CryptoLocker ဆိုတာဘာလဲ၊ အဲဒါကိုဘယ်လိုရှောင်ရှားရမလဲ - Semalt မှလမ်းညွှန်

CryptoLocker သည် ransomware ဖြစ်သည်။ ransomware ၏စီးပွါးရေးပုံစံသည်အင်တာနက်သုံးစွဲသူများထံမှငွေကိုထုတ်ယူရန်ဖြစ်သည်။ CryptoLocker သည်ကျော်ကြားသော "Police Virus" malware ၏တီထွင်မှုကိုတိုးမြှင့်ပေးပြီးအင်တာနက်သုံးစွဲသူများအားသူတို့၏ထုတ်ကုန်များကိုသော့ဖွင့်ခြင်းအတွက်ပိုက်ဆံပေးရန်တောင်းခံသည်။ CryptoLocker သည်အရေးကြီးသောစာရွက်စာတမ်းများနှင့်ဖိုင်များကိုသိမ်းဆည်းပြီးသတ်မှတ်ထားသောကြာချိန်အတွင်းရွေးနုတ်ဖိုးပေးရန်သုံးစွဲသူများကိုအသိပေးသည်။

Semalt Digital Services ၏ဝယ်ယူသူအောင်မြင်သူမန်နေဂျာ Jason Adler သည် CryptoLocker လုံခြုံရေးအကြောင်းအသေးစိတ်ရှင်းပြပြီး၎င်းကိုရှောင်ရှားရန်ခိုင်မာသောစိတ်ကူးများကိုပေးသည်။

Malware ထည့်သွင်းခြင်း

CryptoLocker သည်လူမှုရေးအင်ဂျင်နီယာနည်းဗျူဟာများကို အသုံးပြု၍ အင်တာနက်အသုံးပြုသူများကို၎င်းကိုဒေါင်းလုပ် လုပ်၍ လှည့်စားရန်လှည့်စားသည် အီးမေးလ်အသုံးပြုသူသည်စကားဝှက်ဖြင့်ကာကွယ်ထားသော ZIP ဖိုင်ပါသောစာတစ်စောင်ရရှိသည်။ အီးမေးလ်သည်ထောက်ပံ့ပို့ဆောင်ရေးလုပ်ငန်းတွင်ရှိသောအဖွဲ့အစည်းတစ်ခုမှဖြစ်ရန်ရည်ရွယ်သည်။

အီးမေးလ်အသုံးပြုသူမှသတ်မှတ်ထားသောစကားဝှက်ကို သုံး၍ ZIP ဖိုင်ကိုဖွင့်သောအခါ Trojan သည်ပြေးသည်။ CryptoLocker ကိုရှာဖွေရန်ခက်ခဲသည်၊ အဘယ်ကြောင့်ဆိုသော်၎င်းသည်ဖိုင်အမည် extension ကိုညွှန်ပြသော Windows ၏ပုံမှန်အခြေအနေကိုအခွင့်ကောင်းယူသောကြောင့်ဖြစ်သည်။ သားကောင်သည် malware ကို run သောအခါ Trojan သည်အမျိုးမျိုးသောလုပ်ဆောင်မှုများကိုပြုလုပ်သည်။

က) Trojan သည်အသုံးပြုသူ၏ပရိုဖိုင်းတွင်တည်ရှိသောဖိုင်တွဲတွင်မိမိကိုယ်ကိုသိမ်းဆည်းသည်၊ ဥပမာ၊ LocalAppData ။

b) Trojan က registry ကို key တစ်ခုမိတ်ဆက်တယ်။ ဒီလုပ်ဆောင်ချက်ကကွန်ပျူတာ Boot တက်နေချိန်မှာအလုပ်လုပ်ဖို့သေချာစေတယ်။

ဂ) ဒါဟာလုပ်ငန်းစဉ်နှစ်ခုအပေါ်အခြေခံပြီးပြေး။ ပထမတစ်ခုမှာအဓိကဖြစ်စဉ်ဖြစ်သည်။ ဒုတိယတစ်ခုမှာအဓိကလုပ်ငန်းစဉ်ရပ်စဲခြင်းကိုကာကွယ်ခြင်းဖြစ်သည်။

