CryptoLockerとは何か、およびそれを回避する方法– Semaltからのガイドライン

CryptoLockerはランサムウェアです。ランサムウェアのビジネスモデルは、インターネットユーザーから金銭を強奪することです。 CryptoLockerは、悪意のある「Police Virus」マルウェアが開発したトレンドを強化し、インターネットユーザーにデバイスのロック解除にお金を払うように要求します。 CryptoLockerは重要なドキュメントとファイルをハイジャックし、指定された期間内に身代金を支払うようにユーザーに通知します。

Semalt Digital ServicesのカスタマーサクセスマネージャーであるJason Adlerは、CryptoLockerのセキュリティについて詳しく説明し、それを回避するための説得力のあるアイデアを提供します。

マルウェアのインストール

CryptoLockerはソーシャルエンジニアリング戦略を適用して、インターネットユーザーをだましてダウンロードおよび実行させます。電子メールユーザーは、パスワードで保護されたZIPファイルを含むメッセージを受け取ります。このメールは、物流ビジネスを営む組織からのものであると主張しています。

このトロイの木馬は、電子メールユーザーが指定されたパスワードを使用してZIPファイルを開いたときに実行されます。ファイル名拡張子を示さないWindowsのデフォルトステータスを利用するため、CryptoLockerを検出することは困難です。被害者がマルウェアを実行すると、トロイの木馬はさまざまな活動を実行します。

a）トロイの木馬は、ユーザーのプロファイルにあるフォルダ（LocalAppDataなど）に自分自身を保存します。

b）トロイの木馬はレジストリにキーを導入します。このアクションにより、コンピュータの起動プロセス中に確実に実行されます。

c）2つのプロセスに基づいて実行されます。最初はメインプロセスです。 2つ目は、メインプロセスの終了の防止です。

ファイルの暗号化

このトロイの木馬はランダムな対称鍵を生成し、暗号化されているすべてのファイルに適用します。ファイルのコンテンツは、AESアルゴリズムと対称鍵を使用して暗号化されます。その後、ランダムキーは非対称キー暗号化アルゴリズム（RSA）を使用して暗号化されます。キーも1024ビットを超える必要があります。暗号化プロセスで2048ビットのキーが使用されたケースがあります。このトロイの木馬は、秘密RSAキーのプロバイダーが、ファイルの暗号化に使用されるランダムキーを取得することを保証します。フォレンジックアプローチを使用して上書きされたファイルを取得することはできません。

このトロイの木馬が実行されると、C＆Cサーバーから公開鍵（PK）を取得します。トロイの木馬は、アクティブなC＆Cサーバーを見つける際に、ドメイン生成アルゴリズム（DGA）を使用してランダムなドメイン名を生成します。 DGAは「メルセンヌツイスター」とも呼ばれます。アルゴリズムは、現在の日付をシードとして使用して、毎日1,000を超えるドメインを生成できます。生成されたドメインはさまざまなサイズです。

このトロイの木馬は、PKをダウンロードして、HKCUSoftwareCryptoLockerPublic Key内に保存します。このトロイの木馬は、ハードディスク内のファイルとユーザーが開いたネットワークファイルの暗号化を開始します。 CryptoLockerはすべてのファイルに影響を与えるわけではありません。マルウェアのコードに示されている拡張子を持つ実行不可能なファイルのみをターゲットにします。これらのファイル拡張子には、*。odt、*。xls、*。pptm、*。rft、*。pem、および* .jpgが含まれます。また、CryptoLockerは、HKEY_CURRENT_USERSoftwareCryptoLockerFilesに暗号化されているすべてのファイルにログインします。

暗号化プロセスの後、ウイルスは指定された期間内に身代金の支払いを要求するメッセージを表示します。支払いは、秘密鍵が破棄される前に行う必要があります。

CryptoLockerの回避

a）電子メールユーザーは、不明な人または組織からのメッセージに疑いを持つ必要があります。

b）インターネットユーザーは、マルウェアまたはウイルス攻撃の識別を改善するために、隠しファイル拡張子を無効にする必要があります。

c）重要なファイルはバックアップシステムに保存する必要があります。

d）ファイルが感染した場合、ユーザーは身代金を支払うべきではありません。マルウェア開発者に報酬を与えるべきではありません。