CryptoLocker

**CryptoLocker**
別名べつめい	Crypt0L0cker
分類ぶんるい	惡意あくい軟體
感染かんせん系けい统	特とく洛らく伊い木馬もくば
發現はつげん時間じかん	2014年ねん6月がつ2日にち

CryptoLocker是ぜ一いち種しゅ於2013年ねん下か半年はんとし出現しゅつげん的てき特とく洛らく伊い木馬もくば，以勒索軟體的てき形式けいしき出現しゅつげん的てき惡意あくい軟體，以Microsoft Windows作業さぎょう系統けいとう為ため主要しゅよう攻擊こうげき目標もくひょう，所しょ衍生的てき變種へんしゅ也向Linux等とう作業さぎょう系統けいとう及特定とくてい廠しょう牌ぱい的てき網あみ路ろ儲もうか存そん設備せつび（NAS）攻擊こうげき。CryptoLocker會かい偽裝ぎそう成なり一個合法的電子郵件附件或.exe格式かくしき檔案；如果被ひ活かつ化か，該惡意あくい軟體就會使用しようRSA 公おおやけ鑰加密みつ與あずかAES 秘鑰ひやく的てき形式けいしき，加か密みつ本地ほんじ與あずか內部網もう路ろ的てき特定とくてい類型るいけい檔案；而私人じん金きん鑰則把持はじ在ざい惡意あくい軟體所しょ控ひかえ制せい的てき伺服器き上じょう。該蠕蟲むし會かい顯示けんじ一いち則のり訊息，表示ひょうじ如果在ざい規定きてい的てき期限きげん進行しんこう付づけ款（經由けいゆ比ひ特とく幣ぬさ或ある其他儲もうか值管道どう），就能夠解密みつ這些檔案，否いや則のり私人しじん金きん鑰將會かい被ひ銷毀，再さい也不能ふのう打開だかい這些檔案。如果在ざい期限きげん之の內，該惡意あくい軟體還かえ會かい提供ていきょう一個由惡意軟體控制的線上服務提供解密，但ただし要よう付ふ出で高額こうがく的てき比ひ特とく幣ぬさ。

即そく使つかいCryptoLocker本身ほんみ很容易えき清きよし除じょ，但ただし是ぜ這些已やめ經けい被ひ加か密みつ的てき檔案，對たい於研究けんきゅう者しゃ而言是ぜ無む法被はっぴ解かい開ひらけ的てき。部分ぶぶん研究けんきゅう者しゃ認みとめ為ため如果不ふ付づけ款給勒索者しゃ，就沒有ゆう其他方法ほうほう能のう夠解密みつ這些檔案；另外的てき研究けんきゅう者しゃ則そく說付ときつけ款給勒索者しゃ是ぜ唯ただ一能在未備份的情形下，讓ゆずる檔案解かい密みつ的てき方法ほうほう。

運うん作さく[编辑]

CryptoLocker通常つうじょう會かい以電子でんし郵件附ふ件けん的まと型がた態たい，包裝ほうそう成なり一個看似無害的電子郵件（通常つうじょう使用しよう合法ごうほう公司こうし的てき電子でんし郵件外觀がいかん）進行しんこう傳送でんそう，或ある是ぜ經由けいゆ殭屍網もう路ろ發送はっそう。所ところ附ふ上じょう的てきZIP檔案格式かくしき包含ほうがん了りょう一いち個こ可か執行しっこう的てき檔案，通常つうじょう是ぜ使用しよう偽裝ぎそう的てきPDF文ぶん件けん附ふ檔名與あずか檔案名稱めいしょう，利用りようWindows系統けいとう當とう中なか的てき文ぶん件けん擴展名めい規則きそく，掩飾真正しんせい的てきEXE副ふく檔名形式けいしき檔案。部ぶ份情況きょう下か則のり會かい實際じっさい含有がんゆう宙ちゅう斯特とく洛らく伊い木馬もくば病毒びょうどく，以進行しんこう安やす裝そうCryptoLocker^[1]^[2]。首くび次じ啟けい動どう時じ，有效ゆうこう負まけ載の會かい以隨機き的てき名稱めいしょう，自じ行ぎょう安あん裝そう於我が的てき文ぶん件けん，並なみ於登錄とうろく檔登錄とうろく一いち個こ編へん碼，會かい導しるべ致於開ひらき機き時じ啟けい動どう。然しか後ご，該惡意あくい軟體會かい嘗試連接れんせつ被ひ勒索者しゃ所しょ控ひかえ制せい的てき伺服器き與あずか指令しれい，一旦いったん成功せいこう連接れんせつ，該伺服ふく器き就會產さん生せい一いち個こ2048位い元もと的てきRSA加か密みつ金きん鑰配對たい，並なみ且送出そうしゅつ公開こうかい金きん鑰到いた被ひ感染かんせん的てき電腦でんのう^[1]^[3]。該伺服ふく器き可能かのう是ぜ一個本地代理伺服器或其他的代理伺服器，會かい頻繁ひんぱん地ち在ざい不同ふどう國家こっか間あいだ進行しんこう重じゅう定位ていい，增加ぞうか追つい蹤的困難こんなん度ど^[4]^[5]。

