Kifinomult Bitcoin Ransomware Evolves, Critroni és TOR

Rendkívül fejlett Bitcoin-alapú ransomware trójai programot a biztonsági szakértők fedezték fel a múlt hónapban. Ez az első ilyen típusú rosszindulatú program TOR hálózat névtelenül kommunikálni egy központi parancs- és vezérlőszerverrel.

A Ransomware egyfajta rosszindulatú program, amely hajlamos blokkolni a hozzáférést a fertőzött számítógép bizonyos rendszereihez. Megköveteli a számítógép felhasználójától, hogy váltságdíjat fizessen az átverés üzemeltetőjének a korlátozások megszűnése érdekében. Sok ransomware trójai program megpróbálja becsapni a felhasználókat egy „bírság” megfizetésére azzal, hogy a törvényhatóságok által irányított szoftvernek vallják magukat, hamisan vádolják az embereket gyermekpornográfia birtoklásáért vagy kalóz tartalom letöltéséért..

A ransomware család egyéb rosszindulatú programjai a felhasználók által tárolt fájlokat keresik a számítógépeken, például a fényképeket vagy a dokumentumokat, majd titkosítással titkosítják őket, így a fertőzött gépet használó személy már nem férhet hozzájuk. Ez hasonló taktika, mint amit a Cryptolocker, egy olyan ransomware trójai program használ, amely tavaly elérte csúcspontját. A Cryptolocker üzemeltetőinek dollármilliókat gyűjtöttek össze, mielőtt az FBI-nak sikerült leállítania a bűncselekményt azáltal, hogy megsemmisítette a Cryptolocker 2014 májusában használt parancsnoki és ellenőrző szervereit.. 

A Bitcoin igényes „Critroni” a legfejlettebb ransomware szakértők által eddig látott

Az elmúlt évtizedben a ransomware bűnügyi ipar hatalmas növekedést tapasztalt. Az egyszerű képernyő-blokkolóktól, amelyek megszüntetéséhez fizetésre van szükség, a fejlett technológiákat alkalmazó rosszindulatú programokra, amelyek arra kényszerítik az embereket, hogy fizessék a váltságdíjat. A Ransomware most éri el a csúcsát, az újkori trójaiak az úgynevezett titkosítókat használják. Olyan programok, amelyek titkosítják a felhasználói fájlokat, és fizetést követelnek a fájlblokkolás megszűnéséért és a fájlok visszafejtéséért. Néhány példa az ilyen trójaiakra a CryptoLocker, a CryptoDefence, a CryptoWall, az ACCDFISA és a GpCode, de számos más kevésbé ismert, hasonló alapvető szoftver, amelyek Oroszországban elterjedtek. Az újonnan felfedezett Critroni trójai programot 2014. június közepén kelték életre. Azóta különféle földalatti fórumokon hirdették. A Bitcoin ransomware új generációjának írják le, és nem hasonlít egyik őseihez sem. Ismert, hogy az új rosszindulatú program olyan technikákat használ, amelyeket még soha nem használtak más rosszindulatú programok.

Az egyik egyedülálló tulajdonsága, hogy a Critroni az anonim TOR hálózatot használja, hogy névtelenül kommunikáljon a parancsszervereivel. Az általa fertőzött számítógépek valójában a TOR-on keresztül kommunikálnak a ransomware központi parancsszerverével. Ez lehetővé teszi a kiszolgálón tárolt kulcs elküldését a Bitcoin váltságdíj kifizetése után, és ez a kulcs az egyetlen esély, hogy a fertőzött gépek felhasználói megfejtik fájljaikat.

Lehet, hogy a Critroni (más néven CTB-Locker) nem az első rosszindulatú program, amely a TOR-t használja gyökereinek elrejtésére, de bizonyára ez az első alkalom, hogy ransomware-t csinálunk. Ez azonban nem a Critroni legnagyobb előnye. A Critroni az első olyan rosszindulatú program, amely közvetlenül a saját fájljaiba ágyazott TOR-kódot használja, ahelyett, hogy a legális TOR csomag szoftverre támaszkodna a kommunikáció megvalósításában. 

