aviabiletebi
ახალი ამბები მთავარი საზოგადოება

რა არის ე.წ კრიპტოვირუსი და როგორ დავიცვათ თავი მისგან

aviabiletebi
ავიაბილეთები

“ტვ პირველის” ინფორმაციით, ცოტა ხნის წინ ტელეკომპანიის მთავარ სერვერზე მოხდა კიბერ შეტევა ე.წ კრიპტოვირუსის გამოყენებით.

“მეტრონომმა” მოიძია უცხოური წყაროებიდან ინფორმაციას იმის შესახებ თუ რა არის ე.წ კრიპტოვირუსი, როგორ მუშაობს ის და როგორ უნდა დავიცვათ მისგან თავი. აღსანიშნავია ის, რომ ვირუსი საფრთხეს უქმნის არა მარტო დიდ კომპანიებს, არამედ ჩვეულებრივ მომხმარებლებსაც.

CryptoLocker – ეს არის ე.წ გამომძალველი პროგრამების (ransomware) ნაირსახეობა, რომლის ბიზნეს მოდელიც (დიახ, მავნე პროგრამები – ეს არის ვიღაცის ბიზნეს მოდელი) დაფუძნებულია მომხმარებლებისგან თანხის გამოძალვაზე. ეს მავნე პროგრამაც მისი წინამორბედის მსგავსსად აგრძელებს იმ ტენდენციას რაც ჯერ მისმა წინამორბედმა ე.წ პოლიციის ვირუსმა დაიწყო, რომელიც მომხმარებლებს მათი კომპიუტერების განბლოკვის სანაცვლოდ თხოვდა ე.წ ჯარიმის გადახდას. ე.წ პოლიციის ვირუსისგან განსხვავებით Cryptolocker -ი ტეხავს და შიფრავს მომხმარებლების ფაილებს,მათ სანაცვლოდ კი ითხოვს გამოსასყიდს (თანხის გადახდის ვადები ძალიან შეზღუდულია).

მავნე პროგრამით ინფიცირება

მომხმარებლის ინფიცირებისთვის CryptoLocker იყენებს სოციალური ინჟინერიის ტექნიკას. უფრო კონკრეტულად კი, მსხვერპლი ვითომდა ლოჯისტიკური კომპანიისგან იღებს წერილს ელ.ფოსტაზე პაროლით დაცულ ZIP ფაილის სახით.

იმ იმედით რომ მსხვერპლი გახსნის PDF ფაილს ხსნის წერილზე მიმაგრებულ ZIP ფაილს და შეჰყავს წერილში მითითებული პაროლი, როგორც კი მსხვერპლი ხსნის აღნიშნულ ფაილს, ტროიანი ჯდება კომპიუტერის მეხსიერებაში და ასრულებს შემდეგ მოქმედებებს:

ინახავს თავის თავს პაპკაში მომხმარებლის პროფაილით (AppData, LocalAppData).
ამატებს რეესტრში გასაღებს, იმისათვის რომ კომპიუტერის ყოველ ჩართვაზე გარანტირებულად ჩაიტვირთოს მავნე პროგრამა.
რთავს ორ პროცესს: ერთი ძირითადი პროცესი, ხოლო მეორე უზრუნველყოფს იმას, რომ საწყისი პროცესი არ შეჩერდეს.

ფაილების შიფრაცია

ტროიანი ყველა იმ ფაილისთვის, რომლის დაშიფრვასაც გეგმავს ინდივიდუალურად აგენერირებს შემთხვევით სიმეტრიულ გასაღებს რომლის დახმარებითაც ფაილის შიგთავსს მთლიანად შიფრავს AES ალგორითმით. ამის შემდეგ მავნე პროგრამა შიფრავს შემთხვევით გასაღებს ასიმეტრიული ღია-დახურული გასაღებით (RSA), რომელსაც ამატებს დაშიფრულ ფაილში, რითაც
მხოლოდ RSA კოდის მფლობელს ენიჭება უფლება, რომ მიიღოს შემთხვევითი კოდი, რომელიც გამოყენებული იყო ფაილის შიფრაციის პროცესში.