該有效ゆうこう負まけ載の會かい將はた整せい個こ硬かた碟與相しょう連結れんけつ的てき網もう路ろ硬かた碟中的てき檔案，利用りよう公開こうかい金きん鑰進行しんこう加か密みつ，並なみ將はた檔案加か密みつ的てき紀き錄ろく送おく入にゅう一いち個こ登錄とうろく碼。這個過程かてい中ちゅう，僅會將しょう特定とくてい附ふ檔名的てき資料しりょう檔案進行しんこう加か密みつ，例れい如Microsoft Office、OpenDocument與あずか其他的てき文ぶん件けん、圖像ずぞう與あずかAutoCAD檔案^[2]。有效ゆうこう負まけ載の接せっ者しゃ會かい顯示けんじ一いち則のり訊息，告知こくち用よう戶と檔案已やめ經けい被ひ加か密みつ，並なみ必須ひっす經由けいゆ預あずか儲もうか值管道どう（如MoneyPak或あるUkash）支ささえ付づけ300美び元もと或ある歐おう元もと，或ある是ぜ2比ひ特とく幣ぬさ，才能さいのう解かい開ひらけ這些檔案。付づけ款動作どうさ必須ひっす在ざい72至いたり100小しょう時じ內完成かんせい，否いや則のり私人しじん金きん鑰將會かい在ざい伺服器き端はし摧毀，並なみ且「將はた永遠えいえん沒ぼつ有人ゆうじん能のう打開だかい這些檔案^[1]^[3]。」勒索付づけ款後，會かい允許いんきょ用よう戶と下か載の一いち個こ解かい密みつ程ほど式しき，然しか後ご預あずか載の用よう戶と的てき私人しじん金きん鑰^[1]。

2013年ねん11月，CryptoLocker的てき操作そうさ者しゃ開放かいほう了りょう一いち個こ線上せんじょう服務ふくむ，允許いんきょ用よう戶ど不用ふようCryptoLocker程ほど式しき就能解かい密みつ檔案，並なみ且必須於截止時間じかん前ぜん下した載の解かい密みつ金きん鑰；這個過程かてい包含ほうがん了りょう將しょう解かい密みつ檔案樣さま本上ほんじょう傳つたえ到いた惡意あくい軟體的てき網もう站，然しか後ご在ざい24小しょう時じ內，網もう站會依據いきょ請求せいきゅう，尋ひろ找匹配はい的てき金きん鑰。一旦いったん匹ひき配はい成功せいこう，用よう戶ど就能夠進行しんこう線上せんじょう付づけ款；如果72小しょう時じ的てき期限きげん已やめ過か，付づけ款價格かかく將しょう會かい增長ぞうちょう到いた10比ひ特とく幣ぬさ（在ざい2013年ねん11月がつ上旬じょうじゅん，換算かんさん匯率為ため超過ちょうか3500美び元もと）^[6]^[6]^[7]。

防災ぼうさい與あずか解かい災わざわい[编辑]

