cryptogranarchy: Cryptolocker

Cryptolocker

Dirilis pada September 2013, CryptoLocker adalah program ransomware yang menargetkan semua versi Windows, termasuk Windows XP, Windows Vista, Windows 7, dan Windows 8. Trojan ini mengenkripsi hampir semua file menggunakan kombinasi RSA & enkripsi AES. Ketika enkripsi selesai, maka akan muncul program pembayaran CryptoLocker yang meminta Anda untuk mengirim uang tebusan sebesar $ 300 atau 300 Euro atau setara dalam mata uang lainnya dalam rangka untuk mendekripsi file. Kemudian tebusan dapat dibayar baik dengan Bitcoin atau mode Moneypak kepada pembuat malware. Sebuah batas waktu 72 jam yang diberikan untuk membayar uang tebusan; kunci dekripsi akan dihapus dari salah satu server rahasia. Setelah pembayaran diverifikasi, program ini akan mendekripsi file yang dienkripsi dengan menggunakan kunci privat RSA.

Tampilan Layar Yang Terinfeksi CryptoLocker

Sekarang, CryptoLocker telah menginfeksi lebih dari 250K komputer dan menghasilkan jutaan dolar yang hilang di seluruh dunia. Karakteristik yang paling mengganggu adalah kemampuannya untuk membodohi software perlindungan virus standar. Bahkan dengan standar keamanan yang tinggi dan perangkat lunak antivirus yang baik, maka akan sulit untuk mencegah penyusupan oleh tangan jahat CryptoLocker.

Rincian Teknis

CryptoLocker menggunakan enkripsi asimetris, yang menggunakan dua kunci yang berbeda untuk proses enkripsi dan dekripsi. Ketika terinfeksi ke dalam suatu sistem, CryptoLocker akan menyimpan sebagai file dengan nama acak ke root dari %AppData% or %LocalData% path. Kemudian entri auto start dibuat dalam registri dan CryptoLocker dimulai secara otomatis setiap kali sistem dimulai.

Ketika malware terinstal, itu membuat permintaan POST tertanam ke alamat IP atau domain tertentu seperti biz/home, co.uk/home, com/home, info/home, net/home, org/home or ru/home. C & C berfungsi berubah secara dinamis dan jika malware tidak dapat membuat sambungan ke server C & C, maka terlihat untuk C & C server akan hidup menggunakan Algoritma Generasi Domain (DGA). Algoritma DGA ini dapat menghasilkan 1K domain setiap hari dan mencari koneksi yang tersedia. Beberapa contoh nama domain DGA yang menghasilkan lcxgidtthdjje.org, kdavymybmdrew.biz, dhlfdoukwrhjc.co.uk, dan xodeaxjmnxvpv.ru. Ketika malware mendeteksi koneksi C & C, ia akan mengirimkan payload RSA terenkripsi yang berisi data tentang versi malware, System ID, ID kelompok dan bahasa sistem. The C & C menerbitkan kunci publik untuk host yang terinfeksi dan disimpan dengan informasi lain di dalam nilai-nilai di bawah Key registri HKEY_CURRENT_USERSoftwareCryptoLocker_0388. Publik Key kemudian mencari berbagai ekstensi file di komputer korban dan selanjutnya memulai proses enkripsi. Private key yang digunakan untuk dekripsi dari file yang terinfeksi tidak disimpan di komputer, tetapi pada C & C Server.

Ekstensi CryptoLocker yang mempengaruhi adalah:

* Odt., *. Ods, odp *., Odm *., ODC *., Odb *., *. Doc, *. Docx, *. Docm, *. Wps, *. Xls, *. Xlsx, *. wpd xlsm, * dxf pst mdb ppt xlsb., * xlk., *., *. pptx, PPTM *., *., * accdb., *., * dwg., *., * DXG., *., jpg * rtf., WB2 *., MDF *., DBF *., psd *., pdd *., *. pdf, *. eps, *. ai, *. pdf, * cdr., *., *. srf jpg jpe, img_ *., * dng., * .3 fr, * ARW., *., * SR2., *. bay, * crw., *. CR2, * DCR., * KDC, * erf.. PTX rw2, * mef., *. MRW, * nef., *. nrw, * orf, * raf.., * mentah, * RWL.., *., * R3D., *., PEF *., * srw., *. x3f, * p12 pfx crt cer. der, *., *., * pem., *., *., * P7B., *. p7c.

