FB-virus-alert-300x300  Энэ жилийн эхээр хортой кодын шинэ төрөл болох барьцаалагч вирус, өт зэрэг гарч ирсэн нь аюулгүй байдлын мэргэжилтнүүдийн хувьд идэвхитэй тэмцлийг өрнүүлэхэд хүргэсэн нэг хүчин зүйл болов. Тэгвэл өнгөрсөн сарын дундуур (2013.09.16) барьцаалагч вирусны нэг шинэ төрөл хүмүүсийн цахим шуудан, компьютерт илэрч эхэллээ.  Өөрийгөө CryptoLocker гэж нэрлэсэн хавсаргасан файл хэлбэрээр өнгөлөн далдалсан хортой код имэйлээр дамжин компьютерт халдварладаг. Ялангуяа хэрэглэгчид имэйлийг нээж үзэх үед хавсаргасан линк идэвхижиж хэрэглэгчийн ямар ч оролцоогүйгээр хортой кодыг татаж суулгадаг байна. Энэ нь компьютер ашиглан бизнесийн болон өдөр тутмын үйл ажиллагаагаа явуулдаг орон зайд маш том аюул юм.  “Geek” мэдээллийн технологи, аюулгүй байдлын цахим хуудсанд нийтлэгдсэн мэдээллээр “Cryptolocker барьцаалагч вирусний өмнөх хувилбар байж болох “трожан, шифрлэгч”[1] вирусыг  8 сарын өмнө тус цахим хуудсаар дамжуулан танилцуулж, сэрэмжлүүлж байсан бөгөөд үүнээс хойш маш хурдацтай хөгжиж үйл ажиллагаа нь илүү нарийн болсон байна.” хэмээсэн байна.[2] Энэ мэтчилэн мэдээллийн аюулгүй байдал, кибер гэмт хэргийн тухай мэдээлэгч цахим хуудас, блогуудаар “100 цагийн дотор 300 доллар шилжүүлвэл таны хардыг чөлөөлнө” нэртэй мэдээ дүүрч эхлэв.

Уг вирусны халдвар хувь хүн, байгууллагатай хамтран ажилладаг гэрээлэгч компаниудын  нэрийг хуурамчаар ашигласан имэйл (фишинг-phishing email),   freeware, shareware,torrent, dropbox зэрэг онлайн суурьт аппликэйшнүүд,  сонирхол татсан зар суртчилгаа,  Facebook, LinkidIn-ийн урилга,  ZeuS ботнет зэргээр дамжиж хэрэглэгчдэд хүрсэн байна.

Тэдгээр мэйлийг нэг нээсэн байхад CryptoLocker нь “Documents and Settings” фолдерт өөрөө сууна.Үүний дараагаар хард драйверуудыг хайж доторх файлуудын төрлийг харгалзан Microsoft Word, Adobe Photoshop-той холбоотой файлуудыг шифрлэдэг.  Үүнээс гадна энэхүү вирусыг гарснаас хойш судлаачдын олж мэдсэнээр компьютерт байгаа дараах өргөтгөлтэй файлуудыг шифрлэж байна. Үүнд:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Анхааруулга хэсэг: Цаг яваад эхэлсэнийг харуулж байна. (Хэрвээ мөнгө төлөхгүй тохиолдолд та файлууддаа үүрд нэвтэрч чадахгүй болно.)

Анхааруулга хэсэг: Цаг яваад эхэлсэнийг харуулж байна. (Хэрвээ мөнгө төлөхгүй тохиолдолд та файлууддаа үүрд нэвтэрч чадахгүй болно.)

Компьютерт нэвтэрсэн вирус ажиллаж эхлэх үед дээрх зурагт харуулсан цонх гарч ирэх бөгөөд таны файлуудыг шифрлэж (RSA-2048 бит, ассиметр шифрлэлт) барьцаалсан тухай анхааруулан 100 цагийн тооцоолуурыг багасгаж тоолох ба мөнгө төлж чөлөөлүүлэхийг шаардана.

CryptoLocker –ийн анхааруулга мессэж нь дараах агуулгатай байна.

anh

“Хэрвээ тоологдох цагийг дуусахаас өмнө төлбөрийг төлвөл  танд файлуудын шифрийг тайлах  хувийн түлхүүрийг өгч мэдээллийг чөлөөлнө, төлбөр төлөөгүй, хугацаа дуусвал  шифрийг тайлах хувийн түлхүүр устаж та өөрийн файлууддаа хэзээ ч нэвтэрч чадахааргүй болох юм. Програм хангамжийн аюулгүй байдлыг хангах өндөр түвшний компаниуд ч энэ түвшний аргаар цоожлогдсон хард драйверийг сэргээж чаддаггүй. Тэгэхээр CryptoLocker-ийн ард буй хакеруудыг барьсан тохиолдолд л файлуудыг сэргээж авах цорын ганц л зам үлдэж байгаа юм.” хэмээн “Олон улсын бизнес” цахим хуудсанд нийтэлсэн CryptoLocker-ийн тухай мэдээнд дурьджээ. Хакерууд Bitcoin[3], MoneyPak, Ukash, cashU ашиглаж санхүүгийн гүйлгээ нь үл мэдэгдэх байдлаар мөнгөтэй болж байна. Одоогоор энэхүү вирусыг үйл ажиллагаагаар нь барьцаалах програм хангамж /ransomware/- гэдгийг тогтоогдоод байгаа ч бусад вирусыг бодоход CryptoLocker  нь хамгийн аюултай нь байж мэдэхээр байна. Түүнчлэн бусад вирус, хортой кодоос ялгаатай нь хугацаанд суурилсан. Бодит байдал дээр барьцаалах үйл ажиллагаа явуулахтай адил өндөр түвшин хийгдэж, мөнгө нэхэх, олж авах арга нь технологийн дэвшил ашигласан байгаа зэргийг харахад энэ вирусны цаана ухаалаг бүлэг хүмүүс ажиллаж байгааг харуулж байна.


