Sofistikerad Bitcoin Ransomware utvecklas, Critroni och TOR

En extremt avancerad Bitcoin-baserad ransomware trojan upptäcktes av säkerhetsexperter förra månaden. Det är den första skadliga programvaran av detta slag som används TOR-nätverk att anonymt kommunicera med en central kommando- och styrserver.

Ransomware är ett slags skadlig kod som tenderar att blockera åtkomst till vissa datorsystem som den infekterar. Det kräver att användaren av datorn betalar en lösen till operatören av bedrägeriet för att begränsningarna ska försvinna. Många trojaner med ransomware försöker lura användare att betala böter genom att hävda att de är programvara som riktas av lagmyndigheterna och felaktigt anklagar människor för innehav av barnpornografi eller laddar ner piratkopierat innehåll..

Annan dålig programvara från ransomware-familjen söker datorer efter filer som lagras av användarna, som foton eller dokument, använder sedan kryptografi för att kryptera dem så att de inte längre kan nås av den person som använder den infekterade maskinen. Ishis är en liknande taktik som Cryptolocker, en ransomware trojan som nådde sin topp förra året använde. Cryptolockers operatörer lyckades samla in Bitcoin i miljontals dollar innan FBI lyckades stänga av den kriminella operationen genom att förstöra kommandot och kontrollservrarna Cryptolocker använde Tillbaka i maj 2014. 

Bitcoin-krävande “Critroni” är den mest avancerade ransomware-experten hittills sett

Under det senaste decenniet har ransomware-kriminella industrin sett en viss massiv tillväxt. Från enkla skärmblockerare som kräver en betalning för att försvinna, till dålig programvara som använder avancerad teknik för att tvinga människor att betala sin lösen. Ransomware når nu sin topp, med trojaner från new age som använder så kallade krypterare. Program som krypterar användarfiler och kräver en betalning för att filblockeringen ska försvinna och att filerna dekrypteras. Några exempel på sådana trojaner är CryptoLocker, CryptoDefence, CryptoWall, ACCDFISA och GpCode men också många andra mindre kända liknande grundläggande programvara som hade spridit sig runt Ryssland. Den nyupptäckta trojanen, Critroni, fick liv i mitten av juni 2014. Den har sedan dess annonserats i olika underjordiska forum. Det beskrivs som den nya generationen Bitcoin-ransomware och liknar inte någon av dess förfäder. Det är känt att den nya skadliga programvaran använder tekniker som aldrig använts tidigare av någon annan skadlig kod.

En av dess unika egenskaper är att Critroni använder det anonyma TOR-nätverket för att kommunicera anonymt med kommandoservrarna. Datorer som är infekterade av den kommunicerar faktiskt med ransomwarens centrala kommandoserver via TOR. Detta gör det möjligt att skicka en nyckel som är lagrad på servern efter att Bitcoin-lösen har betalats, och den här nyckeln är den enda chansen att användare av de infekterade maskinerna kommer att kryptera sina filer.

Critroni (även känd som CTB-Locker) är kanske inte den första skadliga programvaran som använder TOR för att dölja sina rötter, men det här är verkligen första gången vi ser ransomware för att göra det. Det är dock inte den största fördelen som Critroni har. Critroni är också den första skadliga programvaran som använder TOR-koden inbäddad direkt i sina egna filer snarare än att förlita sig på den legitima programvaran TOR för att uppnå kommunikation. 

Critroni använder också ett av de mest bisarra, men ändå effektiva, krypteringsscheman som ransomware till och med har använt för att blockera användaråtkomst till filer. Data komprimeras först med hjälp av krypteringsalgoritmen ECDH (Elliptisk kurva Diffie-Hellman). I motsats till den vanligaste kombinationen av algoritmer bland ransomware AES och RSA, tillåter ECDH inte att användardata dekrypteras även om anslutningen mellan virusets kommunikation med kommandoservern avbryts. Detta gör praktiskt taget att betala (vanligtvis upp till) 0,4 Bitcoin-lösen till det enda sättet för användaren att återställa de krypterade filerna.