Setelah enkripsi file, ia akan menampilkan layar CryptoLocker yang menuntut uang tebusan sebesar $ 300 atau 300 Euro untuk mendekripsi file. Tebusan bisa dibayar menggunakan Bitcoin atau voucher Moneypak dengan batas waktu 72 jam atau kunci enkripsi akan hancur dari server C & C. Jika kode pembayaran salah dimasukkan, maka waktu yang diberikan untuk dekripsi file menurun.

Tampilan CryptoLocker yang memberitahukan bahwa sistem terinfeksi

File Path dan Registry Keys yang digunakan oleh CryptoLocker

File Path yang digunakan oleh CryptoLocker

File Path yang digunakan oleh CryptoLocker berada di salah satu dari format berikut: %AppData%<random.exe> and %AppData%{<8 chars>-<4 chars>-<4 chars>-<4 chars>-<12 chars>}.exe

Contoh nama file yang termasuk 'Rlatviomorjzlefba.exe' dan '{34285B07-372F-121D-311F-030FAAD0CEF3}. Exe'.

Windows XP

C: Documents and Settings <User> Application Data <random name>.exe

C: Documents and Settings <User> Local Application Data <random name>.exe

Windows Vista / 7

C: Users <User> AppData Local <random name>.exe

Registry Key digunakan dalam CryptoLocker

KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “CryptoLocker”

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce “*CryptoLocker”

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “CryptoLocker_<version_number>”

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce “*CryptoLocker_<version_number”

Berikut ini adalah versi terbaru dari CryptoLocker 0388. The * dalam entri RunOnce memberitahu Windows untuk memulai CryptoLocker bahkan dalam Safe Mode. Hal ini juga menciptakan registry key untuk menyimpan informasi konfigurasi dan file-file yang terenkripsi. Sebelumnya digunakan registry key HKEY_CURRENT_USERSoftwareCryptoLocker.

registry key yang saat ini sedang digunakan untuk menyimpan informasi konfigurasi HKEY_CURRENT_USERSoftwareCryptoLocker_0388 . Kunci ini memiliki tiga nilai registry yang mencakup Public Key, VERSIONINFO dan Wallpaper. Public Key nilai berisi public key yang digunakan untuk mengenkripsi file. VERSIONINFO berisi informasi yang meliputi versi terbaru dari malware, alamat IP dari C & C Server dan time stamp instalasi. Wallpaper value berisi informasi mengenai wallpaper yang akan ditampilkan sebagai background pada desktop komputer yang terinfeksi.

Di bawah registry key, akan ada daftar semua file yang telah dienkripsi oleh CryptoLocker. Ketika tebusan tersebut dibayarkan, dekripsi dilakukan dengan menghasilkan REG_DWORD value baru untuk setiap file yang dienkripsi. REG_DWORD value menggunakan nama path lengkap ke file yang dienkripsi dengan mengganti semua karakter garis miring (/) dengan tanda tanya (?). Contoh dari file terenkripsi di REG_WORD akan seperti C:?Users?Public?Videos?Sample Videos?Wildlife.wmv.

Metode Infeksi

CryptoLocker tampaknya telah menyebar melalui email palsu yang meniru tampilan bisnis yang sah seperti isu-isu terkait dukungan pelanggan dari FedEx, UPS, DHS, dll. malware juga menyebar melalui infeksi sebelumnya dari beberapa beberapa botnet yang sering dimanfaatkan dalam underground market.

Ada beberapa skenario dalam fase infeksi CryptoLocker. Salah satu jenis skenario infeksi adalah dengan langsung melampirkan CryptoLocker sebagai lampiran dan skenario ini dilakukan sebagai lampiran zip, dan membukanya akan menginfeksi sistem dengan menjalankan yang sama. File zip berisi executable dalam format PDF dengan icon PDF dan diberi nama dengan beberapa exe <filename>.. Namun, ekstensi exe ini. Tidak dapat dilihat, karena dengan pengaturan default Microsoft tidak menampilkan ekstensi.

