Cum funcționează

Propagarea

Crypto-ransomware este puţin diferit faţă de celelalte tipuri de malware tradiţionale :

• nu fură informaţiile victimei, ci dimpotrivă, le face inaccesibile
• nu încearcă să rămână ascuns după ce fișierele sunt criptate fiindcă detecţia nu va restaura fișierele
• este destul de ușor de produs, sunt multe coduri sursă valabile pe internet care pot fi modificate relativ ușor:

De asemenea, anumite atașamente pot conţine detalii: Facto.zip; firefly.zip; headband.zip . Înainte ca botnetul GOZ să fie eliminat, Cryptolocker era distribuit prin reţeaua de tip botnet, de asemenea controlul se asigura prin serverul Command and Control.

Criptarea

Cryptolocker este destul de efectiv datorită metodei de criptare, în particular acesta folosind algoritmul de criptare AES-256 simetric și RSA-2048 asimetric. Cryptolocker generează multe chei AES 256 care sunt folosite pentru criptarea tuturor fișierelor, fiecare fișier fiind criptat cu o cheie specifică AES. Aceste chei sunt de asemenea criptate, fiind folosită o cheie publică RSA-2048 unică generată care este trimisă de la serverul autorului.

Cheia este cunoscută doar de autorul malware-ului și nu este transmisă în reţea ori păstrată pe staţia infectată. Această dublă criptare face practic imposibilă decriptarea fișierelor, se estimează că, pentru a decripta o cheie RSA-2048 este nevoie de mai mult de 15 milioane de calculatoare echipate cu procesoare de ultimă generaţie, timpul necesar fiind de peste 1 an.

În momentul în care se execută, acesta se copiază în locaţiile %AppData% sau %LocalAppData%. După aceasta, va genera în regiștrii intrări de autopornire. De asemenea, extensia .exe va fi infectată pentru a șterge Shadow Volume Copies.

Lista fișierelor criptate de către Cryptolocker se va afla în regiștri:
 HKEY_CURRENT_USERSoftwareCryptoLockerFiles

Fișierele criptate
De obicei se criptează peste 100 de extensii de fișiere printre care:

Db- baze de date
Src- coduri sursă
Cad- fișiere de design
Doc- toate felurile de documente
Img- toate imaginile
Av- audio și video
Fin- toate felurile de software financiare folosite de client
.orf .pfx .odc .xlk .wpd .bay .raf .mdf .dcr .ptx .cdr.docx .pptm .dbf .kdc .pef .jpg .docm .mdb .psd .erf .srw .jpe .wps .accdb .pdd .dng .nef .crt .odp .xlsm .dxf .arw .nrw .pem .odm .xlsb .dxg .srf .eps .odb .ppt .rtf .crw .raw .indd .doc .pptx _.jpg .mrf .cer.mef .der xls .pst img .ods .xlsx .dwg

Comunicarea C&C
Dacă versiunile timpurii foloseau DGA (domain generate algorithm), acum protocoalele de comunicare au evoluat de la HTTP la ceva mai avansat și sigur (TOR și HTTPS). Versiunile de Cryptolocker mai noi pot să fure contactele locale de mail pentru a trimite mailuri de tip spam.

Money
Autorii de malware primesc banii de răscumpărare de la utilizatori prin mai multe metode de plată, însă de facto sunt: Bitcoin, Moneypack, Cash, Ukash. Preţul variază de la 300 USD până la 1000 USD . Cryptolocker are abilitatea de a cripta fișierele partajate și mapate în reţea, hard disk-uri externe, unităţi USB, unităţi de stocare cloud. Dacă un calculator din reţea se infectează, toate unităţile de reţea mapate pot fi infectate.

Măsuri de prevenţie
Prevenirea unei astfel de ameninţări este posibilă numai în stadiile incipiente ale infecţiei, înainte ca fişierele să fie criptate. Am identificat câţiva paşi care pot să blocheze în mod eficient infecţia cu malware de tip ransomware:

• să se efectueze în mod regulat backup-uri de sistem şi acestea să fie salvate offline pe hard-uri externe
• permisiuni de fişiere şi execuţie (dacă aveţi un domeniu de Windows, este posibil să setaţi o politică de grup sau pentru instalaţii locale folosind doar politică de securitate locală).

Pentru setarea manuală
 Local Security Settings>Software Restriction Policies>Additional Rules

Evident, nu este o listă completă.

• detectarea unui malware ransomware este imposibilă, din cauza faptului că antivirusurile şi soluţiile anti-malware sunt bazate pe semnături
• un sistem de antivirus cu management care să se updateze periodic
• un sistem de filtrare şi de blocare care să cuprindă –blocarea ataşamentelor exe, com, bat, zip, rar, scr
• să se folosească pop-up blocker
• utilizatorii să fie instruiţi de către departamentul IT prin politici care să prevină infecţia de malware ransomware
• instalarea unor softuri special concepute pentru prevenirea instalării cu Cryptolocker (softul CryptoPrevent realizate de către compania FoolishIT), acesta blocând automat toate politicile de restricţionare de software.

Notă pentru comunitate
Deşi pe capul lui Lucky 12345 (Bogacev) a fost pusă o recompensă de 3 milioane de dolari de către FBI, şansele să fie prins sunt destul de mici acesta fiind protejat de către anumite entităţi de pe teritoriul rusesc având în vedere că este creatorul celor mai sofisticate tool-uri de fraudă online din toate timpurile (Cryptolocker şi Gameover Zeus). Se estimează că varianta realizată de Bogacev a Cryptolocker a infectat între 250-400 de mii de calculatoare, câştigurile depăşind 30 milioane de euro.

Varianta CryptoWall a demonstrat cât de eficiente sunt softurile derivate din CryptoLocker, acesta dovedindu-se mult mai devastator decât malware-ul Cryptolocker. O funcţionalitate a acestuia face ca acesta să se încorporeze în anunţuri de pe site-urile utilizate în mod obișnuit de către utilizatori match.com, aol sau yahoo. Cryptowall a infectat peste 1 milion de useri şi a criptat peste 7 milioane de fişiere până în acest moment. Cryptowall este deja la a 3 versiune şi foloseşte TOR pentru serverele de C&C şi este puţin probabil ca acest ransomware să fie eliminat ca în cazul operaţiunii Tovar, din cauza faptului că nu mai există o mişcare globală ca în anul 2014, instabilitatea geopolitică fiind principala cauză.

Noile versiuni şi mutaţiile Cryptoloker sunt mult mai periculoase, de exemplu TorrentLocker are capabilităţi de multiplicare în reţea şi caracteristici polimorfice făcând din acesta o armă extrem de periculoasă. De asemenea, numărul de fişiere pe care le criptează este dublu faţă de Cryptolocker, fiind mult mai avansat în acest sens.

Firmele de securitate încearcă să fie cu un pas înainte, însă efortul lor nu dă roade de cele mai multe ori. Softurile realizate special pentru malware de tip ransomware sunt CryptoPrevent şi CryptoGuard, acestea venind în varianta freeware, situl www.decryptcryptolocker.com/ oferă decriptarea fişierelor cu versiunea CryptoLocker.

O abordare globală de către instituţiile ce luptă împotriva fraudei cibernetice este primordială în acest sens din cauza riscului pentru user, dar și pentru organizaţii. O contribuţie importantă în organizaţii o pot avea şi departamentele de IT, acolo unde prin proceduri specifice se poate schimba comportamentul utilizatorilor.