CryptoLocker

CryptoLocker
이 문서는 CryptoLocker라고 불리는 특정 랜섬웨어 소프트웨어에 관한 것입니다.CryptoLocker 이름을 사용하는 기타 유사한 소프트웨어에 대해서는 "Randomware" Encrypting randomware" 참조하십시오.
CryptoLocker
Screenshot of a Cryptolocker attack.
분류트로이 목마
유형랜섬웨어
서브타입크립토바이러스
격리2014년 6월 2일
영향을 받는 운영 체제창문들

CryptoLocker 랜섬웨어 공격은 2013년 9월 5일부터 2014년 5월 말까지 발생한 CryptoLocker 랜섬웨어사용한 사이버 공격입니다.이 공격은 Microsoft [1]Windows를 실행하는 컴퓨터를 대상으로 한 트로이 목마를 이용했으며,[2] 2013년 9월 5일 인터넷에 처음 게시된 것으로 추정되었습니다.감염된 이메일 첨부 파일과 기존 Gameover ZeuS [3]봇넷을 통해 전파되었습니다.활성화되면 멀웨어는 RSA 공개암호화를 사용하여 로컬 및 마운트된 네트워크 드라이브에 저장된 특정 유형의 파일을 암호화하고 개인 키는 멀웨어의 제어 서버에만 저장합니다.그런 다음, 악성코드는 지정된 기한 내에 (비트코인 또는 선불 현금 바우처를 통해) 결제가 이루어지면 데이터를 해독하겠다는 메시지를 표시했고, 기한이 지나면 개인 키를 삭제하겠다고 위협했다.기한을 지키지 않을 경우 악성코드는 악성코드의 운영자가 제공하는 온라인 서비스를 통해 데이터를 해독할 수 있는 기능을 제공했는데, 이는 훨씬 더 높은 가격이었다.결제가 암호화된 내용을 공개한다는 보장은 없었다.

CryptoLocker 자체는 쉽게 제거되었지만, 영향을 받은 파일은 연구자들이 해독하는 것이 불가능하다고 생각하는 방식으로 암호화된 상태로 남아 있었습니다.많은 사람들은 몸값을 지불해서는 안 된다고 말했지만 파일을 복구할 방법을 제시하지 않았고, 다른 사람들은 몸값을 지불하는 것만이 백업되지 않은 파일을 복구할 수 있는 유일한 방법이라고 말했다.일부 피해자들은 몸값을 지불한다고 해서 파일이 항상 해독되는 것은 아니라고 주장했다.

CryptoLocker는 2014년 5월 말 운영 Tovar를 통해 분리되었으며, 운영 Tovar는 악성 프로그램 배포에 사용된 Gameover ZeuS 봇넷을 다운시켰다.이 과정에서 CryptoLocker가 사용하는 개인키 데이터베이스를 입수해 몸값을 지불하지 않고 키와 파일을 복구하는 온라인 툴을 구축했다.CryptoLocker의 운영자들은 트로이 목마 피해자들로부터 총 300만 달러를 탈취하는 데 성공한 것으로 여겨진다.그 후 나온 암호화 기반 랜섬웨어의 다른 인스턴스에서는 "CryptoLocker" 이름(또는 변형)을 사용했지만 그 외에는 관련이 없습니다.

작동

일반적으로 CryptoLocker는 무해한 것처럼 보이는 전자 메일메시지에 대한 첨부 파일로 전파됩니다.이 메시지는 정규 [4]회사에 의해 송신된 것으로 보입니다.전자 메일 메시지에 첨부된 ZIP 파일에는 파일 이름 및 PDF 파일로 위장된 아이콘이 포함된 실행 파일이 포함되어 파일 이름에서 확장자를 숨기고 실제 확장자를 위장하는 Windows의 기본 동작을 활용합니다.EXE 확장자또한 CryptoLocker는 Gameover ZeuS 트로이 목마 및 [5][6][7]봇넷을 사용하여 전파되었습니다.

처음 실행 시 페이로드가 사용자 프로파일폴더에 설치되고 시작 시 실행되는 키가 레지스트리에 추가됩니다.그런 다음 지정된 명령 및 제어 서버 중 하나에 접속을 시도합니다.연결되면 서버는 2048비트 RSA 키쌍을 생성하고 감염된 [1][6]컴퓨터에 공용 키를 반환합니다.서버는 로컬 프록시이며 다른 서버를 경유할 수 있습니다.또한 추적이 어려워지기 때문에 자주 다른 국가로 [8][9]재배치됩니다.