Hur denna Bitcoin-ransomware sprider sig

I sina tidiga versioner skulle critroni främst rikta sig till engelsktalande användare. Därför var engelska det enda språket i programmet. I vissa senare versioner började ryska också stödjas bredvid det engelska språket. De nya uppdateringarna förde också en nedräkningstimer till GUI. Detta ger användarna en tidsvarning i ett försök att skrämma dem. 

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

Bilden nedan visar ungefär hur den skadliga programvaran installerar och sprider sig själv. Först laddar Andromeda-botten ner och kör ett verktyg som heter Joleee. Det här skadliga verktyget kan skicka skräppostmeddelanden såväl som att utföra kommandon som tas emot från cyberbrottslingar. Det är Jolee som laddar ned krypteraren till den infekterade datorn.

Critroni förökningCritronis förökningsschema (Bild från securelist.com securelist.com)

Bitcoin-betalningar och TOR

Det är inte svårt att märka att skaparna av viruset lägger mycket ansträngningar på att hålla sig anonyma. De har goda skäl till det, och det är inte bara för att det de gör anses vara kriminell verksamhet. Genom att göra deras programvara till ett anonymt nätverk bidrar de också till att deras ransomware har en mer långvarig livslängd. Som nämnts tidigare lyckades FBI tillbaka i maj att stänga av en annan krypteringsprogramvara som heter Cryptolocker. De lyckades spåra sina servrar och stänga av dem. Detta kan vara mycket svårare med Critronis fall eftersom det tar emot kommandon via TOR. Denna kombination av TOR-inbäddning och Bitcoin-betalningar har gjort det möjligt att toppa sina föregångares anonymitet.

Critroni förklarar BitcoinSkadlig programvara kommer även att försöka ge användarna instruktioner om hur man köper bitcoins.

#CRYPTO BROKERSBenefits

1

eToro
Best Crypto Broker

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

2

Binance
Cryptocurrency Trading


VISIT SITE
  • ? Your new Favorite App for Cryptocurrency Trading. Buy, sell and trade cryptocurrency on the go
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

#BITCOIN CASINOBenefits

1

Bitstarz
Best Crypto Casino

VISIT SITE
  • 2 BTC + 180 free spins First deposit bonus is 152% up to 2 BTC
  • Accepts both fiat currencies and cryptocurrencies

2

Bitcoincasino.io
Fast money transfers


VISIT SITE
  • Six supported cryptocurrencies.
  • 100% up to 0.1 BTC for the first
  • 50% up to 0.1 BTC for the second

Rekommendationer om hur du kan vara säker och behålla din Bitcoin

Att ha säkerhetsprogramvara som antivirusaktiverad och uppdaterad kan vara avgörande. Men det är inte ett slut på linjelösningen.

Det bästa sättet att säkerställa att dina filer är säkra är att göra dina egna säkerhetskopior, och ransomware är inte den enda anledningen till att du ska göra det. Du bör aldrig lagra en fil som är viktig för dig bara på ett ställe. Det är mer troligt att viktiga personliga filer inte tar en stor del av din hårddisk. Att göra en offline-säkerhetskopia, till en extern enhet eller USB-stick, är inte svårt och är ett pålitligt sätt att göra säkra säkerhetskopior. Vad du bör komma ihåg när du säkerhetskopierar är dock att lagringsenheten inte ska vara direkt ansluten till internet. Oavsett om det är en USB, en extern hårddisk eller en diskett, om du ständigt är ansluten till din persondator med internetåtkomst blir den lika sårbar för krypteringslösen som din huvudsakliga hårddisklagring. Online-lagring är också bra, men ingen kan garantera att det är långvarigt.

Utöver det, medan denna ransomware krypterar filer på ett skadligt sätt, är det alltid en bra idé att personligen kryptera alla känsliga eller värdefulla filer, till exempel en Bitcoin-plånbok. Detta kommer att göra det mycket svårare för skadlig kod eller hackare att framgångsrikt stjäla dina filer på ett sätt som skulle vara användbart.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me