摘要
2013年以CryptoWall,CryptoLocker和CryptoFortress的名义出现的新恶意软件;他们使用加密技术以数字方式“劫持”受害者的文件,要求获得金钱奖励,受害者通常只是可以轻松完成任务的公司,但是现在,他们不仅限于“绑架”公司,而且他们拥有的数据现在它的受害者已经是普通用户了。在这种情况下,将揭示它们的操作方式,如何识别它们,最常见的受害者以及如何保护自己免受这种新恶意软件的侵害。所有这些过程都是在虚拟环境下执行的,没有损坏物理计算机。
介绍
随着时间的流逝,新技术越来越令人惊讶,威胁也令人惊讶也就不足为奇了,新技术还要求保护自己的方式更好,更具创新性。我们的目标是更好地分析和理解这种类型的恶意软件的工作以及如何保护自己以避免进一步的损害。
方法
使用的方法是:虚拟系统,以避免损坏硬件。该恶意软件已经在Windows 7 Ultimate操作系统上进行了测试,该操作系统是使用Oracle VirtualBox程序使用虚拟驱动器创建的(图1)。
使用Windows 7创建的VirtualBox。
图1.创建了Windows 7的VirtualBox。
结果
通过进行测试,我们得出了结果,该恶意软件感染的步骤如下:
- 首先找到不可执行的文件。也就是说,它可以找到文本文件,照片,文档等。这些是将要加密的文件,将为每个文件创建一个随机对称密钥,并使用这些随机对称密钥对文件进行加密,并使用RSA对称算法对每个文件的随机对称密钥进行加密。将该密钥添加到加密文件中,每个加密文件都会覆盖原始文件,从而无法通过法医技术将其恢复(图2)。
在感染阶段和加密之后,文件唯一访问密钥的持有者似乎是罪犯,他们在随机的时间内要求每位受害者提供现金奖励(图3)。
一旦文件被加密,犯罪分子就允许我们解密单个文件,以使自己确信它们是认真的。
通过为每个受影响的人使用不同URL生成的BitCoin来支付文件的“赎金”,如果受影响人不知道该货币的使用方式和支付方式,则犯罪分子会有一部分FAQ(问题常见问题解答)和另一个教学页面,其中说明了使用BitCoin进行购买和付款的整个过程。
建议不要向犯罪分子支付任何费用,而应诉诸于本文结尾处可以找到的免费软件,但这不能确保完整恢复文件。如果您决定支付文件赎金,则必须向玻利维亚中央银行提出要求,因为玻利维亚中央银行于2014年5月6日禁止使用未经各州发行或监管的硬币。从而禁止使用比特币。
恶意软件警告,显示加密的最终结果。
图2.恶意软件警告,显示加密的最终结果。
购买通知以解密以还原文件
图3.购买解密以恢复文件的通知
如果万一您设法从罪犯那里要求付款,罪犯会给您一个URL,您可以从中下载程序以从“劫持”文件中删除加密,该软件可能包含其他恶意软件,例如,可以激活该恶意软件。经过一段时间后恢复原始状态,或者只是程序没有从文件中删除加密,这变成了已知的情况,其中未知公司反复成为恶意软件的受害者,并且无需进行以前的备份就必须全部付款他们是受害者的时代;建议对计算机使用外部备份。
如果您是上述恶意软件的受害者该怎么办
第一步是使用专用于此类工作的软件摆脱恶意软件的所有痕迹。在我们的案例中,我们选择使用卡巴斯基Recue Disk来删除病毒的所有痕迹,而无需通过Windows。(图4)
卡巴斯基救援磁盘专用于清除恶意软件的软件
图4.专门用于删除恶意软件的软件,Kaspersky Rescue Disk
如何保护自己免受恶意软件的侵害
避免这种恶意软件在第一行中传播的方法是由用户自己打开不打开未知链接或附件的方法,更新的防病毒软件不能确保对恶意软件的保护,我们还可以使用CryptoPrevent软件(图5),该软件将删除恶意软件利用的权限。
Cryptoprevent处于调整状态。
图5.处于调整状态的Cryptoprevent。
结论
研究和测试小组得出的结论是,2013年首次发现的恶意软件突破了以前的恶意软件的范围,因为在此类型的恶意软件之前,其他恶意软件仅用于破坏文件和由于操作系统的不稳定,该恶意软件将犯罪行为向前推进了一步,因为它从匿名性的角度出发,旨在通过劫持文件来产生金钱收入。
投影
完成所有研究和现场测试之后,我们想提出一种名为Cryptoprevent的安全软件的实施,并且政府应铭记对名为BitCoin的货币进行正规化以便追捕网络犯罪分子。
参考书目
- http://articulos.softonic.com/cryptolocker-cryptowall-cryptofortress-eliminar-desencriptarhttp://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html
