Pojdi na vsebino

CryptoLocker

Iz Wikipedije, proste enciklopedije

CryptoLocker je izsiljevalski program, ki se je pojavil 5.septembra 2013 in bil dejaven do konca maja 2014. Razširil se je preko elektronske pošte in velja za enega prvih izsiljevalskih programov. Je trojanski konj, ki okuži računalnik in nato išče datoteke za šifriranje. Ob okužbi izsiljevalski program ne zašifrira datotek samo na računalniku, ampak tudi na vseh drugih v računalnik povezanih medijev, kot so mrežni in zunanji diski ter USB ključi. Poleg tega zlonamerni program išče datoteke in mape, shranjene v oblaku. Ko mu uspe zakodirati vse datoteke, pošlje žrtvi obvestilo in zahteva odkupnino. V primeru, da žrtev ne plača zahtevanega zneska, storilci uničijo dešifrirni ključ, zaradi česar je onemogočeno dešifriranje podatkov. Žrtve so lahko le uporabniki, ki imajo na računalniku različico operacijskega sistema Windows, saj program ne napada drugih operacijskih sistemov, kot sta na primer MacOS in Linux.

Način delovanja

[uredi | uredi kodo]

Program se zažene, ko uporabnik v navidez neškodljivem elektronskem sporočilu odpre priloženo datoteko ZIP z ikono PDF. Za ikono PDF datoteke se v resnici skriva izvršna datoteka. Pošiljatelj preprosto doda .pdf na konec imena datoteka in Windows s funkcijo skritih razširitev prikrije dejansko razširitev .exe zlonamerne datoteke. Ko ga uporabnik zažene, CryptoLocker naredi sledeče:

  • shrani se v mapo v računu uporabnika (AppData, LocalAppData),
  • doda ključ v register, da se prepriča, da se izvaja vsakič, ko se računalnik zažene,
  • ustvari dva procesa samega sebe: eden je glavni proces, medtem ko si drugi prizadeva zaščititi glavni proces pred prekinitvijo.[1]

Ko je namizni ali prenosni računalnik okužen, so datoteke zaklenjene z uporabo asimetričnega šifriranja. Ta metoda temelji na dveh ključih, enem javnem in enem zasebnem. Hekerji šifrirajo podatke z javnim ključem, dešifrirati pa jih je mogoče le z uporabo edinstvenega zasebnega ključa, ki ga imajo. Cryptolocker bo prikazal opozorilne zaslone, ki kažejo, da bodo podatki uničeni, če uporabnik ne bo plačal odkupnine za pridobitev zasebnega ključa.[2] Žrtve morajo plačati v roku od 72 do 100 ur s kriptovaluto Bitcoin, drugače bo ključ za dešifriranje uničen. Pojavili pa so se tudi primeri, kjer so po 72 urah dvignili ceno za dešifrirni ključ. [3] Ko Cryptolocker dešifrira vse datoteke se izbriše, da lahko uporabnik ponovno pridobi svoje podatke in uporablja računalnik.[4]

Storilci in žrtve

[uredi | uredi kodo]

Jevgenij Bogačev je bil identificiran kot vodja skupine kiberkriminalcev s sedežem v Rusiji in Ukrajini, ki so odgovorni za razvoj in delovanje botneta Gameover Zeus. Le-ta je bil uporabljen za distribucijo zlonamerne programske opreme, kot je Cryptolocker. Računalniki okuženi s Cryptolockerjem so bili pogosto okuženi tudi z botnetom Gameover Zeus. Trenutno Bogačeva FBI še išče.[5]

Cryptolocker je prizadel okoli 500.000 ljudi med septembrom 2013 in majem 2014. V napadu, imenovanem »Operacija Tovar«, je skupina varnostnih strokovnjakov (FBI, Interpol, prodajalci varnostnih programov in univerz) uspela ustaviti hekerje in s tem posledično tudi Cryptolocker. Zatem je bilo ustvarjenih tudi nekaj klonov Cryptolockerja - CryptoWall, Crypt0L0cker in TorrentLocker - in nekaj podobno imenovanih, vendar nepovezanih trojancev. V zadnjih letih so izsiljevalski programi postali bolj priljubljeni v vrstah storilcev in tudi veliko nevarnejši.[6]

Posledice

[uredi | uredi kodo]

V primeru, da se žrtev okuži z izsiljevalskim programom in nima varnostnih kopij lahko izgubi vse podatke, ki so shranjeni na računalniku. Nekateri zaradi tega plačajo odkupnino, vendar nimajo nobenega zagotovila, da jim bodo povrnili vse podatke, ki so bili na računalniku. Zgodili so se že primeri, ko so žrtve plačale odkupnino, vendar dešifrirnega ključa niso prejele.Ti primeri so bili redki, saj je FBI poročal, da večina spletnih goljufov po plačilu povrne dostop do podatkov. [7]

Zaščita

[uredi | uredi kodo]

Zaščita pred izsiljevalskimi programi se, enako kot pri ostalem zlonamernem programju, začne z varno uporabo interneta. To pomeni, da uporabnik ne odpira priponk iz neznanih e-poštnih naslovov, tudi če je navedeno, da sporočilo pošilja banka ali nekdo iz organizacije, v kateri je žrtev zaposlena. Prav tako je odsvetovano prenašanje datotek z neznanih spletnih mest. V primeru, da kljub preventivnim ukrepom obstaja sum, da je računalnik okužen, je priporočljivo narediti popoln pregled sistema s protivirusnim programom. S sistemsko obnovitveno točko bo morda mogoče odkleniti datoteke, v nekaterih primerih pa to ne bo zadostovalo in bo treba uporabiti pripomoček za reševanje diska. V nobenem primeru pa ni jamstva za popolno obnovitev podatkov.

Cryptolocker lahko povzroči resno škodo osebnim in poslovnim računalnikom. Z neprestanim ustvarjanjem fizično ločene varnostne kopije kritičnih datotek, rednim izvajanjem pregledov protivirusnih programov in izogibanjem neznanim prilogam elektronske pošte se lahko zmanjša možnost okužbe. Onemogočanje razširitev skritih datotek v operacijskem sistemu Windows bo prav tako pomagalo prepoznati to vrsto napada.[2]

  1. »CryptoLocker: What Is and How to Avoid it«. Panda Security. 14. maj 2015. Arhivirano iz prvotnega spletišča dne 17. januarja 2018. Pridobljeno 16. januarja 2018.
  2. 2,0 2,1 »What is the Cryptolocker Virus?«. Kaspersky. Pridobljeno 16. januarja 2018.
  3. »Cryptolocker and its consequences for businesses«. Kaspersky. 14. januar 2015. Pridobljeno 16. januarja 2018.
  4. »Cryptolocker«. 12. januar 2018. Arhivirano iz prvotnega spletišča dne 17. januarja 2018. Pridobljeno 16. januarja 2018.
  5. »Gameover Zeus botnet disrupted«. FBI. 2. junij 2014. Pridobljeno 16. januarja 2018.
  6. »Cryptolocker«. Avast. Pridobljeno 16. januarja 2018.
  7. »FBI's Advice on Ransomware? Just Pay The Ransom«. 22. oktober 2015. Pridobljeno 17. januarja 2018.