本地代理伺服器或其他的代理伺服器 會頻繁地在不同國家間進行重定位 增加追蹤的困難度 4 5 該有效負載會將整個硬碟與相連結的網路硬碟中的檔案 利用公開金鑰進行加密 並將檔案加密的紀錄送入一個登錄碼 這個過程中 僅會將特定附檔名的資料檔案進行加密 例如Microsoft Office OpenDocument與其他的文件 圖像與AutoCAD檔案 2 有效負載接者會顯示一則訊息 告知用戶檔案已經被加密 並必須經由預儲值管道 如MoneyPak或Ukash 支付300美元或歐元 或是2比特幣 才能解開這些檔案 付款動作必須在72至100小時內完成 否則私人金鑰將會在伺服器端摧毀 並且 將永遠沒有人能打開這些檔案 1 3 勒索付款後 會允許用戶下載一個解密程式 然後預載用戶的私人金鑰 1 2013年11月 CryptoLocker的操作者開放了一個線上服務 允許用戶不用CryptoLocker程式就能解密檔案 並且必須於截止時間前下載解密金鑰 這個過程包含了將解密檔案樣本上傳到惡意軟體的網站 然後在24小時內 網站會依據請求 尋找匹配的金鑰 一旦匹配成功 用戶就能夠進行線上付款 如果72小時的期限已過 付款價格將會增長到10比特幣 在2013年11月上旬 換算匯率為超過3500美元 6 6 7 防災與解災 编辑安全軟體可能無法偵測到CryptoLocker 或只能在解密進行或完成後才會被偵測到 如果該攻擊能在早期被起疑或偵測到 該惡意軟體有時只會加密一小部分的檔案 立即清除該惡意軟體 這本身就是一個相對簡單的程序 理論上可以降低資料的傷害數量 8 9 專家建議的預防方式 包含使用軟體或其他安全策略 阻擋CryptoLocker的有效負荷完全被佔據 1 2 3 5 8 平常勤於備份重要檔案 並離線 異地儲存 使得檔案遭勒索軟體加密後 尚有機會可從備份還原 由於該檔案的操作性質 一些專家坦承支付給勒索者是在缺乏備份還原 尤其是不經由網路連接下的離線備份 或是從連續資料保護系統的備份進行還原 下的唯一方式 由於金鑰的長度是由CryptoLocker所操縱 可以預見地 這些被加密的檔案無法暴力破解 在不付款的情況下解密檔案 相似的例子為2008年的蠕蟲病毒Gpcode AK 使用的是1024位元的加密 相信這個加密程度太大 導致無法以分散式計算 或是發現漏洞的方式打破加密的內容 1 7 10 11 賽門鐵克估計至少3 被感染的用戶會採用付款方式解決 5 2013年10月下旬 卡巴斯基報告其DNS陷阱已經建立完成 可以在部分域名用戶接觸到CryptoLocker時進行阻擋 12 變種 编辑Crypt0L0cker 類似CryptoLocker的勒索軟體參考文獻 编辑 1 0 1 1 1 2 1 3 1 4 1 5 Abrams Lawrence CryptoLocker Ransomware Information Guide and FAQ Bleeping Computer 25 October 2013 原始内容存档于2013 11 17 2 0 2 1 2 2 Cryptolocker How to avoid getting infected and what to do if you are Computerworld 25 October 2013 原始内容存档于2013 10 30 3 0 3 1 3 2 You re infected if you want to see your data again pay us 300 in Bitcoins Ars Technica 23 October 2013 原始内容存档于2016 11 10 Destructive malware CryptoLocker on the loose here s what to do Naked Security Sophos 23 October 2013 原始内容存档于2017 05 08 5 0 5 1 5 2 CryptoLocker attacks that hold your computer to ransom The Guardian 23 October 2013 原始内容存档于2013 11 18 6 0 6 1 CryptoLocker crooks charge 10 Bitcoins for second chance decryption service NetworkWorld 5 November 2013 原始内容存档于2013 11 05 7 0 7 1 CryptoLocker creators try to extort even more money from victims with new service PC World 5 November 2013 原始内容存档于2017 04 30 8 0 8 1 Leyden Josh Fiendish CryptoLocker ransomware Whatever you do don t PAY The Register 18 October 2013 原始内容存档于2016 11 10 Cannell Joshua Cryptolocker Ransomware What You Need To Know Malwarebytes Unpacked 19 October 2013 原始内容存档于2016 03 14 Naraine Ryan Blackmail ransomware returns with 1024 bit encryption key ZDnet 6 June 2008 25 October 2013 原始内容存档于2008 08 03 Lemos Robert Ransomware resisting crypto cracking efforts SecurityFocus 13 June 2008 25 October 2013 原始内容存档于2016 03 03 Cryptolocker Wants Your Money SecureList Kapersky 30 October 2013 原始内容存档于2013年10月29日 外部連結 编辑Threat Outbreak Alert Email Messages Distributing Malicious Software on October 11 2013 Cisco Security Intelligence Operations Portal San Jose CA USA Cisco Systems 2013 10 14 2013 10 30 原始内容存档于2013 11 02 取自 https zh wikipedia org w index php title CryptoLocker amp oldid 78400952, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。