ဖိုင်စာဝှက်ခြင်း

Trojan သည်ကျပန်းအချိုးကျသောသော့ကိုထုတ်လုပ်ပြီး encrypt လုပ်ထားသောဖိုင်တိုင်းနှင့်သက်ဆိုင်သည်။ ဖိုင်၏အကြောင်းအရာသည် AES algorithm နှင့်အချိုးကျသောသော့ကို အသုံးပြု၍ စာဝှက်ထားသည်။ ကျပန်း key ကို၎င်းသည်အချိုးမညီသော key encryption algorithm (RSA) ကို အသုံးပြု၍ စာဝှက်သည်။ 1024 bits ထက်ပိုသောသော့များသည်။ 2048 bit သော့များကို encryption လုပ်ငန်းစဉ်တွင်အသုံးပြုသောဖြစ်ရပ်များရှိသည်။ Trojan က private RSA key ၏ provider သည်ဖိုင်၏ encryption တွင်အသုံးပြုသောကျပန်း key ကိုရရှိဖို့သေချာစေသည်။ မှုခင်းဆိုင်ရာချဉ်းကပ်နည်းကို အသုံးပြု၍ ပြန်လည်ရေးသားထားသောဖိုင်များကိုပြန်လည်ရယူရန်မဖြစ်နိုင်ပါ။

run ပြီးတာနဲ့ Trojan သည် C&C server မှ public key (PK) ကိုရရှိသည်။ တက်တက်ကြွကြွ C&C server ကိုရှာဖွေရာတွင် Trojan သည်ကျပန်းဒိုမိန်းအမည်များကိုထုတ်လုပ်ရန်ဒိုမိန်းမျိုးဆက် algorithm (DGA) ကိုအသုံးပြုသည်။ DGA ကို "Mersenne twister" ဟုလည်းရည်ညွှန်းသည်။ နေ့စဉ် algorithms ပေါင်း ၁၀၀၀ ကျော်ထုတ်လုပ်နိုင်သောမျိုးစေ့အနေဖြင့်၎င်းသည် algorithm ကိုအသုံးပြုသည်။ ထုတ်လုပ်ထားသော domains များသည်အရွယ်အစားအမျိုးမျိုးရှိသည်။

Trojan သည် PK ကို download လုပ်ပြီး HKCUSoftwareCryptoLockerPublic Key အတွင်းသိမ်းဆည်းသည်။ Trojan သည် hard disk ထဲတွင်ဖိုင်များနှင့်သုံးစွဲသူဖွင့်လှစ်သောကွန်ယက်ဖိုင်များကိုစတင်စာဝှက်သည်။ CryptoLocker သည်ဖိုင်အားလုံးကိုမထိခိုက်ပါ။ ၎င်းသည် malware ၏ကုဒ်တွင်ဖော်ပြထားသောတိုးချဲ့မှုများရှိသော executable မဟုတ်သည့်ဖိုင်များကိုသာပစ်မှတ်ထားသည်။ ၎င်းဖိုင် extension များတွင် * .odt, * .xls, * .pptm, * .rft, * .pem နှင့် * .jpg တို့ပါဝင်သည်။ ထို့အပြင် CryptoLocker သည် HKEY_CURRENT_USERSoftwareCryptoLockerFiles သို့စာဝှက်ထားသောဖိုင်တိုင်းကို log in လုပ်သည်။

စာဝှက်ခြင်းလုပ်ငန်းစဉ်ပြီးနောက်ဗိုင်းရပ်စ်သည်သတ်မှတ်ထားသောအချိန်ကာလအတွင်းရွေးနုတ်ဖိုးပေးရန်တောင်းဆိုသောသတင်းစကားကိုပြသည်။ လျှို့ဝှက်သော့ကိုမဖျက်ဆီးမီငွေပေးချေခြင်းကိုပြုလုပ်သင့်သည်။

CryptoLocker ကိုရှောင်ကြဉ်ပါ

က) အီးမေးလ်သုံးစွဲသူများသည်မသိသောသူများ (သို့) အဖွဲ့အစည်းများမှသတင်းစကားများကိုသံသယဖြစ်သင့်သည်။

ခ) အင်တာနက်အသုံးပြုသူများသည် malware (သို့) ဗိုင်းရပ်စ်တိုက်ခိုက်မှု၏မှတ်ပုံတင်မှုကိုတိုးတက်စေရန်အတွက်လျှို့ဝှက်ဖိုင် extension ကိုပိတ်ထားသင့်သည်။

ဂ) အရေးကြီးသောဖိုင်များကိုအရန်ကူးစနစ်တွင်သိမ်းထားသင့်သည်။

) ဖိုင်များကူးစက်ခံရပါကအသုံးပြုသူသည်ရွေးနုတ်ဖိုးကိုမပေးသင့်ပါ။ malware developer များသည်ဘယ်သောအခါမျှအကျိုးမပြုသင့်ပါ။