Awalnya CryptoLocker dibagikan sebagai biak sendiri, dan sekarang dibundel dengan infeksi Zbot. Infeksi Zbot dapat dideteksi dengan memeriksa nilai registri HKCUSoftwareMicrosoft <random>. Salah satu skenario infeksi adalah dalam spam mail, lampiran tertanam bukan dari CryptoLocker. Sebaliknya, trojan Upatre ditambahkan sebagai lampiran dan trojan ini digunakan untuk men-download trojan Zbot, salah satu malware terkenal yang digunakan untuk mencuri kredensial perbankan. Sekarang sistem terinfeksi dengan Zbot dan pengguna berada dalam ancaman kehilangan kepercayaan dari perbankan. Kemudian Zbot pada gilirannya yang mendownload ransomware CryptoLocker dan kemudian file dalam sistem akan dienkripsi. Sekarang pengguna berada dalam keadaan membayar tebusan untuk dekripsi file.

Sekarang, varian CryptoLocker sedang didistribusikan di peer to peer situs web yang mendistribusikan perangkat lunak bajakan Adobe Photoshop dan Microsoft Office. Dengan demikian penulis malware berfokus pada penyebaran malware melalui peer to peer website.

Pesan Spam Email CryptoLocker/Zbot

Pesan spam email CryptoLocker

Berikut ini adalah daftar subyek email yang digunakan untuk mendistribusikan CryptoLocker.

USPS – Your package is available for pickup (Parcel 173145820507)
FW: Invoice <random number>
ADP payroll: Account Charge Alert
Important – attached form
FW: Last Month Remit
McAfee Always On Protection Reactivation
Scanned Image from a Xerox WorkCentre
Annual Form – Authorization to Use Privately Owned Vehicle on State Business
Fwd: IMG01041_6706015_m.zip
My resume
New Voicemail Message
Important – New Outlook Settings
Scan Data
New contract agreement.
Important Notice – Incoming Money Transfer
Notice of underreported income
Payment Overdue – Please respond
FW: Check copy
Payroll Invoice
USBANK
Symantec Endpoint Protection: Important System Update – requires immediate action

Pencegahan

Dengan mengikuti beberapa tindakan pencegahan, kita dapat menghindari infeksi oleh CryptoLocker. Ada beberapa fungsi built-in yang tersedia pada OS Windows yang dapat digunakan untuk mencegah eksekusi CryptoLocker executable.

CryptoLocker dapat dicegah dengan menghalangi pelaksanaan executable tertentu di lokasi tertentu. Software Restriction Policies Windows Group or Local Policy Editor dapat dikonfigurasi untuk memblokir eksekusi.

Local Security Policy

Local Security Policy adalah fitur dari keluarga Microsoft Windows NT dari sistem operasi yang mengontrol the working environment of user accounts and computer accounts. Group Policy menyediakan manajemen terpusat dan konfigurasi sistem operasi, aplikasi, dan user setting dalam Active Directory Environment.

Kita dapat mengkonfigurasi menggunakan Local Security Policy:

Click Start, and then click Run.
Type secpol.msc, and then click OK.
Then Click on the Software Restriction Polices->Additional Rules
Right click the “Additional Rules” and click the “New Path Rule”

Lalu akan muncul Tampilan, kita dapat memasuki jalan dan Tingkat Keamanan. Kita dapat mengatur "Terikat" rule sebagai aturan default yang memungkinkan semua program untuk menjalankan.

Then a window will pop up were we can enter the path and Tingkat Keamanan. kita dapat mengatur “Unrestricted” rule as the default rule which allows all programs to run.

Local Security Policy Interface

Mencegah pelaksanaan executable di LocalAppData dan AppData

Kita dapat menggunakan list path rule di bawah ini dan tingkat keamanan atas di windows. Dengan demikian CryptoLocker akan dinonaktifkan dari dieksekusi dalam AppData atau folder Pengaturan lokal lainnya. Dengan menetapkan aturan dalam Local Scurity Policy, jika eksekusi kemudian dilakukan di mana bahwa aturan tertentu disebut, maka event viewer alert fired dan detail diblokir dieksekusi dicatat dan ditampilkan.

Event Viewer Alert mengacu pemblokiran dieksekusi

Di bawah ini terdaftar List Path yang dapat digunakan secara efektif memblokir eksekusi CryptoLocker atau executable lainnya.

