Ransomlock 和 Cryptolocker Trojans 都會鎖定使用者的電腦並將使用者個人檔案加密。它們的動機都是藉此向被害者勒索費用。

這個威脅是何時發現的?
在 2013 年九月，Cryptolocker 開始被發現

Cryptolocker 是一種新型的威脅嗎?
不，賽門鐵克會偵測並視為類似的惡意軟體如 Trojan.Gpcoder (May 2005) 與 Trojan.Ransomcrypt (June 2009)。同樣都會將受感染的電腦檔案加密。

高。一旦檔案被 Cryptolocker 加密，而且您沒有備份您的檔案，那就如同您的檔案已經遺失了。

一旦被感染，你會看到這樣的畫面向您勒索：
 

通常是您收到了一封利用社交工程寄出的廣告信，其中夾帶了一個 zip 檔案。

 

如果您把附件的 zip 檔打開，你就會發現一個可執行檔。有的時候該檔案會被偽裝成一個文件或是其他的檔案來引誘您開啟。

一旦您執行了該程式，他會去下載 Trojan.Zbot。 如果您感染了 Trojan.Zbot，他就會開始下載 Trojan.Cryptolocker 到您的電腦。

Trojan.Cryptolocker 會根據 domain 
generation algorithm (DGA).尋找一個可用的 C&C (command-and-control server) 。只要找到，就會開始下載一個公開鑰匙 (public key) 用來加密電腦裡面的檔案。與此 public 配對，用以解密的私人鑰匙 (private key) 則在駭客的伺服器上。Private key 被駭客所控制，並且如果無法存取到經常被更換的 C&C 則無法使用此 private key。

Symantec 有提供我立即的保護嗎？
是的，Symantec 已經可以防範以下的威脅：

以下為從 DGA 所發現最近出現的 C&C

   * kstattdnfujtl.info/home/
   * yuwspfhfnjmkxts.biz/home/
   * nqktirfigqfyow.org/home/
駭客一天可以產生將近一千個 C&C 的網址。

 

此種攻擊除了使用社交工程來感染之外，他還包含了幾個技術

   * Cryptolocker 使用公開金鑰系統 (RSA 2048) 加密。只要您無法取得 private key 您就沒有辦法將您的檔案解開

   * Cryptolocker 使用基於梅森旋轉演算法 (Mersenne twister) 的 DGA 來亂數產生並尋找可用的 C&C

根據 Symantec telemetry 技術，這個威脅正在美國流行，雖然受害回報的數量並不多，但此風險等級仍然值得注意!

 

風險分布如下:

請參考以下的網址:

   * Cryptolocker: A Thriving Menace

   * Cryptolocker Alert: Millions in the UK Targeted in Mass Spam Campaign

不，你不該付贖金！這樣的行為只是鼓勵駭客持續使用這樣的攻擊，並加強攻擊的方式。

而且即使您支付了贖金，也沒有任何保障可以救回您的檔案！

Cryptolocker 背後是誰？
這樣的研究正在進行中！

有任何關於復原被加密的檔案的建議嗎？
是的，您可以參考以下文章：
   * Recovering Ransomlocked Files Using Built-In Windows Tools

有甚麼建議使我不要成為下一個受害者？
首先，請備份您的檔案。並使您的系統有更新到最新的病毒定義檔與系統更新檔案。避免開啟任何可疑的信件。
 

您可以參考備份相關的產品: http://www.symantec.com/products/data-backup-software