2013年の終わりに、新しい脅威の最初の兆候が現れました。これは、サイバー犯罪者によって実行される最も有益なタイプの攻撃の1つになります。 Cryptolockerは最も人気のあるランサムウェアファミリであり、最終的にはこのタイプのすべての脅威の名前として使用されるようになりました。
この脅威は常に同じシナリオに従って機能します。文書を暗号化し、暗号化された文書を回復するには身代金が必要です。
今年、Cryptolockerの原則についてすでに説明しました 。 後のファイル暗号化の方法について簡単に説明します マルウェアのインストール。
このトロイの木馬は、暗号化するファイルごとにランダムな対称キーを生成し、その後、このキーを使用してAESアルゴリズムを使用してファイルのコンテンツを暗号化します。 次に、プログラムは非対称公開鍵(RSA)と1024ビットより長い鍵を使用した暗号化アルゴリズムを使用してランダムな鍵を暗号化し(2048ビットの長さの鍵を使用したサンプルを見ました)、暗号化されたファイルに追加します。 したがって、トロイの木馬は、RSA秘密キーの所有者のみがファイルの暗号化に使用されたランダムキーを受信できるようにします。 また、コンピューターファイルは上書きされるため、特別な方法でアクセスすることはできません。
図 トロイの木馬が起動されると、C&Cサーバーから公開鍵(PK)を受け取ります。 アクティブなC&Cサーバーを見つけるために、トロイの木馬には、ランダムなドメイン名を生成するためのドメイン生成アルゴリズム(DGA)または「Mersenne twister」が含まれています。 このアルゴリズムは、現在の日付をベースとしており、毎日固定サイズの最大1000個の異なるドメインを生成できます。 (注。画像の品質により、コードを完全に再現することはできません) 。
トロイの木馬はPKをダウンロードした後、WindowsレジストリキーHKCUSoftwareCryptoLockerPublic Keyに保存します。
次に、トロイの木馬は、コンピューターのハードドライブと、アクセスしている感染ユーザーの各ネットワークドライブ上のファイルを暗号化します。
図 CryptoLockerは、見つかったすべてのファイルを暗号化しませんが、悪意のあるコードに含まれる拡張子を持つ非実行可能ファイルのみを暗号化します。
さらに、CryptoLockerは、暗号化された各ファイルをレジストリキーに記録します。HKEY_CURRENT_USERSoftwareCryptoLockerFiles
図 上記の条件を満たす各ファイルの暗号化を完了すると、トロイの木馬はこのメッセージを表示し、ユーザーに身代金の支払いを求め、マルウェアの作成者によって秘密鍵が破壊されるまでの期間に支払いを送信する時間を制限します。
図 悪意のあるプログラムは、ユーザーに同じ金額を要求するのではなく、独自の通貨換算表を含んでいます。
通常、サイバー犯罪者は、被害者のIPアドレスで被害者を特定し、被害者の母国語で身代金を支払う方法を説明するメッセージを表示します。 多くの場合、支払いはビットコインを介して行われなければならず、ランサムウェアとのすべての連絡はTorを介して行われます。これは、ハッカーが法執行機関に到達できないままにするのに役立ちます。
これらの攻撃は2014年にますます一般的になりましたが、最初は個人を標的としていましたが、その後企業で攻撃が開始され、収益性が高まりました。盗まれた情報は企業にとって非常に重要であり、身代金は通常300以内ですユーロ)は、あらゆる企業に対応しています。
2015年に、 サイバー犯罪者が攻撃を改善して、邪魔になる可能性のあるセキュリティ機能を克服しようとする方法を見ました。
•ファイルの暗号化時にエラーが発生しなくなりました。 これらのエラーにより、セキュリティソリューションの開発者は身代金なしでドキュメントを回復するためのユーティリティを作成できました。
•新しい脅威ファミリーが登場しました-現時点で最も人気のあるタイプの脅威になっているCryptolockerを使用するサイバー犯罪グループが増えています。
•それらはすべて、支払い手段としてビットコインを使用しているため、追跡することは事実上不可能です。
•彼らは2つの配布モードに焦点を合わせました。
oエクスプロイトを通じて;
oアーカイブされた添付ファイルとしてのメール
•サイバー犯罪者は新しい形式の攻撃を作成していますが、Windows 10にデフォルトで付属しているPowerShellスクリプトの使用を開始したことはすでに見てきました。
•モバイルデバイスに関しては、いくつかの攻撃(たとえば、デバイスのアクセスコードを変更する攻撃)を確認しましたが、依然としてルールの例外です。
クリプトロッカーから身を守る方法
独自の保護に関しては、Cryptolockerには従来のマルウェアとの特定の違いがあることに注意する必要があります:これは絶え間ない脅威ではありません(ドキュメントを暗号化した後、システムにこの脅威を残す必要はなく、一部のサンプルは自分自身を削除することさえありません)脅威がウイルス対策によって検出されること。 サイバー犯罪者にとっては、検出の瞬間よりも前にこの攻撃を開始できるという事実のみが重要であり、その後は重要ではなくなります。
現在、従来の検出形式は多くの場合役に立たない。 各攻撃の前に、これらのテクノロジーが特定のパターンを検出できないことを確認します。そうでない場合、検出を回避するために小さな変更を加えることができます。 行動分析では、ほとんどの場合、こうした脅威が何をするかを検出できません。 彼らは通常、ファイルを完全に暗号化するために作業システムに自分自身をインストールします。これにより、このプロセスは通常のコンピューターのように見えます。
しかし、コンピューターで実行されているすべてのプロセスを追跡するAdaptive Defense 360のようなシステムは、ドキュメントを暗号化する前に暗号作成者からの攻撃をタイムリーに阻止する効果的な方法です。
デモコンソールを使用して、Adaptive Defense 360の機能を評価します(製品をインストールする必要はありません)。
デモコンソールは、ユーザー、プロファイルなどの設定に関する特定の情報を既に持っているPanda Adaptive Defense 360のデモ用に設計されており、実際の作業に可能な限り近いモードでコンソールを評価できます。
完全なデモアクセス
ログイン:DRUSSIAN_FEDERATION_C13@panda.com
パスワード:DRUSSIAN#123
注:デモコンソールの表示時に行われた製品設定の変更は、毎日リセットされます。