CryptoLocker

✍ dations ◷ 2025-08-05 22:52:38 #勒索软件,网络攻击

CryptoLocker是一种于2013年下半年出现的特洛伊木马,以勒索软件的形式出现的恶意软件,以Microsoft Windows操作系统为主要攻击目标,所派生的变种也向Linux等操作系统及特定厂牌的网络存储设备(NAS)攻击。CryptoLocker会伪装成一个合法的电子邮件附件或.exe格式文件;如果被活化,该恶意软件就会使用RSA公钥加密与AES秘钥的形式,加密本地与内部网的特定类型文件;而私人密钥则把持在恶意软件所控制的服务器上。该蠕虫会显示一则消息,表示如果在规定的期限进行付款(经由比特币或其他储值管道),就能够解密这些文件,否则私人密钥将会被销毁,再也不能打开这些文件。如果在期限之内,该恶意软件还会提供一个由恶意软件控制的在线服务提供解密,但要付出高额的比特币。

即使CryptoLocker本身很容易清除,但是这些已经被加密的文件,对于研究者而言是无法被解开的。部分研究者认为如果不付款给勒索者,就没有其他方法能够解密这些文件;另外的研究者则说付款给勒索者是唯一能在未备份的情形下,让文件解密的方法。

CryptoLocker通常会以电子邮件附件的类型,包装成一个看似无害的电子邮件(通常使用合法公司的电子邮件外观)进行发送,或是经由僵尸网络发送。所附上的ZIP文件格式包含了一个可执行的文件,通常是使用伪装的PDF文件附文件名与文件名称,利用Windows系统当中的文件扩展名规则,掩饰真正的EXE扩展名形式文件。部分情况下则会实际含有宙斯特洛伊木马病毒,以进行安装CryptoLocker。首次引导时,有效负载会以随机的名称,自行安装于我的文档,并于注册表登录一个编码,会导致于引导时引导。然后,该恶意软件会尝试连接被勒索者所控制的服务器与指令,一旦成功连接,该服务器就会产生一个2048位的RSA加密密钥配对,并且提交公开密钥到被感染的电脑。该服务器可能是一个本地代理服务器或其他的代理服务器,会频繁地在不同国家间进行重定位,增加追踪的困难度。

该有效负载会将整个硬盘与相链接的网络硬盘中的文件,利用公开密钥进行加密,并将文件加密的纪录送入一个登录码。这个过程中,仅会将特定附文件名的资料文件进行加密,例如Microsoft Office、OpenDocument与其他的文件、图像与AutoCAD文件。有效负载接者会显示一则消息,告知用户文件已经被加密,并必须经由预储值管道(如MoneyPak或Ukash)支付300美元或欧元,或是2比特币,才能解开这些文件。付款动作必须在72至100小时内完成,否则私人密钥将会在服务端摧毁,并且“将永远没有人能打开这些文件。”勒索付款后,会允许用户下载一个解密程序,然后预载用户的私人密钥。

2013年11月,CryptoLocker的操作者开放了一个在线服务,允许用户不用CryptoLocker程序就能解密文件,并且必须于截止时间前下载解密密钥;这个过程包含了将解密文件样本上传到恶意软件的网站,然后在24小时内,网站会依据请求,查找匹配的密钥。一旦匹配成功,用户就能够进行在线付款;如果72小时的期限已过,付款价格将会增长到10比特币(在2013年11月上旬,换算汇率为超过3500美元)。

安全软件可能无法侦测到CryptoLocker,或只能在解密进行或完成后才会被侦测到。如果该攻击能在早期被起疑或侦测到,该恶意软件有时只会加密一小部分的文件;立即清除该恶意软件(这本身就是一个相对简单的程序)理论上可以降低资料的伤害数量。专家建议的预防方式,包含使用软件或其他安全策略,阻挡CryptoLocker的有效负荷完全被占据。平常勤于备份重要文件,并离线、异地存储,使得文件遭勒索软件加密后,尚有机会可从备份还原。

由于该文件的操作性质,一些专家坦承支付给勒索者是在缺乏备份还原(尤其是不经由网络连接下的离线备份,或是从连续资料保护系统的备份进行还原)下的唯一方式。由于密钥的长度是由CryptoLocker所操纵,可以预见地,这些被加密的文件无法暴力破解,在不付款的情况下解密文件;相似的例子为2008年的蠕虫病毒Gpcode.AK,使用的是1024位的加密,相信这个加密程度太大,导致无法以分布式计算,或是发现漏洞的方式打破加密的内容。赛门铁克估计至少3%被感染的用户会采用付款方式解决。

2013年10月下旬,卡巴斯基报告其DNS陷阱已经创建完成,可以在部分域名用户接触到CryptoLocker时进行阻挡。

相关

  • 红眼现象红眼现象是眼睛的瞳孔在彩色照片中呈现红色的现象。红眼现象尤其会出现在傻瓜相机及数字相机上,原因主要是瞳孔在阴暗的环境下会放大,而增大光线射入视网膜的范围,于是闪光灯的
  • 中国篮球协会中国篮球协会是全国性群众体育组织,中华全国体育总会的下属会员,主管篮球运动,成立于1956年6月。1997年11月24日国家体育总局篮球管理中心成立,当时与中国篮协一个机构两块牌子,
  • 巴黎和平协约巴黎和平协约(英语:Paris Peace Accords)是越南共和国(南越)、美国、越南民主共和国(北越)及“越南南方民族解放阵线”(又称越共)于1973年在巴黎签订的一个和平协议。协议的目的是停
  • 第十二条修正案宪法正文I ∙ II ∙ III ∙ IV ∙ V ∙ VI ∙ VII其它修正案 XI ∙ XII ∙ XIII ∙ XIV ∙ XV XVI ∙ XVII ∙ XVIII ∙ XIX ∙ XX XXI ∙ XXII ∙ XXIII ∙
  • 资源枯竭资源枯竭是一个经济学用语,指某一地区的天然资源被耗尽。自然资源通常分为可再生能源和不可再生能源。当某地方的人过度使用或以比其再生速度更快的速度消耗资源,并致使该地区
  • 医药分家医药分家(业)是指开立处方跟调剂药物分离的一种制度。医药分家在西方的起源约可追溯到亚历山大大帝时代。相传亚历山大大帝在东征回程时肠胃不适,其御用医师为其治疗时不慎用药
  • 鬼祟谬误鬼祟谬误(furtive fallacy)为一种非形式谬误,是断定某些事情一定是某些心怀不轨的团体在背后操作导致。有些鬼祟谬误会宣称一历史事件缺乏详细的证据,就是它背后有阴谋的证据。
  • 1-氯-4-溴丁烷1-氯-4-溴丁烷是一种有机化合物,属卤代烃,化学式为C4H8BrCl。1-氯-4-溴丁烷有多种制备方式,如四氢呋喃和盐酸反应,得到4-氯-1-丁醇,再对其进行溴化得到。类似的方法还有乙酸-4-氯
  • 红衫泪痕《红衫泪痕》(英语:)是一部发行于1938年的美国电影,由威廉·惠勒执导,主演为贝蒂·戴维斯和亨利·方达。乔治·布伦特、玛格丽特·琳赛、唐纳德·克里斯普、理查德·克伦威尔和费
  • 锺希颜锺希颜(16世纪-1638年),字心卓,北直隶广平府清河县人,明朝政治人物。锺希颜在万历三十四年(1606年)中举人,天启二年(1622年)成进士,历迁户部郎中,升为山西冀北道参议,在大旱时祈祷求雨,要求