安全あんぜん軟體可能かのう無法むほう偵測到いたCryptoLocker，或ある只ただ能のう在ざい解かい密みつ進行しんこう或ある完成かんせい後ご才ざい會かい被ひ偵測到いた。如果該攻擊げき能のう在ざい早期そうき被ひ起おこり疑うたぐ或ある偵測到いた，該惡意あくい軟體有ゆう時じ只ただ會かい加か密みつ一いち小しょう部分ぶぶん的てき檔案；立りつ即そく清きよし除じょ該惡意あくい軟體（這本身ほんみ就是一いち個こ相對そうたい簡單かんたん的てき程ほど序じょ）理論りろん上じょう可か以降いこう低てい資料しりょう的てき傷害しょうがい數量すうりょう^[8]^[9]。專せん家か建議けんぎ的てき預あずか防ぼう方式ほうしき，包含ほうがん使用しよう軟體或ある其他安全あんぜん策略さくりゃく，阻擋CryptoLocker的てき有效ゆうこう負荷ふか完全かんぜん被ひ佔據^[1]^[2]^[3]^[5]^[8]。平ひら常勤じょうきん於備份重要よう檔案，並なみ離はなれ線せん、異い地ち儲もうか存そん，使つかい得とく檔案遭勒索さく軟體加か密みつ後ご，尚なお有機ゆうき會かい可か從したがえ備份還原ばら。

由よし於該檔案的てき操作性そうさせいわる質しつ，一些專家坦承支付給勒索者是在缺乏備份還原（尤ゆう其是不ふ經由けいゆ網もう路ろ連接れんせつ下か的てき離はなれ線せん備份，或ある是ぜ從したがえ連續れんぞく資料しりょう保護ほご系統けいとう的てき備份進行しんこう還かえ原はら）下した的てき唯ただ一いち方式ほうしき。由よし於金鑰的長ちょう度ど是ぜ由よしCryptoLocker所しょ操縱そうじゅう，可か以預見地けんち，這些被ひ加か密みつ的てき檔案無法むほう暴力ぼうりょく破やぶ解かい，在ざい不ふ付づけ款的情況じょうきょう下か解かい密みつ檔案；相似そうじ的てき例れい子こ為ため2008年ねん的てき蠕蟲病毒びょうどくGpcode.AK，使用しよう的てき是ぜ1024位い元もと的てき加か密みつ，相そう信しんじ這個加か密みつ程度ていど太たい大だい，導しるべ致無法ほう以分散ぶんさん式しき計算けいさん，或ある是ぜ發現はつげん漏も洞ほら的てき方式ほうしき打破だは加か密みつ的てき內容^[1]^[7]^[10]^[11]。賽さい門もん鐵てつ克かつ估計至いたり少しょう3%被ひ感染かんせん的てき用よう戶と會かい採用さいよう付づけ款方式しき解決かいけつ^[5]。

2013年ねん10月がつ下旬げじゅん，卡巴斯基報告ほうこく其DNS陷おちい阱已經けい建立こんりゅう完成かんせい，可か以在部分ぶぶん域いき名めい用よう戶と接觸せっしょく到いたCryptoLocker時じ進行しんこう阻擋^[12]。

變種へんしゅ[编辑]

Crypt0L0cker 類似るいじCryptoLocker的てき勒索軟體

參考さんこう文獻ぶんけん[编辑]