Blocking CryptoLocker exe in %AppData%

Path: %AppData%*.exe

Security Level: Disallowed

Description: Don’t allow executables to run from %AppData%.

Block CryptoLocker exe in %LocalAppData%

Path if using Windows XP: %UserProfile%Local Settings*.exe

Path if using Windows Vista/7/8: %LocalAppData%*.exe

Security Level: Disallowed

Description: Don’t allow executables to run from %AppData%.

Block executables run from archive attachments opened with WinRAR:

Path if using Windows XP: %UserProfile%Local SettingsTempRar**.exe

Path if using Windows Vista/7/8: %LocalAppData%TempRar**.exe

Security Level: Disallowed

Description: Block executables run from archive attachments opened with WinRAR.

Block executables run from archive attachments opened using Windows built-in Zip support:

Path if using Windows XP: %UserProfile%Local SettingsTemp*.zip*.exe

Path if using Windows Vista/7/8: %LocalAppData%Temp*.zip*.exe

Security Level: Disallowed

Description: Block executables run from archive attachments opened using Windows built-in Zip support.

Biasakan Aman

Langkah-langkah pencegahan yang tercantum di bawah dapat digunakan untuk mencegah infeksi CryptoLocker ke mana.

Memastikan semua karyawan sadar akan ancaman CryptoLocker dan tidak membuka e-mail yang mencurigakan atau lampiran tanpa diundang.
Jika ada email yang dicurigai memiliki lampiran, maka kewenangannya harus dikonfirmasi.
Dalam rangka mengurangi dampak, menerapkan cadangan file penting.
Mengkonfigurasi IPS dan IDS dengan Indikator relevan Kompromi (IOC) dan domain.
Konfigurasi firewall untuk memblokir IP dan domain yang terkait dengan CryptoLocker.
Hanya memberikan akses admin dan otoritas istimewa tinggi lainnya hanya untuk mereka yang berwenang. dan Mencabut dari orang-orang yang tidak memenuhi syarat.
Batasi akses ke jaringan dan drive bersama yang lainnya untuk kelompok pengguna diverifikasi atau individu.
Aktifkan update otomatis dari sistem operasi dan menerapkan semua update keamanan terbaru dan patch.
Gunakan Antivirus terkenal dan berkualitas dan memperbarui definisi virus terbaru.
Terapkan update keamanan lainnya untuk aplikasi pihak ke tiga.
Membatasi file dan akses objek, dan hanya petugas yang berwenang.
Membatasi akses ke file sensitif & memastikan personil hanya dapat mengakses data yang diperlukan untuk melakukan pekerjaan mereka.
Pastikan memperbarui tepat waktu dari semua software dengan mengaktifkan update otomatis.

Mengikuti kebiasaan browsing yang aman dan memberikan pelatihan tentang keamanan informasi dan ancaman cyber terbaru kepada karyawan secara teratur dapat mengurangi dampak untuk sebagian besar bisnis.

Mitigation

Namun, mengikuti langkah-langkah pencegahan yang disebutkan di atas tidak menjamin bahwa sistem tidak akan terpengaruh oleh CryptoLocker. Dalam kasus infeksi, ikuti langkah-langkah mitigasi yang digambarkan di bawah ini .