Ассиметр шифрлэлтийн хос түлхүүрийн зарчмыг доорх зурагт харуулав.

Хос түлхүүрийн шифрлэлт (accиметр шифр-хувийн түлхүүр, нийтийн түлхүүр)

Хос түлхүүрийн шифрлэлт (accиметр шифр-хувийн түлхүүр, нийтийн түлхүүр)

Харин нэг сайн мэдээ дуулгахад хэрэглэгч өөрийн компьютерийг барьцаанаас чөлөөлөх мөнгийг төлж файлуудын шифрийн тайлуулсан тохиолдолд CryptoLocker-ийн  хакерууд таны компьютерийг дахин халдварлуулдаггүй байна. Мөн Cryptolocker техникийн бус вирус бөгөөд хохирогч компьютерт имэйлээр болон интернэтээс програм хангамж татаж суулгахад л давхар орж ирдэг. Халдварласан компьютераас нөгөө компьютерт өөрийгөө хувилж тархах чадваргүй.

Энэхүү програмын эхний хувилбар нь хэрэглэгчийн мэдээллийг шифрлэсний дараагаар 100 доллар төлж мэдээллийг тайлах түлхүүр авахыг тулгадаг байсан бол сүүлийн хувилбар нь 300 доллар шаарддаг болсон байна. Ингэж өөрчилсөн нь энэхүү гэмт хэргийн бизнес ашиг өндөр байгаатай холбоотой юм.  Хэдийгээр аюулгүй байдлын компаниуд, IT-ийн мэргэжилтнүүд үүссэн нөхцөл байдлыг арилгахаар ажиллаж байгаа ч энэхүү хортой програмын үзүүлэх хор хохирол нь асар хурдацтай өсөж байгаа юм.  Тиймээс хэрэглэгчид өөрсдийн онлайн аюулгүй байдлыг хангаж нийтийн сүлжээний мэдээлэл, имэйлээр ирсэн захидалуудыг хүлээж авахдаа сонор сэрэмжтэй байж, давхар шалгаж байх шаардлагатай байна. [4]

CryptoLocker вирусыг устгах

Хэрвээ энэ халдвараар компьютер халдварлавал нэн тэргүүнд хэрэглэгч интернэтийн сүлжээгээ салгах хэрэгтэй.  Дээрх цонхонд бичсэн анхааруулга, барьцааны захидал үнэн ч бай худал ч бай бид бүхэн тэдгээр гэмт этгээдүүдэд мөнгө төлж хувийн

түлхүүрийг авах үйл ажиллагааг өөхшүүлж болохгүй. Харин түлхүүрийг авах нэрээр мөнгө төлөлгүйгээр програмыг устгаж, файлыг сэргээх боломжийг хайх хэрэгтэй. CryptoLocker –ийн өмнөх хувилбарын шифрлэсэн файлуудыг зарим тохиолдолд систем сэргээх /Windows System restore/ програм хангамжийн тусламжтайгаар сэргээж болж байсан байна.

Тиймээс энэхүү програм хангамжийг хүчингүй болгох, устгах аргыг оруулж байна.[5]

Эхлээд CryptoLocker-ийг өөрийн компьютер дээрээсээ устгана. Дараа нь файлуудыг хүчин төгөлдөр аргаар тайлна. Үүний тулд:

Устгах аргыг энд дарж харна уу.

Мөн энд өөр нэг устгах аргачлал бий.

Эдгээрээс гадна танд гэж зөвлөхөд 1) лицензтэй хамгийн сүүлийн шинэчлэлт хийж чаддаг Касперски гэх мэт вирусны эсрэг програм хангамжийг ашиглах; 2) өөрийн чухал шаардлагатай, хэрэгтэй файлуудыг нөөцөлдөг (интернэтэд холбогдоогүй хадгалах төхөөрөмж дээр) байх; 3)имэйлээр ирсэн шаардлагагүй, ирэх ёсгүй захидлуудыг нээж үзэхгүй байх; 4)шаардлагагүй програм хангамжийг интернэтээс татаж авахгүй байх.

Хэрхэн хамгаалах, хэрхэн устгах талаар энд-ээс үзнэ үү


[2] http://www.geek.com/apps/disk-encryptiing-cryptolocker-malware-demands-300-to-decrypt-your-files-1570402/

[3] peer-to-peerхолболтоор ямар нэгэн төв удирдах газрын оролцоогүйгээр цахим гүйлгээ хийх зуучлалын програм. 2008 онд танилцуулагдсан энэхүү гүйлгээ хийх аргачлалыг криптографик ашиглаж эхэлсэнээс нь хойш cryptocurrency гэж нэрлэх болсон. 2013 оны 8 дугаар сарын байдлаар 11.5 сая bitcoin-ийн тархалт байгааг тогтоосон байна. 2012 онд эдийн засагчид Bitcoin нь онлайнаар залилан хийх зах зээлд хамгийн их хувь нэмэр оруулж байгаа хэрэгсэл гэж дүгнэсэн бөгөөд 2013 оны 09 сард Холбооны мөрдөх товчоо энэ төрлийн үйлчилгээг ашиглаж хар тамхи, мансууруулах бодисзарж байсан Silk Road-сайтын үйл ажиллагааг хаасан. Орч)

[4] http://malwarefixes.com/remove-cryptolocker-virus/

[5] http://botcrawl.com/how-to-remove-the-cryptolocker-virus/


Эх сурвалж: www.crypto.mn