^ ^1.0 ^1.1 ^1.2 ^1.3 ^1.4 ^1.5 Abrams, Lawrence. CryptoLocker Ransomware Information Guide and FAQ. Bleeping Computer. [25 October 2013]. （原始げんし内容ないよう存そん档于2013-11-17）.
^ ^2.0 ^2.1 ^2.2 Cryptolocker: How to avoid getting infected and what to do if you are. Computerworld. [25 October 2013]. （原始げんし内容ないよう存そん档于2013-10-30）.
^ ^3.0 ^3.1 ^3.2 You’re infected—if you want to see your data again, pay us $300 in Bitcoins. Ars Technica. [23 October 2013]. （原始げんし内容ないよう存そん档于2016-11-10）.
^ Destructive malware "CryptoLocker" on the loose - here's what to do. Naked Security. Sophos. [23 October 2013]. （原始げんし内容ないよう存そん档于2017-05-08）.
^ ^5.0 ^5.1 ^5.2 CryptoLocker attacks that hold your computer to ransom. The Guardian. [23 October 2013]. （原始げんし内容ないよう存そん档于2013-11-18）.
^ ^6.0 ^6.1 CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. NetworkWorld. [5 November 2013]. （原始げんし内容ないよう存そん档于2013-11-05）.
^ ^7.0 ^7.1 CryptoLocker creators try to extort even more money from victims with new service. PC World. [5 November 2013]. （原始げんし内容ないよう存そん档于2017-04-30）.
^ ^8.0 ^8.1 Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY. The Register. [18 October 2013]. （原始げんし内容ないよう存そん档于2016-11-10）.
^ Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know. Malwarebytes Unpacked. [19 October 2013]. （原始げんし内容ないよう存そん档于2016-03-14）.
^ Naraine, Ryan. Blackmail ransomware returns with 1024-bit encryption key. ZDnet. 6 June 2008 [25 October 2013]. （原始げんし内容ないよう存そん档于2008-08-03）.
^ Lemos, Robert. Ransomware resisting crypto cracking efforts. SecurityFocus. 13 June 2008 [25 October 2013]. （原始げんし内容ないよう存そん档于2016-03-03）.
^ Cryptolocker Wants Your Money!. SecureList. Kapersky. [30 October 2013]. （原始げんし内容ないよう存そん档于2013年ねん10月がつ29日にち）.

外部がいぶ連結れんけつ[编辑]

Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013. Cisco Security Intelligence Operations Portal. San Jose, CA, USA: Cisco Systems. 2013-10-14 [2013-10-30]. （原始げんし内容ないよう存そん档于2013-11-02）.

[details-1] 1.0 ^1.1 ^1.2 ^1.3 ^1.4 ^1.5 Abrams, Lawrence. CryptoLocker Ransomware Information Guide and FAQ. Bleeping Computer. [25 October 2013]. （原始げんし内容ないよう存そん档于2013-11-17）.

[cw-cryptolocker-2] 2.0 ^2.1 ^2.2 Cryptolocker: How to avoid getting infected and what to do if you are. Computerworld. [25 October 2013]. （原始げんし内容ないよう存そん档于2013-10-30）.

[ars-cryptolocker-3] 3.0 ^3.1 ^3.2 You’re infected—if you want to see your data again, pay us $300 in Bitcoins. Ars Technica. [23 October 2013]. （原始げんし内容ないよう存そん档于2016-11-10）.

[sophos-cryptolocker-4] Destructive malware "CryptoLocker" on the loose - here's what to do. Naked Security. Sophos. [23 October 2013]. （原始げんし内容ないよう存そん档于2017-05-08）.

[guardian-cryptolocker-5] 5.0 ^5.1 ^5.2 CryptoLocker attacks that hold your computer to ransom. The Guardian. [23 October 2013]. （原始げんし内容ないよう存そん档于2013-11-18）.

[nw-cryptolockersecondchance-6] 6.0 ^6.1 CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. NetworkWorld. [5 November 2013]. （原始げんし内容ないよう存そん档于2013-11-05）.

[pcw-moremoney-7] 7.0 ^7.1 CryptoLocker creators try to extort even more money from victims with new service. PC World. [5 November 2013]. （原始げんし内容ないよう存そん档于2017-04-30）.

[register-8] 8.0 ^8.1 Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY. The Register. [18 October 2013]. （原始げんし内容ないよう存そん档于2016-11-10）.

[malwarebytes-9] Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know. Malwarebytes Unpacked. [19 October 2013]. （原始げんし内容ないよう存そん档于2016-03-14）.

[zdnet-2-10] Naraine, Ryan. Blackmail ransomware returns with 1024-bit encryption key. ZDnet. 6 June 2008 [25 October 2013]. （原始げんし内容ないよう存そん档于2008-08-03）.

[securityfocus-11] Lemos, Robert. Ransomware resisting crypto cracking efforts. SecurityFocus. 13 June 2008 [25 October 2013]. （原始げんし内容ないよう存そん档于2016-03-03）.

[securelist-cl-12] Cryptolocker Wants Your Money!. SecureList. Kapersky. [30 October 2013]. （原始げんし内容ないよう存そん档于2013年ねん10月がつ29日にち）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]