Tindakan Umum

Menginformasikan personil keamanan yang tepat atau Incident Response Team tentang infeksi.
Segera putuskan sistem anda dari intranet dan internet. Dengan demikian penyebaran virus dapat dicegah.
Segera matikan perangkat lunak sinkronisasi data yang secara otomatis mensinkronisasikan perubahan data Anda dengan server lain. Jika tidak, data versi sebelumnya akan diganti dan tidak dapat diganti.
Lepaskan tombol Registry dan file program untuk menghentikan program dari menjalankan proses enkripsi.
Tidak seperti program lain, CryptoLocker memunculkan dua proses itu sendiri. Jika hanya salah satu dari mereka terbunuh, proses lain akan meluncurkan yang sama. Gunakan program seperti "Process Explorer" atau "Proses Monitor" dan pilih proses pertama dan pilih "Kill Tree". Hal ini akan menghentikan kedua proses pada waktu yang sama.
Gunakan firewall untuk memblokir semua koneksi yang masuk dari Internet ke layanan yang seharusnya tidak tersedia untuk umum. Secara default, Anda harus menolak semua koneksi masuk dan hanya mengizinkan layanan Anda secara eksplisit ingin menawarkan ke dunia luar.
Menegakkan kebijakan password. Password yang kompleks menyulitkan untuk memecahkan file password pada komputer. Hal ini membantu untuk mencegah atau membatasi kerusakan ketika komputer.
Memastikan bahwa program dan pengguna komputer menggunakan tingkat terendah dari hak istimewa yang diperlukan untuk menyelesaikan tugas. Ketika diminta untuk password root atau UAC, memastikan bahwa program meminta untuk akses administrasi tingkat adalah aplikasi yang sah.
Nonaktifkan AutoPlay untuk mencegah peluncuran otomatis file executable pada jaringan dan removable drive, dan lepaskan drive bila tidak diperlukan. Jika akses tulis tidak diperlukan, mengaktifkan modus read-only jika opsi tersebut tersedia.
Matikan dan menghapus layanan yang tidak perlu. Secara default, sistem operasi banyak menginstal layanan tambahan yang tidak kritis. Layanan ini jalan serangan. Jika mereka dihapus, memiliki kurang nya jalan ancaman serangan.
Jika eksploitasi ancaman satu atau lebih layanan jaringan, menonaktifkan atau memblokir akses ke layanan tersebut sampai patch diterapkan.
Konfigurasi server email Anda untuk memblokir atau menghapus email yang berisi lampiran file yang umum digunakan untuk menyebarkan ancaman, seperti vbs., Bat., Exe., Pif. Dan. File scr.
Untuk mengembalikan file, Anda harus dapat menggunakan "Shadow Volume Copies" yang inbuilt di Windows Vista, Windows 7, dan Windows 8.
Mengaktifkan System Restore pada komputer memungkinkan untuk mengembalikan versi sebelumnya dari file terenkripsi sekali virus telah dihapus.
Menerapkan Software Restriction Kebijakan (SRPs) untuk mencegah program-program seperti CryptoLocker dari mengeksekusi dalam direktori umum seperti %AppData% atau %LocalAppData%.
Gunakan Group Policy Objects (GPO) untuk membuat dan membatasi hak akses pada registry key yang digunakan oleh CryptoLocker, seperti HKCUSOFTWARECryptoLocker (dan varian). Jika malware tidak dapat membuka dan menulis ke kunci ini, itu berakhir sebelum enkripsi file.

Sampai sekarang, tidak ada cara untuk memulihkan kunci pribadi dan melaksanakan dekripsi secara manual. Jadi satu-satunya cara untuk menyelesaikan dekripsi file adalah dengan membayar uang tebusan. Ketika tebusan tersebut dibayarkan, proses dekripsi akan dimulai dan layar verifikasi pembayaran akan ditampilkan. Biasanya proses dekripsi ini memakan waktu sekitar 3 sampai 4 jam. Namun, selama proses ini beberapa file tidak dapat didekripsi, tapi ini tidak mempengaruhi sisa proses.

Varian CryptoLocker atau CryptoLocker 2.0

CryptoLocker 2.0 - varian dari CryptoLocker yang beroperasi pada cara yang sama telah banyak tersebar di Internet. Varian ini setelah infeksi mencari ekstensi file yang dapat mengenkripsi dan kemudian muncul keluar layar tampilan yang menuntut uang tebusan. Varian ini juga menggunakan kunci publik RSA yang sama, tetapi dari RSA-1024. Sebelumnya CryptoLocker menggunakan RSA-2048. Namun varian ini tidak menampilkan penghitung waktu mundur untuk membayar tebusan bagi kunci dekripsi. Juga varian ini hanya menerima uang tebusan melalui Bitcoins, tetapi versi sebelumnya menerima uang tebusan melalui Bitcoin, Moneypak, Ukash atau CashU.

Varian ini menggunakan bahasa pemrograman C #, sedangkan versi sebelumnya menggunakan Visual C + +. Juga file dan registri key juga berbeda dari versi sebelumnya. CryptoLocker 2.0 juga menargetkan user normal dengan mengenkripsi ekstensi file seperti file gambar, file musik dan file video lainnya.

Di sini, di CryptoLocker 2.0 menggunakan algoritma enkripsi 3DES untuk mengenkripsi file, tetapi dalam CryptoLocker menggunakan algoritma AES untuk enkripsi.