CryptoLocker是一种于2013年下半年出现的特洛伊木马,以勒索软件的形式出现的恶意软件,以Microsoft Windows操作系统为主要攻击目标,所派生的变种也向Linux等操作系统及特定厂牌的网络存储设备(NAS)攻击。CryptoLocker会伪装成一个合法的电子邮件附件或.exe格式文件;如果被活化,该恶意软件就会使用RSA公钥加密与AES秘钥的形式,加密本地与内部网的特定类型文件;而私人密钥则把持在恶意软件所控制的服务器上。该蠕虫会显示一则消息,表示如果在规定的期限进行付款(经由比特币或其他储值管道),就能够解密这些文件,否则私人密钥将会被销毁,再也不能打开这些文件。如果在期限之内,该恶意软件还会提供一个由恶意软件控制的在线服务提供解密,但要付出高额的比特币。
即使CryptoLocker本身很容易清除,但是这些已经被加密的文件,对于研究者而言是无法被解开的。部分研究者认为如果不付款给勒索者,就没有其他方法能够解密这些文件;另外的研究者则说付款给勒索者是唯一能在未备份的情形下,让文件解密的方法。
CryptoLocker通常会以电子邮件附件的类型,包装成一个看似无害的电子邮件(通常使用合法公司的电子邮件外观)进行发送,或是经由僵尸网络发送。所附上的ZIP文件格式包含了一个可执行的文件,通常是使用伪装的PDF文件附文件名与文件名称,利用Windows系统当中的文件扩展名规则,掩饰真正的EXE扩展名形式文件。部分情况下则会实际含有宙斯特洛伊木马病毒,以进行安装CryptoLocker。首次引导时,有效负载会以随机的名称,自行安装于我的文档,并于注册表登录一个编码,会导致于引导时引导。然后,该恶意软件会尝试连接被勒索者所控制的服务器与指令,一旦成功连接,该服务器就会产生一个2048位的RSA加密密钥配对,并且提交公开密钥到被感染的电脑。该服务器可能是一个本地代理服务器或其他的代理服务器,会频繁地在不同国家间进行重定位,增加追踪的困难度。
该有效负载会将整个硬盘与相链接的网络硬盘中的文件,利用公开密钥进行加密,并将文件加密的纪录送入一个登录码。这个过程中,仅会将特定附文件名的资料文件进行加密,例如Microsoft Office、OpenDocument与其他的文件、图像与AutoCAD文件。有效负载接者会显示一则消息,告知用户文件已经被加密,并必须经由预储值管道(如MoneyPak或Ukash)支付300美元或欧元,或是2比特币,才能解开这些文件。付款动作必须在72至100小时内完成,否则私人密钥将会在服务端摧毁,并且“将永远没有人能打开这些文件。”勒索付款后,会允许用户下载一个解密程序,然后预载用户的私人密钥。
2013年11月,CryptoLocker的操作者开放了一个在线服务,允许用户不用CryptoLocker程序就能解密文件,并且必须于截止时间前下载解密密钥;这个过程包含了将解密文件样本上传到恶意软件的网站,然后在24小时内,网站会依据请求,查找匹配的密钥。一旦匹配成功,用户就能够进行在线付款;如果72小时的期限已过,付款价格将会增长到10比特币(在2013年11月上旬,换算汇率为超过3500美元)。
安全软件可能无法侦测到CryptoLocker,或只能在解密进行或完成后才会被侦测到。如果该攻击能在早期被起疑或侦测到,该恶意软件有时只会加密一小部分的文件;立即清除该恶意软件(这本身就是一个相对简单的程序)理论上可以降低资料的伤害数量。专家建议的预防方式,包含使用软件或其他安全策略,阻挡CryptoLocker的有效负荷完全被占据。平常勤于备份重要文件,并离线、异地存储,使得文件遭勒索软件加密后,尚有机会可从备份还原。
由于该文件的操作性质,一些专家坦承支付给勒索者是在缺乏备份还原(尤其是不经由网络连接下的离线备份,或是从连续资料保护系统的备份进行还原)下的唯一方式。由于密钥的长度是由CryptoLocker所操纵,可以预见地,这些被加密的文件无法暴力破解,在不付款的情况下解密文件;相似的例子为2008年的蠕虫病毒Gpcode.AK,使用的是1024位的加密,相信这个加密程度太大,导致无法以分布式计算,或是发现漏洞的方式打破加密的内容。赛门铁克估计至少3%被感染的用户会采用付款方式解决。
2013年10月下旬,卡巴斯基报告其DNS陷阱已经创建完成,可以在部分域名用户接触到CryptoLocker时进行阻挡。
