惡意軟件(malware) CryptoLocker ,更精確地說這是款Ransomware勒索軟件,最近在美國爆發的厲害,還沒見到國內報導。這款惡意軟件一般叫CryptoLocker或Trojan:Win32/Crilock.A,已經出現升級版了,開創了惡意軟件開發的新思路,可以說即邪又毒,給用戶數據安全構成極大危害,搞了IT快20年,我還沒見過像這樣有這麼多受感染的用戶(包括技術人員)乖乖投降的情況。
這款軟件其實劫財思路挺簡單,通過郵件傳播(一般仿冒大公司郵件),由於較新,一般安全軟件還不能完全檢測出來,如果用戶不小心點進郵件並激活該程序則迅速感染用戶所有硬盤文件,包括所有網絡上共享的文件。CryptoLocker首先向控制服務器發送獲取RSA Public Key請求
惡意軟件控制服務器對獲取RSA Public Key密鑰的應答
在獲取RSA Public Key後該軟件迅速按特定文件後綴名對每個文件產生一個256 bit AES新key用於對該文件內容進行加密(AES加密算法)
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *. wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *. cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, * .bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw , *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, * .p12, *.p7b, *.p7c
可以說涵蓋了用戶系統上所有重要的文件
再用RSA Public Key對AES密鑰進行加密
最後軟件該軟件會跳出個對話框,提醒用戶3天之內繳費300美元(原來只勒索100美元,可能物價上漲了,駭客也要漲工資了,看到網上有的乖乖繳費100美元的用戶還暗自慶幸是在漲價前交的費)。
不過不繳費呢,嘿嘿,那所有文檔都沒法用了,包括數據庫等重要文件,由於解密用的RSA Public Key相對應的RSA Private Key只有駭客有,他不給誰也解不了密,而且駭客還威脅3天后銷毀解密的密鑰。據說在收到用戶的繳費後,駭客4天后還真給解了密,目前還挺守信用。
目前安全軟件可以清除的了該軟件,但大羅神仙也解不了這些被加密的文件。網上看到大概快一半的受害用戶都交了費。該軟件目前主要攻擊公司用戶,對公司數據構成極大威脅,對家庭用戶主要加密音樂、視頻和圖片文件(如果艷照門主角照片洩露前被該軟件攻擊了就沒事了,(*^__^* )嘻嘻……)
對於該軟件防治主要是不要點擊來歷不明的郵件,全面升級安全軟件,特別是查殺惡意軟件的。最後最重要的是做好常規性數據備份,尤其是公司用戶。我遇到的受害者是一個財務會計,這個軟件竟然加密了她所有財務文件,包括服務器上共享的公司財務文件,當時她差點瘋了,還好公司有備份系統不然就玩完了。
國內的用戶(特別是公司用戶)要小心了像360什麼的目前還不能有效查殺,當然這個軟件發明者可能還沒注意到中國市場,沒做好美元和人民幣的結算,不然就要刷銀聯卡支付了。
轉錄來自:http://bbs.51cto.com/thread-1076346-1.html
相關:http://kb.wisc.edu/page.php?id=34368
關於賽門鐵克的回應
http://www.symantec.com/connect/forums/cryptolocker-and-adc-policies#comment-9320151
Hits: 2