그런 다음 payload는 공용 키를 사용하여 로컬 하드 드라이브 및 매핑된 네트워크 드라이브 간에 파일을 암호화하고 암호화된 각 파일을 레지스트리 키에 기록합니다.이 프로세스는 Microsoft Office, OpenDocument 및 기타 문서, 사진 및 AutoCAD [7]파일을 포함한 특정 확장자를 가진 데이터 파일만 암호화합니다.페이로드에는 파일이 암호화되었음을 사용자에게 알리는 메시지가 표시되며, 익명 선불 현금 바우처(즉, MoneyPak 또는 Ukash)를 통해 400달러 또는 유로 또는 그에 상당하는 금액을 72시간 또는 100시간 이내에(BTC에서 시작하는 동안 2BTC에서 시작하는 동안) BTC 운영자에 의해 몸값 가격이 03BTC로 조정되었습니다.변동하는 bitcoin의 가치를 반영하지 않으면 서버의 개인 키가 파괴되어 "아무도,[1][6] [bitcoin][10] 파일도 복원할 수 없습니다."몸값을 지불하면 암호 해독 프로그램을 다운로드할 수 있으며 암호 해독 프로그램은 사용자의 개인 [6]키로 미리 로드되어 있습니다.일부 감염 피해자들은 돈을 지불했지만 파일이 해독되지 [4]않았다고 주장하고 있다.

2013년 11월 CryptoLocker 운영자들은 사용자가 CryptoLocker 프로그램 없이 파일을 복호화할 수 있도록 허용하고 기한 만료 후에 복호화 키를 구입할 수 있도록 하는 온라인 서비스를 시작했습니다.이 프로세스에서는 암호화된 파일을 샘플로 사이트에 업로드하고 서비스가 일치하는 파일을 찾을 때까지 기다려야 했습니다.24시간 이내에 일치하는 것을 찾을 수 있을 것이라고 주장했습니다.일단 발견되면 사용자는 온라인으로 키를 지불할 수 있다. 72시간이 지나면 비용은 [11][12]10비트코인으로 증가한다.2022년 10비트코인의 가치는 약 21만5830달러(약 25만 달러)[13]다.

파일 테이크다운 및 복구

2014년 6월 2일, 미국 법무부는 지난 주말 사법 기관(FBI인터폴 포함), 보안 소프트웨어 벤더 및 여러 대학의 그룹을 구성하는 컨소시엄인 Operation Tovar가 Cry를 배포하는 데 사용되었던 Gameover ZeU 봇넷을 방해했다고 공식 발표했다.PTOLocker 및 기타 악성 프로그램.법무부는 또한 러시아 해커 에브게니 보가초프의 봇넷 [5][14][15][16]연루 혐의에 대해 공개적으로 기소장을 발부했다.

이 작업의 일환으로 네덜란드 보안 회사 Fox-IT는 CryptoLocker에서 사용하는 개인 키의 데이터베이스를 확보할 수 있었습니다. 2014년 8월 Fox-IT와 동료 회사 FireEye는 감염된 사용자가 샘플 파일을 업로드하여 개인 키를 가져와 암호 해독 [17][18]도구를 받을 수 있는 온라인 서비스를 선보였습니다.

경감

보안 소프트웨어는 이러한 위협을 탐지하도록 설계되어 있지만, 암호화가 진행 중이거나 완료된 후에만 CryptoLocker를 전혀 탐지하지 못할 수 있습니다. 특히 보호 소프트웨어에 알려지지 않은 새 버전이 [19]배포된 경우입니다.공격이 의심되거나 초기 단계에서 탐지될 경우 암호화가 수행되기까지 시간이 걸립니다. 완료되기 전에 멀웨어(상대적으로 간단한 프로세스)를 즉시 제거하면 데이터 [20][21]손상이 제한됩니다.전문가들은 소프트웨어나 기타 보안 정책을 사용하여 CryptoLocker 페이로드의 [1][6][7][9][21]기동을 차단하는 등의 예방책을 제안했습니다.