A Critroni az egyik legbizarrabb, mégis hatékony titkosítási sémát is használja, amelyet a ransomware még a fájlokhoz való felhasználói hozzáférés blokkolására is használt. Az adatokat először a titkosítási algoritmus segítségével tömörítik ECDH (Ellipszisgörbe Diffie-Hellman). Az AES és az RSA ransomware között leggyakrabban használt algoritmus-kombinációval ellentétben az ECDH nem teszi lehetővé a felhasználói adatok visszafejtését, még akkor sem, ha a vírus és a parancskiszolgáló közötti kommunikáció megszakad. Így a (általában legfeljebb) 0,4 Bitcoin váltságdíj fizetésével az egyetlen módja a felhasználónak a titkosított fájlok visszaállítására.

Hogyan terjed ez a Bitcoin ransomware

Korai verzióiban a critroni elsősorban az angolul beszélő felhasználókat célozná meg. Ezért az angol volt az egyetlen nyelv a programban. Néhány későbbi változatban az orosz mellett az orosz nyelv is támogatást kapott. Az új frissítések visszaszámlálót is hoztak a grafikus felületre. Így időbeli figyelmeztetést adva a felhasználóknak, hogy megfélemlítsék őket. 

Az alábbi kép nagyjából azt ábrázolja, hogyan telepíti és terjeszti magát a rosszindulatú szoftver. Először az Andromeda bot letölt és futtat egy Joleee nevű eszközt. Ez a rosszindulatú eszköz spam e-maileket küldhet, valamint végrehajthatja a számítógépes bűnözőktől kapott parancsokat. Jolee tölti le a titkosítót a fertőzött számítógépre.

Critroni terjedéseCritroni terjedési sémája (Kép a securelist.com securelist.com)

Bitcoin fizetések és TOR

Nem nehéz észrevenni, hogy a vírus létrehozói sokat fektetnek a névtelenség megőrzésébe. Jó okuk van rá, és nem csak azért, mert amit csinálnak, bűncselekménynek minősül. Azzal, hogy szoftverüket anonim hálózattá teszik, hozzájárulnak a ransomware-ek hosszabb élettartamához is. Mint már korábban említettük, még májusban az FBI-nak sikerült leállítania egy másik Cryptolocker nevű titkosító ransomware-t. Sikerült nyomon követni szervereiket és leállítani őket. Ez sokkal nehezebb lehet Critroni esetében, mivel a parancsokat a TOR-on keresztül fogadja. A TOR beágyazásának és a Bitcoin fizetéseknek ez a kombinációja lehetővé tette, hogy elődeinek névtelenségét kiemelje.

Critroni elmagyarázza a Bitcoin-tA rosszindulatú program még arra is megpróbál utasításokat adni a felhasználóknak, hogy miként vásárolhatnak bitcoinokat.

Javaslatok a biztonság megőrzéséhez és a Bitcoin megőrzéséhez

A biztonsági szoftverek, például egy antivírus engedélyezése és frissítése létfontosságú lehet. Ezzel azonban még nem ért véget a megoldás.

A fájlok biztonságosságának legjobb módja az, ha saját biztonsági másolatokat készít, és ezt nem csak a ransomware okozza. Soha ne tároljon egy fontos fájlt csak egy helyen. Valószínűbb, hogy a fontos személyes fájlok nem foglalják el a merevlemez nagy részét. Az offline biztonsági másolat készítése külső meghajtóra vagy USB-meghajtóra nem nehéz, és megbízható módja a biztonságos biztonsági másolatok készítésének. A biztonsági másolatok készítésekor azonban azt kell szem előtt tartania, hogy a tárolóeszközt nem szabad közvetlenül csatlakoztatni az internethez. Legyen szó USB-ről, külső merevlemezről vagy hajlékonylemezről, ha az internet-hozzáféréssel folyamatosan csatlakozik a személyi számítógépéhez, ugyanolyan sebezhetővé válik a titkosítási ransomware számára, mint a fő merevlemez-tárolón. Az online tárolás is rendben van, de senki sem tudja garantálni annak hosszú távú fennállását.

Ezen túlmenően, míg ez a ransomware rosszindulatú módon titkosítja a fájlokat, célszerű minden érzékeny vagy értékes fájlt, például egy Bitcoin pénztárcát, személyesen titkosítani. Ez sokkal megnehezíti a rosszindulatú programok vagy hackerek számára, hogy sikeresen ellopják a fájlokat felhasználható módon.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me