გაშვების შემდეგ, პირველ რიგში ტროიანი საკუთარი სერვერიდან C&C იღებს ღია გასაღებს (PK). აქტიური სერვერის მოსაძებნად, ტროიანი რთავს დომენების გენერაციის ალგორითმს (DGA), რომელიც ცნობილია როგორც (Mersenne twister), შემთვევითი დომენების გენერაციისთვის. აღნიშნულ ალგორითმს შეუძლია გამოიყენოს მიმდინარე თარიღი და დააგენერიროს 1000 -მდე სხვადასხვა დომენი.

დომენური სახელი შედგება ლათინური – 12 დან 15 მდე სიმბოლოსგან და მორიგეობით გენერირდება შემდეგ დომენურ ზონებში:

.org
.co.ua
.info
.com
.net
.biz
.ru

წარმატებული დაკავშირების შემდეგ სერვერზე გენერირდება გასაღებების წყვილი დაშიფრვის ალგორითსმისთვის RSA-2048. დახურული გასაღები, განკუთვნილია დეშიფრაციისთვის, რომელიც ინახება სერვერზე, ხოლო ღია კოდი განკუთვნილია შიფრაციისთვის, რომელიც გადაეცემა მსხვერპლის კომპიუტერს სადაც ის ინახება რეესტრში სპეციალურად შექმნილ განყოფილებაში.

  • HKEY_CURRENT_USERSoftwareCryptoLocker_0388

ამის შემდეგ იწყება ფაილების შიფრაცია, როგორც მყარ დისკზე, ასევე ქსელში რაზეც ექნება წვდომა.

CryptoLocker არ შიფრავს ყველა ფაილს, მხოლოდ იმ გაფართოების ფაილებს რომელიც მავნე პროგრამის კოდშია გაწერილი:

CryptoLocker ინახავს ლოგებს ყველა დაშიფრულ ფაილზე შემდეგ რეესტრში:

HKEY_CURRENT_USERSoftwareCryptoLockerFiles

როდესაც ტროიანი ასრულებს ფაილების შიფრაციას ზევით მოყვანილი მექნიზმით, მას გამოაქვს სპციალური შეტყობინება, სადაც ის ითხოვს მომხმარებლებისგან გამოსასყიდს, მკვეთრად შეზღუდული გადახდის ვადით, მანამ სანამ დახურული გასაღები არ გაუქმდება მავნე პროგრამის შემქმნელის მიერ.

საინტერესოა ის ფაქტი, რომ მავნე პროგრამა დაინფიცირებულ მომხმარებლებს არ თხოვს ერთი და იგივე ოდენობის თანხას, მაგრამ შეიცავს მოსათხოვნის ვალუტის ოდენობის საკუთარ სიას.

როგორ დავიცვათ თავი

აღნიშნული მავნე პროგრამა ძირითადად ვრცელდება ელექტრონული ფოსტით სოციალური ინჟინერიის დახმარებით. შესაბამისად ჩვენი რეკომენდაცია იქნება შემდეგი:

მაქსიმალურად ფრთხილად უნდა მოიქცეთ იმ წერილებთან რომელთა ავტორიც არ იცით ვინ არის, განსაკუთრებით კი მაშინ როდესაც წერილზეა მიმაგრებული თქვენთვის უცნობი ფაილები.

შეგახსენებთ კრიტიკულად მნიშვნელოვანი ფაილებისთვის სარეზერვო კომპირების სისტემის გამოყენების აუცილებლობას. ის დაგეხმარებათ, როგორც მავნე პროგრამებისგან ასევე სხვა ხასიათის პრობლემებისგან გამოწვეული დანაკარგები მინიმუმადე დაიყვანოთ.

თუ თქვენი კომპიუტერი დაინფიცირდა და თქვენ არ ფლობთ ფაილების სარეზერვო კოპიებს, მიუხედავად ამისა ჩვენ მაინც არ გირჩევთ გამოსასყიდის გადახდას. ეს არასოდეს არ ყოფილა კარგი გადაწყვეტილება, რადგან მავნე პროგრამებს და ასეთი ტიპის შეტევებს ეს კიდევ უფრო მომგებიანს და აქტიურ ხდის.

იტვირთბა....