일부 전문가들은 CryptoLocker 동작의 특성상 현재 백업이 없는 경우 CryptoLocker에서 파일을 복구하려면 몸값을 지불하는 것만이 유일한 방법이라고 마지못해 제안했습니다(감염된 컴퓨터에서 액세스할 수 없는 감염 전에 실행된 오프라인 백업은 [4]CryptoLocker에서 공격할 수 없습니다).CryptoLocker에서 사용되는 키의 길이 때문에 전문가들은 몸값을 지불하지 않고 파일을 복호화하는 데 필요한 키를 얻기 위해 무차별 공격을 사용하는 것은 사실상 불가능하다고 생각했습니다.이는 2008년 트로이목마 Gpcode와 유사합니다.AK는 1024비트 키를 사용했는데, 이는 분산된 공동 작업이나 암호화를 [6][12][22][23]해제하는 데 사용될 수 있는 결함을 발견하지 않으면 계산상 불가능할 정도로 큰 것으로 생각되었습니다.Sophos의 보안 분석가 Paul Ducklin은 CryptoLocker의 온라인 복호화 서비스가 키 데이터베이스를 사용한 자체 암호화에 대한 사전 공격을 수반한다고 추측하고 결과를 [12]받기 위해 최대 24시간을 기다려야 하는 요건을 설명했습니다.

지불한 돈

2013년 12월 ZDNet은 운영자의 수익을 측정하기 위해 CryptoLocker에 감염된 사용자가 게시한 4개의 Bitcoin 주소를 추적했다.4개의 주소는, 10월 15일부터 12월 18일까지 41,928 BTC의 움직임을 나타내,[10] 그 당시 약 2,700만 미 달러였다.2022년 현재 41,928 BTC의 가치는 904,399,538.40달러(약 10억 달러)[24]가 될 것이다.

켄트 대학 연구원의 조사에 의하면, 피해자라고 주장하는 사람들의 41%가, 예상보다 훨씬 큰 비율인 몸값을 지불하기로 결정했다고 답했습니다.Symantec은 피해자의 3%, Dell Secure Works는 희생자의 0.4%가 [25]지불했다고 추정했습니다.CryptoLocker 배포에 사용된 봇넷이 셧다운된 후 감염자 중 약 1.3%가 몸값을 지불한 것으로 계산되었으며, 많은 사람들이 백업된 파일을 복구할 수 있었고, 다른 사람들은 엄청난 양의 데이터를 손실한 것으로 생각됩니다.그럼에도 불구하고, 운영자들은 총 [18]3백만 달러를 갈취한 것으로 믿어졌다.

클론

CryptoLocker의 성공으로 본질적으로 동일한 방식으로 [26][27][28][29]동작하는 관련성이 없는 랜섬웨어 트로이 목마들이 다수 생겨났습니다.이 중에는 자신을 "CryptoLocker"[30][31][29]라고 칭하는 트로이 목마도 있지만 보안 연구자에 따르면 원래 CryptoLocker와는 관련이 없습니다.

9월 2014년에, CryptoWall과 TorrentLocker(그의 페이 로드"CryptoLocker"과 같지만, 레지스트리 키라는 이름의 사용자의 이름 자체를 식별하"비트 토렌트 애플리케이션")[32]등과 같은 추가의 복제 인간들로 호주에서 확산되고;ransomware a을 나타내기 위해 감염된 이메일, 이에 들어가는 정부 부서들에 의해서 보내(예를 들어 오스트레일리아 우정 공사를 사용하기 시작했다 실패하다ed packel delivery)를 payload로 사용합니다.링크를 추종할 수 있는 자동 전자 메일스캐너에 의한 검출을 회피하기 위해 이 변형에서는 사용자가 실제로 페이로드를 다운로드하기 전에 웹 페이지를 방문하여 CAPTCHA 코드를 입력해야 합니다.Symantec은 이 새로운 변종들을 "CryptoLocker"라고 식별했습니다.F"는 [30][26][33][34]원본에 묶이지 않았다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c d "You're infected—if you want to see your data again, pay us $300 in Bitcoins". Ars Technica. 17 October 2013. Retrieved 23 October 2013.
  2. ^ Kelion, Leo (24 December 2013). "Cryptolocker ransomware has 'infected about 250,000 PCs'". BBC. Retrieved 24 December 2013.
  3. ^ "CryptoLocker". Retrieved 14 September 2017.
  4. ^ a b c "Cryptolocker Infections on the Rise; US-CERT Issues Warning". SecurityWeek. 19 November 2013. Retrieved 18 January 2014.
  5. ^ a b Brian Krebs (2 June 2014). "'Operation Tovar' Targets 'Gameover' ZeuS Botnet, CryptoLocker Scourge". Krebs on Security.
  6. ^ a b c d e f Abrams, Lawrence. "CryptoLocker Ransomware Information Guide and FAQ". Bleeping Computer. Retrieved 25 October 2013.
  7. ^ a b c "Cryptolocker: How to avoid getting infected and what to do if you are". Computerworld. 25 October 2013. Retrieved 25 October 2013.
  8. ^ "Destructive malware "CryptoLocker" on the loose – here's what to do". Naked Security. Sophos. 12 October 2013. Retrieved 23 October 2013.
  9. ^ a b Ferguson, Donna (19 October 2013). "CryptoLocker attacks that hold your computer to ransom". The Guardian. Retrieved 23 October 2013.
  10. ^ a b Violet Blue (22 December 2013). "CryptoLocker's crimewave: A trail of millions in laundered Bitcoin". ZDNet. Retrieved 23 December 2013.
  11. ^ "CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service". NetworkWorld. 4 November 2013. Retrieved 5 November 2013.
  12. ^ a b c "CryptoLocker creators try to extort even more money from victims with new service". PC World. 4 November 2013. Retrieved 5 November 2013.
  13. ^ "Bitcoin (BTC) Price, Real-time Quote & News - Google Finance".
  14. ^ "Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet". Computerworld. IDG. Archived from the original on 3 July 2014. Retrieved 18 August 2014.
  15. ^ "U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator". Justice.gov. U.S. Department of Justice. Retrieved 18 August 2014.
  16. ^ Graff, Garrett M. (21 March 2017). "Inside the Hunt for Russia's Most Notorious Hacker". Wired. ISSN 1059-1028. Retrieved 18 January 2020.
  17. ^ Krebs, Brian. "New Site Recovers Files Locked by Cryptolocker Ransomware". Krebs on Security. Retrieved 18 August 2014.
  18. ^ a b "Cryptolocker victims to get files back for free". BBC News. 6 August 2014. Retrieved 18 August 2014.
  19. ^ CryptoLocker 공격에 대한 Yuma Sun: "...Zero-day 악성 프로그램이기 때문에 Yuma Sun에서 사용되는 안티바이러스 소프트웨어에 의해 검출되지 않을 수 있었습니다."
  20. ^ Cannell, Joshua (8 October 2013). "Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014". Malwarebytes Unpacked. Retrieved 19 October 2013.
  21. ^ a b Leyden, Josh. "Fiendish CryptoLocker ransomware: Whatever you do, don't PAY". The Register. Retrieved 18 October 2013.
  22. ^ Naraine, Ryan (6 June 2008). "Blackmail ransomware returns with 1024-bit encryption key". ZDnet. Retrieved 25 October 2013.
  23. ^ Lemos, Robert (13 June 2008). "Ransomware resisting crypto cracking efforts". SecurityFocus. Retrieved 25 October 2013.
  24. ^ "Bitcoin (BTC) Price, Real-time Quote & News - Google Finance".
  25. ^ "Results of online survey by Interdisciplinary Research Centre in Cyber Security at the University of Kent in Canterbury" (PDF). kent.ac.uk. University of Kent in Canterbury. Archived from the original (PDF) on 8 March 2014. Retrieved 25 March 2014.
  26. ^ a b "Australia specifically targeted by Cryptolocker: Symantec". ARNnet. 3 October 2014. Retrieved 15 October 2014.
  27. ^ "CryptoDefense ransomware leaves decryption key accessible". Computerworld. IDG. April 2014. Retrieved 7 April 2014.
  28. ^ Thomson, Iain (3 April 2014). "Your files held hostage by CryptoDefense? Don't pay up! The decryption key is on your hard drive". The Register. Retrieved 6 April 2014.
  29. ^ a b "New CryptoLocker Spreads via Removable Drives". Trend Micro. 26 December 2013. Retrieved 18 January 2014.
  30. ^ a b "Australians increasingly hit by global tide of cryptomalware". Symantec. Retrieved 15 October 2014.
  31. ^ "Cryptolocker 2.0 – new version, or copycat?". WeLiveSecurity. ESET. 19 December 2013. Retrieved 18 January 2014.
  32. ^ "TorrentLocker now targets UK with Royal Mail phishing". ESET. 4 September 2014. Retrieved 22 October 2014.
  33. ^ "Scammers use Australia Post to mask email attacks". Sydney Morning Herald. 15 October 2014. Retrieved 15 October 2014.
  34. ^ "Ransomware attack knocks TV station off air". CSO. 7 October 2014. Retrieved 15 October 2014.